最新消息:

MSSQL 入侵提权之内网渗透案例

MSSQL注入 admin 1909浏览 0评论

描述:对于内网渗透技术一直感觉很神秘,手中正巧有一个webshell是内网服务器。借此机会练习下内网入侵渗透技术!本文敏感信息以屏蔽!密码都以*号代替。此次过程主要运用到xp_cmdshell恢复与执行,再通过自己的灵活思维运用。

环境:2003 SERVER
IIS :6.0 支持php
数据库:MSSQL和MYSQL
网站类型:ASPX

本 文重点讲述内网渗透提权部分,对于WEBSHELL不在描述。对于了解入侵渗透的朋友都知道,拿到webshell后服务器能否提权就要先找提权的漏洞所 在。从本站的角度来看,存在MSSQL、MYSQL支持ASPX和PHP可以说权限够大的了。先来看看目录能穷举出来哪些东西。先看程序目录,很平常么。 没现有SU和MYSQL之类的信息。

内网渗透1

E:盘可以浏览
F:盘可以浏览

本站ASPX 类型网站,使用的是MSSQL数据库。显示密码不是最高权限的用户,就是是个DB用户提权也不能马上到手。

内网渗透2

再翻翻别的站点,目录可以浏览一个个找吧。发现一个目录web.config有SA用户

内网渗透3

连接数据库信息:

Source=gzzx;Initial Catalog=SMSCenter;Persist Security Info=True;User ID=sa;Password=****” 打开aspxspy,使用database连接功能。

内网渗透4

 

登录成功,显示SA看来应该没有降权。

连接状态是MSSQL 2005,要先启xp_cmdshell.

内网渗透5

接着执行下命令”whoami”

内网渗透6

good,system 权限,下面就是添加一个账号了。。
Exec master.dbo.xp_cmdshell ‘net user admin **** /add’

Exec master.dbo.xp_cmdshell ‘net localgroup administrators admin /add’

再看下3389端口是否开启
Exec master.dbo.xp_cmdshell ‘netstat -ano’

内网渗透7

OK,状态正常。
Exec master.dbo.xp_cmdshell ‘ipconfig /all’显示配置是内网IP

通过域名解析到的IP连接3389,可以连接。
说明管理做了端口映射,这就不要转发端口了。省了很多功夫!

这才拿到了一台服务器的权限,从网站的SQL连接上不难发现内网还有SQL服务器。

转载请注明:jinglingshu的博客 » MSSQL 入侵提权之内网渗透案例


Warning: Use of undefined constant PRC - assumed 'PRC' (this will throw an Error in a future version of PHP) in /usr/share/nginx/html/wp-content/themes/d8/comments.php on line 17
发表我的评论
取消评论

表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址