MSSQL入侵提权之内网渗透案例分析.pdfVIP

MSSQL 入侵提权之内网渗透案例分析 | bugcxs blog | 关注网络安全 Author:bugcx or Anonymous Url:http://blog.bug.cx/2012/04/25/mssql- %e5%85%a5%e4%be%b5%e6%8f%90%e6%9d%83%e4%b9%8b%e5%86%85%e7%bd%91%e6%b8%97%e9%80%8f% (撸一撸)| bugcxs blog | 关注网络安全 图文：udb311 主题：MSSQL 内网渗透案例分析 发表：黑白前线 描述：对于 内网渗透技术一直感觉很神秘，手中正巧有一个webshell 是内网服务器。借此机会练习下内网入侵渗透技术！本文敏感信息以屏 蔽！密码都以*号代替。此次过程主要运用到xp_cmdshell恢复与执行，再通过自己的灵活思维运用。 环境：2003 SERVER IIS ：6.0 支持php 数据库：MSSQL和MYSQL 网站类型：ASPX 本文重点讲述内网渗透提权部分，对于WEBSHELL 不在描述。对于了解入侵渗透的朋友都知道，拿到webshell 后服务器能否提权就要先找提 权的漏洞所在。从本站的角度来看，存在MSSQL 、MYSQL支持ASPX 和PHP可以说权限够大的了。先来看看目录能穷举出来哪些东西。先看 程序目录，很平常么。没现有SU和MYSQL之类的信息。 E：盘可以浏览 F：盘可以浏览 本站ASPX 类型网站，使用的是MSSQL数据库。显示密码不是最高权限的用户，就是是个DB 用户提权也不能马上到手。 再翻翻别的站点，目录可以浏览一个个找吧。发现一个目录web.config 有SA用户 连接数据库信息： Source=gzzx;Initial Catalog=SMSCenter;Persist Security Info=True;User ID=sa;Password=**** 打开aspxspy，使 用database连接功能。 登录成功，显示SA看来应该没有降权。 连接状态是MSSQL 2005 ，要先启xp_cmdshell. http://blog.bug.cx/2012/04/25/mssql-入侵提权之内网渗透案例分析/ [2012/5/3 12:51:40] MSSQL 入侵提权之内网渗透案例分析 | bugcxs blog | 关注网络安全 接着执行下命令whoami good，system 权限，下面就是添加一个账号了。。 Exec master.dbo.xp_cmdshell net user admin **** /add Exec master.dbo.xp_cmdshell net localgroup administrators admin /add 再看下3389端口是否开启 Exec master.dbo.xp_cmdshell netstat -ano OK,状态正常。 Exec master.dbo.xp_cmdshell ipconfig /all 显示配置是内网IP 通过域名解析到的IP连接3389，可以连接。 说明管理做了端口映射，这就不要转发端口了。省了很多功夫！ 这才拿到了一台服务器的权限，从网站的SQL连接上不难发现内网还有SQL服务器。 渗透继续 …… 内网IP为200 ，同样是MSSQL SA权限。 add key=ConnectionString2 value=server=00;database=DB_CustomSMS;User=sa;PWD=*****/ 再利用aspxspy 数据库连接， 郁闷的事情发生了，不能连接。 [DBNETLIB][ConnectionOpen (Connect()).]SQL Server 不存在或拒绝访问。 按道理讲数据库能使用的情况下应该可以成功连接上的，难道没有配置TCP/IP访问数据库？疑问产生了，无耐之下通过3389上到服务器上来 试试。服务器安装了MSSQL ，有查询分析器和企业管理器。这又成了我们的工具。呵呵！ SQL分析器连接之，仍然无法连接。