Fast-Track之Microsoft SQL 注入篇

發(fā)布時間：2020-07-20 01:29:02 來源：網(wǎng)絡(luò) 閱讀：951 作者：Tar0 欄目：安全技術(shù)

Fast-Track是Backtrack工具里面自帶的***工具，在現(xiàn)代的***測試過程中體現(xiàn)出了她所擁有的強(qiáng)大的威力，同時也對安全人員帶來了很大的壓力。

一說到Fast-Track，使用者對其最熟悉的莫過于Mssql自動化***了，它不僅能自動恢復(fù)xp_cmdshell這個存儲過程，而且還會自動提權(quán)，自動加載Payload。而這一切，你只需要提供一個具有注入點的URL（當(dāng)然，權(quán)限必須是sa）。Fast-Track就會自動幫你完成這一切。甚至是你只需要提供一個IP地址，F(xiàn)ast-Track就會自動幫你檢測注入點，然后自動提權(quán)，是不是很強(qiáng)大呢？接下來我們就進(jìn)入Fast-Track的介紹：

《Matesploit***測試指南》中對Fast-Track是這樣介紹的：

FastTrack是一個基于Python的開源工具，實現(xiàn)了一些擴(kuò)展的高級***技術(shù)。它使用MSF框架來進(jìn)行***載荷的植入，也可以通過客戶端向量來實施******，除此之外，它還增加了一些新特性對MSF進(jìn)行補(bǔ)充：MicrosoftSQL***、更多******模塊及自動化瀏覽器***。

接下來就讓我們走入FT的世界：

啟動FastTrack

建議使用命令行交互的模式進(jìn)行***測試，比圖形界面簡單明快許多。

讓我們來看一下Fast-Track的啟動菜單：

進(jìn)入fast-track命令行界面

我比較常用的是第4和第5個選項；

第一個選項Fast-TrackUpdates顧名思義是升級用的啦；

第二個選項AutopwnAutomation就是小編上文所述的提供IP自動找注入點自動提權(quán)的功能（越自動化就越容易出錯(￣.￣)，你懂的）；

第三個選項就是內(nèi)置的NMAP掃描腳本啦，感覺和Fast-Track結(jié)合得不是很緊密，沒怎么用過；

第四第五個選項將分別用一篇文章來做介紹，今天要介紹的是第四個選項MicrosoftSQLTools功能。

第六個選項是你能夠編譯一些經(jīng)典的漏洞利用腳本，和Fast-Track結(jié)合使用（但是漏洞利用腳本都太“經(jīng)典”了，連MS08_063都有╮(╯▽╰)╭）

MicrosoftSQL注入篇

Fast-track的使用和sqlmap一樣，需要***者事先進(jìn)行漏洞踩點，發(fā)現(xiàn)可能存在sql漏洞的URL。在MSSQLInjector選項中，我們只需要提供具有注入點的URL，***者只需要確定查詢語句和POST參數(shù)，fasttrack就會幫我們自動恢復(fù)xp_cmdshell，甚至是自動提權(quán)。但是要注意，這類***只能針對MSSQL的web系統(tǒng)。

1、MSSQLInjector(MSSQL注入***)

經(jīng)常使用的選項有以下兩個：

·SQL注入–查詢語句***

選擇SQLInjector–QueryStringParameterAttack

輸入待***的URL：http://localhost:12345/zblog/view.asp?id=’INJECTHERE

當(dāng)fasttrack開始***漏洞時，它將查找?guī)в衖d字段的所有字段，即決定哪個字段可以被用來進(jìn)行***。

…

listeningon[any]4444….

如果***成功的話就會彈出一個cmdshell，表示控制了對方機(jī)器的控制權(quán)。整個過程都是通過SQL注入完成的。

注意：如果應(yīng)用程序中使用了參數(shù)化的SQL查詢語句或者存儲過程的話，我們的***將不會成功。

·SQL注入–POST參數(shù)***

fasttrack的POST參數(shù)***比進(jìn)行基于URL的query***所需要做的配置更少。我們只要把想要***網(wǎng)頁的URL輸入到fasttrack中，它就會自動識別出表單并進(jìn)行***

輸入：http://localhost:12345/zblog/view.asp

如果這個頁面存在POST注入的話，fastshell將直接彈回一個cmdshell！

2.MSSQLBruter(MSSQL暴力破解)

有些小白網(wǎng)管直接用系統(tǒng)自帶的sa賬號來建數(shù)據(jù)庫（現(xiàn)在很少很少了，能用mssql建站級別的網(wǎng)管一般都不是小白(￣ˇ￣)）。如果sa賬戶口令被暴力破解，將導(dǎo)致***者使用擴(kuò)展存儲過程xp_cmdshell來攻陷整個系統(tǒng)。（MSF中也有類似的MSSQL暴力掛字典破解方法）

fasttack使用了幾種方法來探索發(fā)現(xiàn)MSSQL服務(wù)器：

1）使用nmap對MSSQL默認(rèn)的TCP1433端口進(jìn)行掃描，然而如果目標(biāo)主機(jī)使用MSSQLserver2005或以后的版本，這些版本采用了動態(tài)端口技術(shù)，這樣增加了猜解的難度。但是fasttrack可以直接和MSF交互，通過UDP1434端口查找出MSSQL服務(wù)器運行的動態(tài)端口。

2）一旦fasttrack識別出服務(wù)端口并成功爆破sa賬戶口令(實際沒說的這么簡單，需要良好的配置以及很好的社會工程字典)。fasttrack將使用高級的binnary-to-hex轉(zhuǎn)換方法來植入一個***載荷。這個***的成功率相當(dāng)高，特別在MSSQL廣泛使用的大型網(wǎng)絡(luò)環(huán)境下。

在上一個列表中選擇MSSQLBruter暴力破解

我們經(jīng)常使用的選項為：

(a)ttemptSQLPingandAutoQuickBruteForce：使用這個選項來嘗試掃描一段IP地址，使用語法和nmap一樣，然后利用一個事先準(zhǔn)備好的包含50個常見口令的字典文件來進(jìn)行快速暴力破解

(m)assscananddictionarybrute:多主機(jī)暴力破解，可以使用自己提供的密碼字典，F(xiàn)ast-Track自帶了一個非常不錯的密碼字典，存儲在bin/dict/wordlist.txt中

（s）ingletarget：單一目標(biāo)暴力破解

用戶名一定要輸入：sa

地址可以輸入以下類似的：192.168.0.103或192.168.0.1/24

如果對方主機(jī)存在弱密碼的話，fastshell將直接彈回一個cmdshell！

3.SQLPwnage

SQLPwnage是Fast-Track的一個模塊，可以用來檢測SQLI漏洞，掃描和抓取網(wǎng)址和子網(wǎng)易受SQLI***的參數(shù)。是一種大規(guī)模嘗試******的方式。SQLPwnage可以掃描一個web服務(wù)器網(wǎng)段的80端口，利用爬蟲遍歷你的網(wǎng)站從而找出具有SQL參數(shù)注入的URL，同時嘗試模糊測試，POST注入。它支持錯誤注入和盲注，同時也具備恢復(fù)xp_cmdshell存儲過程、權(quán)限提升等功能。

進(jìn)入SQLPwnage后，我們選取2.SQLInjectionSearch/ExploitbyBinaryPayloadInjection(ERRORBASED)

可以選擇任何列出的有脆弱漏洞的URL選擇選項1，如果掃描整個子網(wǎng)選擇選項2.

是不是很簡單又快速，當(dāng)然，不又快又狠的話怎么能被稱為Fast-Track呢？可以在這里找到更多的關(guān)于Fast-Track的SQLPwnage模塊的詳細(xì)信息：

http://www.offensive-security.com/metasploit-unleashed/SQL_Pwnage

參考資料《metasploit***測試指南》、《MSF學(xué)習(xí)筆記》《淺談SQLI的危害和利用》

向AI問一下細(xì)節(jié)

Fast-Track之Microsoft SQL 注入篇

猜你喜歡

最新資訊

相關(guān)推薦

相關(guān)標(biāo)簽