记一次利用SQL调用powershell命令获取管理员密码

2019-06-11 约 2165 字预计阅读 5 分钟次阅读

1. 前言

这篇文章是把以前写在word文档中的内容搬过来了，主要内容就是记录了一次提权过程，通过MSSQL权限调用PowerShell并执行命令，最终获取了管理员的密码。虽然最后总结的流程很简单，但中间踩过的坑、遇到的问题可是不计其数(自己比较菜)，所以将此过程做了一个记录。

2. 初试提权

首先，已经得到了某个服务器的IP和MSSQL的SA账户和密码，很高兴的连上去，心想SA账户都有了，提个权还不是分分钟的事
登路上去之后马上尝试调用xp_cmdshell，看管理员是否禁用了xp_cmdshell
虽然报了一个错误(不清楚是什么错误)，但是还好没有被禁用，而且还是system权限，看来提权触手可得，马上使用net user创建用户
what xxxx! 什么情况，居然没执行成功，怀疑管理员把xp_cmdshell做了什么手脚，于是去百度了许多不利用xp_cmdshell来执行命令的sql语句
但是并没有什么卵用，无一例外都失败了，只能另想办法了，然后发现可以执行systeminfo命令，显示是win2008
Nmap扫描了一下端口，445是开启的，刚好这几天学会了ms17-010的漏洞，就打算用msf直接获取到shell，但是想象都是美好的，这服务器好像打了补丁，而且自己没有公网地址，导致反弹不回来shell

3. 山穷水尽疑无路

经过上面的测试，我意识到事情并没有那么简单。这台服务器不知道做了啥手脚，CMD命令只能执行一部分没有啥危害的命令，执行创建用户这种命令就直接报错。需要换一换思路搞搞。

刚才使用Nmap扫描了一下端口，观察了一下开启的端口，其中包括很多个IIS的http端口
进了一个网站看了看，发现是需要登录的
从数据库里找到admin的密码，心想能不能从网站获取一个shell，进去看了之后我放弃了，全是英文，看着头疼
看了一下其余的网站，全是aspx的，而且都是英文站，让我放弃了从网站入手的想法。继续翻着端口列表，突然看到一个Apache服务
心里很疑惑，这个服务器不是布置的IIS吗，怎么Apache也在上面，访问一下这个端口试试
卧槽，居然是wamp刚搭建好的页面，难道运气这么好，又能登录MySQL了？
果然事不如愿，居然访问不了，看来还是不行啊，又回去看了看MSSQL数据库，发现dir命令可以执行，通过dir命令，发现了wamp目录下的WordPress，尝试admin登录，竟然登录进去了
然后百度了一下WordPress拿shell，利用修改文件内容写进一句话木马
用菜刀连接，果然能连接上了(不知道shell路径就自己本地搭建一个WordPress测试)
尝试用cmd创建用户试试
还是一样无法创建，可能就是因为管理员把net命令给禁用了或者给更改了什么的，反正通过创建用户这一条路是不可能的了，只有直接读取Administrator的密码才行，上传getpass64.exe上去执行，显示超时
然后想起是2008的系统，powershell应该能用，尝试了一下
果然能用，然后就想能不能使用powershell反弹shell来获取一个权限
但是好像是没公网IP的缘故，也失败了，一直收不到反弹的shell

4. 柳暗花明又一村

到这里就很难受了，我感觉能利用的都利用了，能试的方法都试了，但都搞不下来。难道就要放弃了么，可近在咫尺的胜利以及花费的时间让我放弃感到很吃亏，那就继续搞呗。

经过黑无常大佬的提醒，可以利用msf调用mimikatz来读取密码
但是我msf反弹不回shell啊，这个方法有个屁用啊，白高兴一场了
然后一直在网上寻找其他方法，找到了可利用powershell调用mimikatz来读取密码
然后尝试在本地执行，本地执行都失败了，这就很尴尬了
然后又研究这个原理，终于知道了本地为什么会失败，这个powershell命令是在网上下载powershell脚本，然后再执行，失败的原因下载链接不对，所以导致失败，然后找到了GitHub上的脚本，再去本地执行，果然执行成功了
然后放在菜刀里执行，然后开始几次后面执行超时，后面执行时报了如下错误，大概是因为网速太慢或者菜刀执行命令不和cmd一样，具体为什么不太清楚
然后又想到了MSSQL(为什么总能想到它啊，大概是因为首先拿到权限就是因为它吧哈哈哈)，执行powershell命令试试
果然可以执行，然后把刚才那段在本地执行的powershell命令带进去执行(因为有特殊字符，需要使用转义字符)
哇，终于成功了，用了三天时间终于拿下来了，真是不容易，这次提权就算告一段落了