实战复盘:内网环境渗透ms-SQL数据库

news2024/11/17 11:34:39

渗透环境:如下图所示,web服务器、ms-SQL服务器、PC客户端在同一个网络中,彼此之间,没有路由器或防火墙的隔离,这是一种危险的网络结构,入侵ms-SQL服务器,非常容易。(实战中,web服务是一个中控考勤服务)

渗透原理:在win7机(或是kali虚拟机)上,浏览内网web,会触发web服务器联系ms-SQL数据库服务器,获取数据;在kali虚机上,我们可以截流web发送给ms-SQL的数据包,修改其中的sql语句,再将它发给ms-SQL执行,达到操控ms-SQL的目的。比如,我们可以增加一个新用户,然后,以新用户登入数据库。这样,我们就完全控制了ms-SQL数据库。这种攻击法,叫做中间人攻击。

渗透步骤:攻击步骤并不复杂,需要编写简单的脚本。过程中,只有二进制格式的字符串制作,略微复杂一点。我们将虚拟机kali作为攻击机,所有的操作都在kali上进行。bettercap和wireshark是kali的内置软件,无需安装,需要注意的是,kali的网卡需采用桥接模式。
一、使用bettercap,发动中间人攻击,使kali成为中间人。

1、 编辑 spoof.cap 脚本。可以使用各种编辑工具,可以使用vi,其命令是 vi spoof.cap。内容只有两行,#后面是注释。见下图:

2、将kali变成中间人。只有一行命令

bettercap --gateway-override  192.168.1.9 -caplet spoof.cap

# 将ms-SQL服务器视为网关,kali才能变成web和ms-SQL的中间人

3、检查kali是否成功变成中间人。在模拟环境中,可以到web服务器和ms-SQL服务器上,使用 arp -a(同时适用于win系统和linux系统), 查看ip地址和mac码,检验中间人攻击是否成功。但在真实环境中,因为你无法操作服务器,所以只能跳过此步骤。实战说明:在kali上分别ping一下两台服务器,有助于arp欺骗迅速生效。

二、用浏览器访问网页,用wireshark抓包,捕获的sql语句越长越好

1、启动wireshark并设定好捕获参数。图中左上第一个就是捕获按钮,第二个是停止捕获。

2、浏览器中,尝试浏览不同的网页。

3、在wireshark捕获的数据中,我们要寻找一个特定的数据包,该数据包中原始的sql语句越长越好,足够的长度才能为我们篡改sql语句,提供足够多的字符空间。tds.query可以过滤出所有的数据库相关包,我们可以查看sql语句,找到长度足够的sql语句。上图中,列出了很多sql语句包,384是最长的,所以,它就是我们要找的特定数据包

4、重复操作浏览器,确保特定数据包能够重复出现

5、从特定数据包中抽取其原生的sql语句,制作二进制格式的字符串,这个步骤难度最大,是成功与否的关键。上图中间区域,tabular data stream--tds query packet下面,可以看到完整的sql语句,它的确够长。鼠标放到下面蓝色区域,右键选择  as Escaped String,再粘贴到编辑器中,变成如下图所示,需要手工处理一下,对照上副图,下图中删除白底数据,保留蓝底数据,然后删除头尾的引号、斜杠等,使它变成一个标准的二进制格式的字符串,它就是我们抽取的原始sql字符串,然后,复制到后面sql_replace.js截图的第7行。

6、退出bettercap和wireshark

到目前为止,我们可以截留、监控、转发数据包,但是,我们还不能篡改数据。我们需要让数据经过一个代理tcp.proxy,在代理服务里面,才能修改数据。

三、编写2个脚本,一个是bettercap自动运行的脚本spoof.cap;另一个是替换sql语句的脚本sql_replace.js。

1、修改spoof.cap脚本,其内容从2行变成7行。原来的脚本,是用于启动arp欺骗攻击,增加的脚本作用是启动tcp.proxy代理。见下图:

2、编写篡改数据的脚本,文件名为 sql_replace.js,采用javascript语言 。tcp.proxy代理会调用它,篡改数据。

脚本中有两个函数:

第一个是onLoad(),bettercap运行成功后,会在屏幕上提示:tcp module loader ----------------;

第二个函数示onData(from,to,data),其中,只有data参数有用, data就是系统截留的数据包,截留后,传递给onData函数,让它分析和修改,data被修改后,会自动转发到ms-sql服务器,在其上执行。为了便于分析,原始的data要转换生成为strFromNet(图中第17行);onData()函数有二个重要的变量:一是strTotarget,它是我们伪造的sql语句,直接键盘敲入(图中第6行)。我们用它替换特定数据包中的原始sql语句;二是strFromCap,它是步骤二中,wireshark捕获的特定数据包中,抽取的原始sql语句,我们需要将它粘贴到这里(见图中第7行,为了方便阅读,图中数据截去了尾部,实际要长很多)。onData函数原理很简单,我们要在所有的捕获的数据包中搜索原始sql语句(图中第18行),一旦搜索到,将其替换成伪造的sql语句(图中第20行-38行),如果伪造的sql语句长度超过原生sql语句的长度,替换就会失败。如果短于原句,则填充空格补全。

四、重新运行bettercap,加载上述脚本,注意屏幕上应该有提示。

bettercap --gateway-override  192.168.1.9 -caplet spoof.cap

此时,onData()函数已经加载,随时都可能篡改数据了。

五、重复网页操作,完成对ms-SQL的渗透。

如果屏幕上提示: ------find it----  表示找到了特定数据包。如果没有出现这个提示,可能因为没有成为中间人,或是没有进行正确的网页操作,最大的可能是,捕获的原生sql数据包二进制转换出错了,需要重新转换一次。

如果屏幕上提示:  ------crack sucessed!:):):) 表示替换成功。

如果屏幕上提示: -----but,its too short to replace with long command!-----表示替换失败。

修改strTotarget的值,你可以执行任何sql语句,增加用户,删除用户,其他等都可以。

网络安全学习资源分享:

给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

因篇幅有限,仅展示部分资料,朋友们如果有需要全套《网络安全入门+进阶学习资源包》,需要点击下方链接即可前往获取

CSDN大礼包:《网络安全入门&进阶学习资源包》免费分享(安全链接,放心点击)

同时每个成长路线对应的板块都有配套的视频提供: 

大厂面试题

视频配套资料&国内外网安书籍、文档

当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料

所有资料共282G,朋友们如果有需要全套《网络安全入门+进阶学习资源包》,可以扫描下方二维码或链接免费领取~ 

 读者福利 | CSDN大礼包:《网络安全入门&进阶学习资源包》免费分享(安全链接,放心点击)

特别声明:

此教程为纯技术分享!本教程的目的决不是为那些怀有不良动机的人提供及技术支持!也不承担因为技术被滥用所产生的连带责任!本教程的目的在于最大限度地唤醒大家对网络安全的重视,并采取相应的安全措施,从而减少由网络安全而带来的经济损失。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1697681.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

【C++】二分查找算法

1.题目 2.算法思路 暴力解法:可以将数组遍历一遍,就可以找到。时间复杂度为O(n)。不算太差,可以接受。 但是有更优秀的解法: 就是二分查找算法。 算法的特点:我们所查找的“数组”具有二段性。这里的二段性不一定有…

2024.05.25 第 131 场双周赛

Leetcode 第 131 场双周赛 求出出现两次数字的 XOR 值 [Leetcode 求出出现两次数字的 XOR 值](https://leetcode.cn/problems/find-the-xor-of-numbers-which-appear-twice/description/] 给你一个数组 nums ,数组中的数字 要么 出现一次,要么 出现两次…

【698协议】帧校验算法

698协议,帧校验算法 帧格式 帧校验范围 校验算法 #include "fcs16.h" /* * u16 represents an unsigned 16-bit number. Adjust the typedef for * your hardware. * Drew D. Perkins at Carnegie Mellon University. * Code liberally borrowed from M…

mac操作系统下,docker登录nexus私库,提示不支持https协议的错误

一、背景 我们使用nexus搭建了一个Docker Registry私有仓库,在Mac操作系统,在推送本地镜像到私库前,要求我们登录私库,报错如下: docker login 192.168.5.6:8086 -u username -p passwordWARNING! Using --password …

【idea插件】查询maven小工具——maven-search

1、简介 该插件提供一个查询工具方便在IDE中快速查找maven依赖,定制模糊查找算法。支持查找全网类。注:该功能需要连接网络。所有数据来源于源码阅读网 2、使用方法 开启菜单:Tools / Maven Search 快捷键 :Shift Control M 或…

vue源码之mustache简易版 --- 完

前面已经实现了 模板字符串转化为 tokens ,这篇我们将实现 tokens 到 dom字符串的转化 1.获取对象嵌套的数据 当出现一个需要展示的数据为被多层对象嵌套时,由于js不支持 data[a.b],使得无法获取需要展示的数据,所以需要进行必要的处理 loo…

算法的时间与空间复杂度

算法是指用来操作数据、解决程序问题的一种方法。对于同一问题,使用不同的算法,也许最终结果是一样的,但在过程中消耗的资源和时间却会有很大的区别。 那我们该如何去衡量不同算法之间的优劣呢?主要还是从算法所占用的【时间】和…

Anaconda+CUDA+CUDNN+Pycharm+Pytorch安装教程(第一节 Anconda安装)

1.选择和对应的anconda版本 官网地址:Index of / (anaconda.com) 下载地址:Index of /anaconda/archive/ | 清华大学开源软件镜像站 | Tsinghua Open Source Mirror 2.安装流程 (1)下载安装包 (2)点击next (3)点击I agree &a…

MySQL--联合索引应用细节应用规范

目录 一、索引覆盖 1.完全覆盖 2.部分覆盖 3.不覆盖索引-where条件不包含联合索引的最左则不覆盖 二、MySQL8.0在索引中的新特性 1.不可见索引 2.倒序索引 三、索引自优化--索引的索引 四、Change Buffer 五、优化器算法 1.查询优化器算法 2.设置算法 3.索引下推 …

【Java】/*类和对象(上)*/

目录 一、什么是类,什么是对象 二、类和对象的关系 三、学习类和对象的目的 四、怎样创建一个类 4.1 语法形式 4.2 创建示例 示例一:日期对象 示例二:小狗对象 示例三:学生对象 4.3 注意事项 4.4 修改public修饰的主类…

css卡片翻转 父元素翻转子元素不翻转效果

css卡片翻转 父元素翻转子元素不翻转效果 vue <div class"moduleBox"><div class"headTitle"><span class"headName">大额案例</span></div><div class"moduleItem"><span class"module…

java 拦截器-用户无操作超时退出利用Redis

1、授权过滤&#xff0c;只要实现AuthConfigAdapter接口 2、利用Redis token超时时间&#xff0c;用户访问后台续时 效果 Component public class AuthFilter implements Filter {private static Logger logger LoggerFactory.getLogger(AuthFilter.class);Autowiredprivat…

《python编程从入门到实践》day39

# 昨日知识点回顾 创建主页、继承模版、显示特定主题页面 # view.py from django.shortcuts import render# 导入所需数据相关联的模型 from .models import Topic# Create your views here. def index(request):"""学习笔记的主页"""#…

GB报文中的Cseq值的注意点

一、 问题现象 【问题现象】NVR使用GB接三方平台发现倍速回放时&#xff0c; 【现场拓扑】现场拓扑如下 &#xff08;1&#xff09; NVR侧使用家用宽带的方式&#xff0c;通过国标跨公网接入三方平台。 图1.1&#xff1a;网络拓扑 二、 抓包分析 INVITE sip:420000004013200…

ABC354学习笔记

高桥有一棵植物&#xff0c;这个植物在第 0 0 0 天时高度为 0 c m 0\,\mathrm{cm} 0cm&#xff0c;此后的第 i i i 天&#xff0c;他的植物会增高 2 i c m 2^i\,\mathrm{cm} 2icm。 高桥身高为 H c m H\,\mathrm{cm} Hcm。 高桥想知道在第几天&#xff0c;他的植物的高度会…

grpc、多集群、多租户

gRPC和服务发现 一个A high-performance, open-source universal RPC framework&#xff0c;高性能、开源的通用 RPC 框架。使用protobuf 语言基于文件定义服务&#xff0c;通过 proto3 工具生成指定语言的数据结构、服务端接口以及客户端 Stub。移动端上面则是基于标准的 HTTP…

专业渗透测试 Phpsploit-Framework(PSF)框架软件小白入门教程(十三)

本系列课程&#xff0c;将重点讲解Phpsploit-Framework框架软件的基础使用&#xff01; 本文章仅提供学习&#xff0c;切勿将其用于不法手段&#xff01; 接上一篇文章内容&#xff0c;讲述如何进行Phpsploit-Framework软件的基础使用和二次开发。 我们&#xff0c;继续讲一…

如何将前端项目打包并部署到不同服务器环境

学习源码可以看我的个人前端学习笔记 (github.com):qdxzw/frontlearningNotes 觉得有帮助的同学&#xff0c;可以点心心支持一下哈&#xff08;笔记是根据b站尚硅谷的前端讲师【张天禹老师】整理的&#xff0c;用于自己复盘&#xff0c;有需要学习的可以去b站学习原版视频&…

three.js判断物体在人的前面,还是后面

three.js判断物体在人的前面&#xff0c;还是后面 const player new THREE.Vectors(10, 0, 5); const mesh new THREE.Vectors(15, 0, 6);上面&#xff0c;两个变量分别表示&#xff0c;玩家的位置&#xff0c;物体的位置。 从这发现&#xff0c;当玩家和物体的角度关系 小…

网络协议——RTSP(简介、搭建RTSP服务器)

一、简介 1、什么是RTSP RTSP&#xff08;Real-Time Streaming Protocol&#xff0c;实时流传输协议&#xff09;是一种网络应用协议&#xff0c;旨在用于在互联网上进行娱乐和通信的实时流媒体的控制。它允许客户端远程控制媒体服务器上的流媒体播放&#xff0c;例如播放、暂…