Fast-Track之Microsoft SQL 注入篇

一说到Fast-Track使用者对其最熟悉的莫过于Mssql自动化攻击了,它不仅能自动恢复xp_cmdshell这个存储过程,而且还会自动提权,自动加载Payload。而这一切,你只需要提供一个具有注入点的URL(当然,权限必须是sa)。Fast-Track就会自动帮你完成这一切。甚至是你只需要提供一个IP地址,Fast-Track就会自动帮你检测注入点,然后自动提权,是不是很强大呢?接下来我们就进入Fast-Track的介绍:

 

《Matesploit渗透测试指南》中对Fast-Track是这样介绍的
FastTrack是一个基于Python的开源工具,实现了一些扩展的高级渗透技术。它使用MSF框架来进行攻击载荷的植入,也可以通过客户端向量来实施渗透攻击,除此之外,它还增加了一些新特性对MSF进行补充:Microsoft SQL 攻击、更多渗透攻击模块及自动化浏览器攻击。

接下来就让我们走入FT的世界:
 启动FastTrack

小便建议使用命令行交互的模式进行渗透测试,比图形界面简单明快许多。

 

让我们来看一下Fast-Track的启动菜单:

fast1

我比较常用的是第4和第5个选项;

第一个选项Fast-Track Updates顾名思义是升级用的啦;

第二个选项Autopwn Automation 就是小编上文所述的提供IP自动找注入点自动提权的功能(越自动化就越容易出错( ̄. ̄),你懂的);

第三个选项就是内置的NMAP扫描脚本啦,感觉和Fast-Track结合得不是很紧密,没怎么用过;

第四第五个选项将分别用一篇文章来做介绍,今天要介绍的是第四个选项Microsoft SQL Tools功能。

第六个选项是你能够编译一些经典的漏洞利用脚本,和Fast-Track结合使用(但是漏洞利用脚本都太“经典”了,连MS08_063都有╮(╯▽╰)╭

Microsoft SQL 注入篇

fast2
Fast-track的使用和sqlmap一样,需要攻击者事先进行漏洞踩点,发现可能存在sql漏洞的URL。在MSSQL Injector选项中,我们只需要提供具有注入点的URL,攻击者只需要确定查询语句和POST参数, fasttrack就会帮我们自动恢复xp_cmdshell,甚至是自动提权。但是要注意,这类攻击只能针对MSSQLweb系统

 

 

1MSSQL Injector(MSSQL注入攻击)

fast3

经常使用的选项有以下两个:

 

· SQL注入查询语句攻击
选择 SQL Injector – Query String Parameter Attack

输入待攻击的URL:http://localhost:12345/zblog/view.asp?id=’INJECTHERE
当fasttrack开始攻击漏洞时,它将查找带有id字段的所有字段,即决定哪个字段可以被用来进行攻击。

listening on [any] 4444….
如果攻击成功的话就会弹出一个cmd shell,表示控制了对方机器的控制权。整个过程都是通过SQL注入完成的。

注意:如果应用程序中使用了参数化的SQL查询语句或者存储过程的话,我们的攻击将不会成功。

· SQL注入–POST参数攻击
fasttrack的POST参数攻击比进行基于URL的query攻击所需要做的配置更少。我们只要把想要攻击网页的URL输入到fasttrack中,它就会自动识别出表单并进行攻击
输入:http://localhost:12345/zblog/view.asp
如果这个页面存在POST注入的话,fastshell将直接弹回一个cmd shell!

 


2. MSSQL Bruter(MSSQL
暴力破解)

fast4

 

有些小白网管直接用系统自带的sa账号来建数据库(现在很少很少了,能用mssql建站级别的网管一般都不是小白( ̄ˇ ̄))。如果sa账户口令被暴力破解,将导致攻击者使用扩展存储过程xp_cmdshell来攻陷整个系统。(MSF中也有类似的MSSQL暴力挂字典破解方法)
fasttack使用了几种方法来探索发现MSSQL服务器:
1) 使用nmap对MSSQL默认的TCP 1433端口进行扫描,然而如果目标主机使用MSSQL server 2005 或以后的版本,这些版本采用了动态端口技术,这样增加了猜解的难度。但是fasttrack可以直接和MSF交互,通过UDP 1434端口查找出MSSQL服务器运行的动态端口。
2) 一旦fasttrack识别出服务端口并成功爆破sa账户口令(实际没说的这么简单,需要良好的配置以及很好的社会工程字典)。fasttrack将使用高级的binnary-to-hex转换方法来植入一个攻击载荷。这个攻击的成功率相当高,特别在MSSQL广泛使用的大型网络环境下。

在上一个列表中选择 MSSQL Bruter暴力破解

我们经常使用的选项为:
(a)ttempt SQL Ping and Auto Quick Brute Force使用这个选项来尝试扫描一段IP地址,使用语法和nmap一样,然后利用一个事先准备好的包含50个常见口令的字典文件来进行快速暴力破解

(m)ass scan and dictionary brute:多主机暴力破解,可以使用自己提供的密码字典,Fast-Track自带了一个非常不错的密码字典,存储在bin/dict/wordlist.txt中

single target 单一目标暴力破解

 

用户名一定要输入: sa

地址可以输入以下类似的:192.168.0.103或192.168.0.1/24

如果对方主机存在弱密码的话, fastshell将直接弹回一个cmd shell!

 

 

3.SQL Pwnage

SQL Pwnage是Fast-Track的一个模块,可以用来检测SQLI漏洞,扫描和抓取网址和子网易受SQLI攻击的参数。是一种大规模尝试渗透攻击的方式。SQL Pwnage可以扫描一个web服务器网段的80端口,利用爬虫遍历你的网站从而找出具有SQL参数注入的URL,同时尝试模糊测试,POST注入。它支持错误注入和盲注,同时也具备恢复xp_cmdshell存储过程、权限提升等功能。

fast5

进入SQL Pwnage后,我们选取 2. SQL Injection Search/Exploit by Binary Payload Injection (ERROR BASED)

fast7

可以选择任何列出的有脆弱漏洞的URL选择选项1,如果扫描整个子网选择选项2.

是不是很简单又快速,当然,不又快又狠的话怎么能被称为Fast-Track呢?可以在这里找到更多的关于Fast-Track的SQL Pwnage模块的详细信息:

http://www.offensive-security.com/metasploit-unleashed/SQL_Pwnage

 今天的Microsoft SQL 注入篇就介绍到这里,下次小编会给大家带来Fast-Track的Mass Client-Side Attack大规模客户端攻击篇,是不是一听名字就很屌呢?敬请期待吧~( ̄▽ ̄)~

 

参考资料《metasploit渗透测试指南》、《MSF学习笔记》《浅谈SQLI的危害和利用》

本文由网络安全研究室(www.91ri.org)原创,转载请注明出处。

日币奖励:

本文为原创文章、首发,作者由根据自己的实践撰文,根据本站积分规则给予日币奖励共6枚。

AD:本站开放投稿及积分(日币),日币可兑换实物奖励,每月top3可获得礼品一份。