导航：首页 > 网络安全 >

Fast-Track之Microsoft SQL 注入篇

发表于：2024-11-23 作者：千家信息网编辑

千家信息网最后更新 2024年11月23日，Fast-Track是Backtrack工具里面自带的***工具，在现代的***测试过程中体现出了她所拥有的强大的威力，同时也对安全人员带来了很大的压力。一说到Fast-Track，使用者对其最熟悉的

千家信息网最后更新 2024年11月23日Fast-Track之Microsoft SQL 注入篇

Fast-Track是Backtrack工具里面自带的***工具，在现代的***测试过程中体现出了她所拥有的强大的威力，同时也对安全人员带来了很大的压力。

一说到Fast-Track，使用者对其最熟悉的莫过于Mssql自动化***了，它不仅能自动恢复xp_cmdshell这个存储过程，而且还会自动提权，自动加载Payload。而这一切，你只需要提供一个具有注入点的URL（当然，权限必须是sa）。Fast-Track就会自动帮你完成这一切。甚至是你只需要提供一个IP地址，Fast-Track就会自动帮你检测注入点，然后自动提权，是不是很强大呢？接下来我们就进入Fast-Track的介绍：
《Matesploit***测试指南》中对Fast-Track是这样介绍的：FastTrack是一个基于Python的开源工具，实现了一些扩展的高级***技术。它使用MSF框架来进行***载荷的植入，也可以通过客户端向量来实施******，除此之外，它还增加了一些新特性对MSF进行补充：MicrosoftSQL***、更多******模块及自动化浏览器***。
接下来就让我们走入FT的世界：启动FastTrack

建议使用命令行交互的模式进行***测试，比图形界面简单明快许多。

让我们来看一下Fast-Track的启动菜单：

进入fast-track命令行界面

我比较常用的是第4和第5个选项；第一个选项Fast-TrackUpdates顾名思义是升级用的啦；第二个选项AutopwnAutomation就是小编上文所述的提供IP自动找注入点自动提权的功能（越自动化就越容易出错(￣.￣)，你懂的）；第三个选项就是内置的NMAP扫描脚本啦，感觉和Fast-Track结合得不是很紧密，没怎么用过；第四第五个选项将分别用一篇文章来做介绍，今天要介绍的是第四个选项MicrosoftSQLTools功能。第六个选项是你能够编译一些经典的漏洞利用脚本，和Fast-Track结合使用（但是漏洞利用脚本都太"经典"了，连MS08_063都有╮(╯▽╰)╭）

MicrosoftSQL注入篇

Fast-track的使用和sqlmap一样，需要***者事先进行漏洞踩点，发现可能存在sql漏洞的URL。在MSSQLInjector选项中，我们只需要提供具有注入点的URL，***者只需要确定查询语句和POST参数，fasttrack就会帮我们自动恢复xp_cmdshell，甚至是自动提权。但是要注意，这类***只能针对MSSQL的web系统。

1、MSSQLInjector(MSSQL注入***)

经常使用的选项有以下两个：·SQL注入-查询语句***选择SQLInjector-QueryStringParameterAttack输入待***的URL：http://localhost:12345/zblog/view.asp?id='INJECTHERE当fasttrack开始***漏洞时，它将查找带有id字段的所有字段，即决定哪个字段可以被用来进行***。…listeningon[any]4444….如果***成功的话就会弹出一个cmdshell，表示控制了对方机器的控制权。整个过程都是通过SQL注入完成的。注意：如果应用程序中使用了参数化的SQL查询语句或者存储过程的话，我们的***将不会成功。·SQL注入-POST参数***fasttrack的POST参数***比进行基于URL的query***所需要做的配置更少。我们只要把想要***网页的URL输入到fasttrack中，它就会自动识别出表单并进行***输入：http://localhost:12345/zblog/view.asp如果这个页面存在POST注入的话，fastshell将直接弹回一个cmdshell！
2.MSSQLBruter(MSSQL暴力破解)

有些小白网管直接用系统自带的sa账号来建数据库（现在很少很少了，能用mssql建站级别的网管一般都不是小白(￣ˇ￣)）。如果sa账户口令被暴力破解，将导致***者使用扩展存储过程xp_cmdshell来攻陷整个系统。（MSF中也有类似的MSSQL暴力挂字典破解方法）fasttack使用了几种方法来探索发现MSSQL服务器：1）使用nmap对MSSQL默认的TCP1433端口进行扫描，然而如果目标主机使用MSSQLserver2005或以后的版本，这些版本采用了动态端口技术，这样增加了猜解的难度。但是fasttrack可以直接和MSF交互，通过UDP1434端口查找出MSSQL服务器运行的动态端口。2）一旦fasttrack识别出服务端口并成功爆破sa账户口令(实际没说的这么简单，需要良好的配置以及很好的社会工程字典)。fasttrack将使用高级的binnary-to-hex转换方法来植入一个***载荷。这个***的成功率相当高，特别在MSSQL广泛使用的大型网络环境下。在上一个列表中选择MSSQLBruter暴力破解我们经常使用的选项为：(a)ttemptSQLPingandAutoQuickBruteForce：使用这个选项来尝试扫描一段IP地址，使用语法和nmap一样，然后利用一个事先准备好的包含50个常见口令的字典文件来进行快速暴力破解(m)assscananddictionarybrute:多主机暴力破解，可以使用自己提供的密码字典，Fast-Track自带了一个非常不错的密码字典，存储在bin/dict/wordlist.txt中（s）ingletarget：单一目标暴力破解用户名一定要输入：sa地址可以输入以下类似的：192.168.0.103或192.168.0.1/24如果对方主机存在弱密码的话，fastshell将直接弹回一个cmdshell！3.SQLPwnageSQLPwnage是Fast-Track的一个模块，可以用来检测SQLI漏洞，扫描和抓取网址和子网易受SQLI***的参数。是一种大规模尝试******的方式。SQLPwnage可以扫描一个web服务器网段的80端口，利用爬虫遍历你的网站从而找出具有SQL参数注入的URL，同时尝试模糊测试，POST注入。它支持错误注入和盲注，同时也具备恢复xp_cmdshell存储过程、权限提升等功能。

进入SQLPwnage后，我们选取2.SQLInjectionSearch/ExploitbyBinaryPayloadInjection(ERRORBASED)

可以选择任何列出的有脆弱漏洞的URL选择选项1，如果扫描整个子网选择选项2.是不是很简单又快速，当然，不又快又狠的话怎么能被称为Fast-Track呢？可以在这里找到更多的关于Fast-Track的SQLPwnage模块的详细信息：http://www.offensive-security.com/metasploit-unleashed/SQL_Pwnage
参考资料《metasploit***测试指南》、《MSF学习笔记》《浅谈SQLI的危害和利用》

很赞哦！