本文介绍了如何通过MSSQL的xp_cmdshell扩展存储过程进行提权,首先寻找SA用户的密码,然后利用对外开放的1433端口或WebShell连接数据库,最终执行系统命令。实验在Windows 2010环境下进行,涉及端口扫描、弱口令爆破和navicat连接。
实验思路:1.MSSQL在Windows server类的操作系统上,默认具有system权限。System权限在Windows server2003中权限仅比 管理员小;而在2003以上的版本,则为最高权限。
⭐ 2.获取webshell之后可尝试在服务器各个站点的目录寻找sa的密码(某些站点直接在web应用程序中使用sa连接数据 库),一般情况下,.net的站点数据库连接字符串在web.config或者和global.aspx也有可能是编译在DLL文件当中。
3.通过端口扫描查看1433(mssql默认端口)是否对外开放。如果对外开放则使用sql连接器进行提权,如果没有对外开 放,则使用webshell自带的mssql数据库连接功能连接至mssql数据库。
4.Sa作为mssql的默认最高权限的账户,在正常情况下,可以通过xp_cmdshell等方式执行系统命令。
PS:除了上述2中的寻找Sa用户密码,还可以对1433端口进行爆破
实验前提:所谓利用数据进行提权,利用的其实是数据库的运行权限,所以只要我们满足以下条件即可进行提权
1.必须获得sa的账号密码或者与sa相同权限的账号密码,且mssql没有被降权。
2.必须可以以某种方式执行sql语句,例如:webshell或者是1433端口的连接。
PS:能够通过配置
最低0.47元/天 解锁文章
616
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
