【数据库提权】- SQL Server提权

最新推荐文章于 2024-04-10 08:12:39 发布
最新推荐文章于 2024-04-10 08:12:39 发布
阅读量1.1k 收藏 7
点赞数 1
分类专栏: 渗透测试 文章标签: 数据库 渗透测试 sqlserver
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41949487/article/details/114819782
版权

渗透测试往往由信息收集开始,而提权是渗透测试中较为重要的环节,若始终以“低权限”身份进行渗透,测试出的问题相对于高权限的质量会低很多,权限提升意味着用户获得不允许他使用的权限。比如从一个普通用户,通过“手段”让自己变为管理员用户,也可以理解为利用操作系统或软件应用程序中的错误,设计缺陷或配置错误来获得对更高访问权限的行为。

提权又分为系统提权、数据库提权、第三方提权等等,此篇文章就介绍了SQL Serve部分的提权方法,一起来看看吧。

 

知识补充

系统库

库名 含义
master master数据库控制SQLserver数据库所有方面。这个数据库中包括了所有的配置信息、用户登录信息、当前正在服务器中运行的过程的信息等。
model model数据库是建立所有用户数据库时的模版。新建数据库时,SQLserver会把model数据库中的所有对象建立一份拷贝并移到新数据库中。在模版对象被拷贝到新的用户数据库中之后,该数据库的所有多余空间都将被空页填满。
tempdb tempdb数据库是一个非常特殊的数据库,供所有访问SQLserver数据库的用户使用。这个库用来保存所有的临时表、存储过程和其他SQLserver建立的临时用的东西。
msdb msdb数据库是SQLserver数据库中的特例,若想查看此数据库的实际定义,会发现它其实是一个用户数据库。所有的任务调度、报警、操作员都存储在msdb数据库中。该库的另一个功能是用来存储所有备份历史。SQLserver agent将会使用这个库。

 

 

存储过程

一、介绍

存储过程是一个可编程的函数,它在数据库中创建并保存,是存储在服务器中的一组预编译过的T-SQL(SQL语言版本之一,只能在SQLserver使用)语句。数据库中的存储过程可以看做是对编程中面向对象方法的模拟。它允许控制数据的访问方式(可以将存储过程理解为函数调用的过程),使用execute命令执行存储过程。

 

二、分类

系统存储过程、扩展存储过程、用户自定义的存储过程。

  1. 系统存储过程主要存储在master数据库中,以"sp_"为前缀,在任何数据库中都可以调用,在调用的时候不必在存储过程前加上数据库名;
  2. 扩展存储过程则是对动态链接库(DLL)函数的调用,主要是用于客户端与服务器端或客户端之间进行通信的,以“xp_"为前缀,使用方法与系统存储过程类似;
  3. 用户定义的存储过程是SQLServer的使用者编写的存储过程;

 

三、执行

存储过程为数据库提供了强大的功能,但在相应的权限下,攻击者可以利用不同的存储过程还行不同的高级功能,如:创建数据库用户、枚举文件目录、执行任意系统命令等。正因如此,SQLserver2005、2008等之后的版本分别对存储过程做了权限控制,以防滥用。

以下提权方式多为利用存储过程进行提权,想要查看数据库中是否有对应的存储过程,可以用下面的语句,若返回结果为1,则说明已开启。

select count(*) from master.dbo.sysobjects where xtype='x' and name='sp_oacreate';

image.png

或者可以查询对应数据库中定义的存储过程有哪些

select routine_catalog,specific_schema,routine_name,routine_definition

from master.information_schema.routines

order by routine_name;

image.png

环境:

  • Windows server2003
  • SQLserver2005;

 

xp_cmdshell扩展存储过程提权

扩展存储过程中xp_cmdshell是一个开放接口,可以让SQLserver调用cmd命令,直接用SQL语句实现cmd操作,危害非常大。此存储过程在SQLserver2000中默认开启,2005本身及之后的版本默认禁止,所以想要使用该存储过程,就需要拥有SA账号相应权限,使用sp_configure(显示或更改当前服务器的全局配置设置)将其开启。

SA是Microsoft SQLServer的管理员帐号,拥有最高权限,它可以执行扩展存储过程,并获得返回值。2005的xp_cmdshell的权限一般是system,而2008多数为nt authority\network service。

 

一、前提条件

  • 已获取到sqlserver sysadmin权限用户的账号与密码;
  • SQLserver服务未降权:
  • SQLserver可以外连;

 

执行系统命令添加管理员账号提权

  1. 连接SQL server数据库,检查xp_cmdshell是否开启

select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell;

\# xtype为对象类型,xtype='x'表示xp_cmdshell的对象类型为扩展存储过程。

image.png

若返回结果为1,则证明开启。

  • 如果xp_cmdshell被删
最低0.47元/天 解锁文章
池羽_chiyu
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
数据库提权
weixin_71169068的博客
04-16 454
利用此方法第一步先判断版本和安装路径:1.mysql5.1 则 导出dll文件到安装目录 /lib/plugin(这个目录默认是没有的,需要我们去创建)查看版本:mysql=>5.1跳转到安装目录发现lib目录下没有plugin,这里需要我们新建目录点击mysql提权,设置好路径,安装DLL执行命令,从而提权
SQL Server 数据库常见提权总结
m0_64481831的博客
03-28 1826
前面总结了linux和Windows的提权方式以及Mysql提权,这篇文章讲讲SQL Server数据库提权
SQL Server 数据库提权的几种方法——提权教程
热门推荐
W小哥
01-20 1万+
一、简介 在利用系统溢出漏洞没有效果的情况下,可以采用数据库进行提权数据库提权的前提条件: 1、服务器开启数据库服务 2、获取到最高权限用户密码 (除Access数据库外,其他数据库基本都存在数据库提权的可能) 二、使用xp_cmdshell进行提权 xp_cmdshell默认在mssql2000中是开启的,在mssql2005之后的版本中则默认禁止。如果用户拥有管理员sa权限则可以用sp_configure重新开启它。 启用: EXEC sp_configure ‘show advanced opti
mysql数据库提权
m0_63197559的博客
04-10 695
MySQL数据库提权学习总结
Windows权限提升 —SQL Server/MSSQL数据库提权
剁椒鱼头没剁椒的博客
03-21 2108
在之前的Windows权限提升—MySQL数据库提权中已经介绍了关于数据库方面的权限提升,同时在Windows权限提升—溢出提权的时候,简要的介绍了关于Windows提权方面整体的流程与方式,这里就不再赘述,直接进行Windows权限提升—SQL Server/MSSQL数据库提权SQL Server与MSSQL其实就是一个东西,只是叫法不同。Windows权限提升—MySQL数据库Windows权限提升—溢出提权
【汇总】数据库提权(mysql、mssql
weixin_30527551的博客
08-19 205
日期:2018-04-03 11:46:45 作者:Bay0net 介绍:利用 mssql 的 sa 账号提权、利用 MySQL 的 UDF 提权 0x01、mssql 提权 恢复 xp_cmdshell 几个命令 # 查看是否存在 xp_cmdshell(返回非 0 即存在) select count(*) from master.dbo.sysobjects wh...
DBTransfer - SQL Server数据库迁移免费小工具
05-05
本免费小工具适用于迁移SQLServer数据库(从低版本到高版本,或者从A服务器到B服务器)。只要提前做好配置和准备,不管用户库的数据量有多大,每次迁移需要停止业务的时间都可以控制在5分钟之内(操作熟练的话,2...
SQL Server 数据库》Transact-SQL程序设计实验报告.pdf
06-27
SQL Server 数据库》Transact-SQL程序设计实验报告.pdf《SQL Server 数据库》Transact-SQL程序设计实验报告.pdf《SQL Server 数据库》Transact-SQL程序设计实验报告.pdf《SQL Server 数据库》Transact-SQL程序设计...
如何恢复数据库-SQL Server 2014
最新发布
07-07
如何恢复数据库-SQL Server 2014
如何恢复数据库-SQL Server 2008
07-07
如何恢复数据库-SQL Server 2008
关系型数据库SQL语句-SQLSERVER数据库设计与实现210页.doc
04-24
"关系型数据库SQL语句-SQLSERVER数据库设计与实现" 关系型数据库是一种常用的数据库管理系统,它使用SQL语句来管理和操作数据。在本文中,我们将介绍关系型数据库的基本概念、SQL语句的使用以及SQLSERVER数据库...
mssql数据库提权之——xp_cmdshell执行系统命令
01-19
条件 所谓利用数据进行提权,利用的其实是数据库的运行权限,所以只要我们满足以下条件即可进行提权: 1、 必须获得sa的账号密码或者与sa相同权限的账号密码,且mssql没有被降权。 2、 必须可以以某种方式执行sql语句,例如:webshell或者是1433端口的连接。 提权基本思路过程与原理 1.MSSQL在Windows server类的操作系统上,默认具有system权限。System权限在Windows server2003中权限仅比管理员小;而在2003以上的版本,则为最高权限。 2.获取webshell之后可尝试在服务器各个站点的目录寻找sa的密码(某些站点直接在web应用程序中使
SQL通过SP_OA调用外部HTTP
08-31
DECLARE @Object int; DECLARE @HR int; DECLARE @Property nvarchar(255); DECLARE @Return nvarchar(255); DECLARE @Source nvarchar(255), @Desc nvarchar(255); DECLARE @httpStatus int; DECLARE @response varchar(8000); --创建 OLE 对象的实例 EXEC @HR = sp_OACreate N'MSXML2.XMLHTTP.6.0',@Object OUT; IF @HR 0 BEGIN EXEC sp_OAGetErrorInfo @Object,@Source OUT,@Desc OUT; RAISERROR('Error Creating COM Component 0x%x, %s, %s',16,1, @HR, @Source, @Desc) GOTO END_ROUTINE END BEGIN --Open EXEC @HR = sp_OAMethod @Object,N'open',Null,'GET','http://localhost:1728/HttpServer/submit.aspx',FALSE; IF @HR 0 BEGIN EXEC sp_OAGetErrorInfo @Object,@Source OUT,@Desc OUT; RAISERROR('Open 0x%x, %s, %s',16,1, @HR, @Source, @Desc) GOTO CLEANUP END --setRequestHeader EXEC @HR = sp_OAMethod @Object,N'setRequestHeader',Null,'Content-Type','text/xml'; IF @HR 0 BEGIN EXEC sp_OAGetErrorInfo @Object,@Source OUT,@Desc OUT; RAISERROR('setRequestHeader 0x%x, %s, %s',16,1, @HR, @Source, @Desc) GOTO CLEANUP END --send EXEC @HR = sp_OAMethod @Object,N'send',Null,''; IF @HR 0 BEGIN EXEC sp_OAGetErrorInfo @Object,@Source OUT,@Desc OUT; RAISERROR('send 0x%x, %s, %s',16,1, @HR, @Source, @Desc) GOTO CLEANUP END --readyState EXEC @HR = sp_OAGetProperty @Object,'readyState', @httpStatus OUT; IF @HR 0 BEGIN EXEC sp_OAGetErrorInfo @Object,@Source OUT,@Desc OUT; RAISERROR('readyState 0x%x, %s, %s',16,1, @HR, @Source, @Desc) GOTO CLEANUP END --verify status IF @httpStatus 4 BEGIN RAISERROR('readyState http status bad', 16,1) GOTO CLEANUP END --status EXEC @HR = sp_OAGetProperty @Object,'status', @httpStatus OUT; IF @HR 0 BEGIN EXEC sp_OAGetErrorInfo @Object,@Source OUT,@Desc OUT; RAISERROR('getstatus 0x%x, %s, %s',16,1, @HR, @Source, @Desc) GOTO CLEANUP END --verify status IF @httpStatus 200 BEGIN Print Cast(@httpStatus As varchar) RAISERROR('Open http status bad', 16,1) GOTO CLEANUP END --responseText EXEC @HR = sp_OAGetProperty @Object, 'responseText', @response OUT IF @HR 0 BEGIN EXEC sp_OAGetErrorInfo @Object,@Source OUT,@Desc OUT; RAISERROR('responseText 0x%x, %s, %s',16,1, @HR, @Source, @Desc) GOTO CLEANUP END Print @response END CLEANUP: BEGIN EXEC @HR = sp_OADestroy @Object; IF @HR 0 BEGIN EXEC sp_OAGetErrorInfo @Object,@Source OUT,@Desc OUT; SELECT HR = convert(varbinary(4),@HR),Source=@Source,Description=@Desc; END END END_ROUTINE: RETURN; GO
sqlserver sp_OACreate使用例子
德州仪器
07-11 6740
T-SQL 中是可以调用 OLE 的,将这一功能应用到触发器、存储过程等对象中,SQL Server 运用变得更贴近我们的功能,更加满足我们的需要。
sql server 开xp_cmdhshell
一个码农的笔记
12-11 6147
1、 --允许配置高级选项 EXEC sp_configure 'show advanced options',1 GO RECONFIGURE GO 2、 --开启xp_cmdshell服务 EXEC sp_configure 'xp_cmdshell',1 RECONFIGURE GO 3、 --使用 xp_cmdshel
SQL提权
小向资源网博客
08-15 944
UDF手工提权辅助: select @@basedir;  #查看mysql安装目录 select 'It is dll' into dumpfile 'C:\。。lib::';  #利用NTFS ADS创建lib目录 select 'It is dll' into dumpfile 'C:\。。lib\plugin::';  #利用NTFS ADS创建plugin目录 select 0...
sqlserver提权
qq_42307546的博客
04-10 1029
如果网站使用了sqlserver数据库,如果能找到sa的密码,利用提权脚本执行命令,但是不一定是系统权限,还要看管理员在安装时设置的权限 敏感文件 web.config config.asp conn.aspx database.aspx 使用mssql连接工具或者webshell net提权脚本输入账号和密码连接 开启xp_cmdshell Exec sp_configure ‘show advanced options’,1;RECONFIGURE;exec sp_configure ‘Ad Ho
SQL server 漏洞利用及提权方式
qq_37286368的博客
06-30 1837
0X01 常见方式 0X02 常用提权语句 1、查看数据库版本 select @@version 2、查看数据库系统参数 exec master..xp_msver; 3、查看用户所属角色信息 sp_helpsrvrolemember 4、查看当前数据库 select db_name() 5、显示机器上的驱动器 xp_availablemedia 6、查看当前账户权限 select IS_SRVROLEMEMBER('sysadmin') 以下类似serveradmin、setupadmin、securi
网络安全-渗透完整笔记
03-27
网络渗透是一种攻击手段,也是一种综合的高级攻击技术,也被成为“渗透测试” [3]。渗透测试是通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法,包括对系统的任何弱点、技术缺陷或漏洞的主动分析,这个分析是从一个攻击者可能存在的位置来进行的,并且从这个位置有条件主动利用安全漏洞 [3]。换句话来说,渗透测试是指渗透人员在不同的位置(比如从内网、从外网等位置)利用各种手段对某个特定网络进行测试,以期发现和挖掘系统中存在的漏洞,然后输出渗透测试报告,并提交给网络所有者。渗透测试的目的是为了检测企业的安全防范中还有什么漏洞 [1]。渗透测试可以分为黑盒、白盒和灰盒三种,其中在项目中大多数以黑盒和白盒为主 [1]。黑盒测试是模仿真实环境下的黑客攻击,攻击者对项目从一无所知到逐步渗透,需要攻击者有较高的技术水平,时间消耗的也可能比较长,攻击者只要找到该企业的一个漏洞并以低成本高效率的拿下项目的权限,黑盒测试可以检测项目团队的对入侵的防范能力和被入侵时间的应对能力。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值