本文讲的是<b>如何通过SQL Server执行系统命令?</b>,
0x00 简介
渗透测试过程中,大家经常会碰到通过MSSQL来进行提权或执行系统命令之类的操作,通常我们经常会使用xp_cmdshell来进行执行系统命令,但是当xp_cmdshell不能使用的时候,我们还有什么别的方式么?本文将介绍与分享一下我自己学到的一些姿势。
0x01 常用的一些姿势
1. XP_CMDSHELL
这个大家都比较熟悉了,通过xp_cmdshell来执行命令,可使用以下语句来执行:
默认情况下xp_cmdshell 是禁止的,如下图:
这个时候,可以使用以下命令进行开启:
关闭一样,只是将上面的后面的那个”1”改成”0”就可以了。
开启以后,则可执行系统命令
如果xp_cmdshell被删除,可以尝试上传xplog70.dll进行恢复,恢复语句:
2. SP_OACREATE
当xp_cmdshell 删除以后,可以使用SP_OACreate。
首先要打开组件:
之后使用以下语句执行命令:
这里要注意一下,此方式执行是无回显的
3. 自启动
以下方式需要电脑重启。
添加注册表:
备份添加启动项:
测试发现,Win10+MSSQL 2012导出的批处理并不能顺利执行,可能与系统及数据库版本有一定关系,成功率并不怎么高。
4. 通过沙盒执行命令
开启沙盒:
然后利用jet.oledb执行命令:
0x02 通过Agent Job执行命令
此种方式适用于服务器开启了MSSQL Agent Job服务,并且服务器中当前运行的用户账号拥有足够的权限去创建并执行代理作业的情况。
利用代码如下:
关于此种方式已经有文章进行介绍,有兴趣可以阅读一下。戳我
0x03 SQL Server CLR
这种方式是最近才学到的,也是本文重点介绍的一种姿势。
Microsoft SQL Server 现在具备与 Microsoft Windows .NET Framework 的公共语言运行时 (CLR) 组件集成的功能。CLR 为托管代码提供服务,例如跨语言集成、代码访问安全性、对象生存期管理以及调试和分析支持。对于 SQL Server 用户和应用程序开发人员来说,CLR 集成意味着您现在可以使用任何 .NET Framework 语言(包括 Microsoft Visual Basic .NET 和 Microsoft Visual C#)编写存储过程、触发器、用户定义类型、用户定义函数(标量函数和表值函数)以及用户定义的聚合函数。
要通过此种方式来执行命令,也有几个前提:
创建CLR有两种方式:
方式一:使用DLL文件进行创建
方式二:使用文件16进制流进行创建
对于做渗透的我们,当然是没有文件是最好的方式了,因此,本文主要介绍方式二。以下为详细测试步骤:
1、安装Visual Studio和SQL Server数据库,此次测试使用了VS2015跟SQL2012。
2、创建一个新的SQL Server数据库项目
3、设置项目属性,目标平台修改为需要的目标平台,如SQL Server 2012; 将SQLCLR权限级别修改为UNSAFE;修改.Net 框架版本为自己需要的版本;语言选择C#。
4、右键项目,选择添加->新建项,新建SQL CLR C# 存储过程
5、填入以下测试代码:
6、填入代码以后进行编译,之后到编译目录下可以看到一个dacpac后缀的文件。
7、双击此文件进行解压,将解压出一个名为mode.sql的文件。
8、执行SQL文件中的以下语句
之后执行:
9、开启数据库服务器配置选项clr enabled
10、执行命令:
如果没成功,可以换个数据库试试看。
11、删除存储过程
0x04 PowerUpSQL
当然针对SQL Server的攻击,有一个强大的工具PowerUpSQL,里面也有很多针对MSSQL的攻击方式。下面介绍两种比较实用的方式。
1. SP_Addextendedproc
套件中的Create-SQLFileXpDll方法,在这里对其使用方式简单的进行一下介绍。
创建DLL:
SQL Server 通过 sp_addextendedproc 调用DLL从而达到命令执行的效果。这里有两种方式导入:
导入之后的可调用xp_test来执行命令:
通过以下命令可以卸载:
2. SMB Relay Attacks
针对这种方式,已经有文章总结了,这里就不多做介绍了,详细请看这里。
0x05 小结
本文就通过SQL Server 执行系统命令进行了一下小结,当然方式可能不全,仅仅是自己知道的一些方法,还希望大牛别喷,如果您有什么更加新颖的方法,欢迎补充,希望本文对你有所帮助。
原文发布时间为:2017年2月14日
本文作者:Evi1cg
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。
<a href="http://www.4hou.com/technology/3338.html" target="_blank">原文链接</a>