前段时间刚考完上学期的结课考试，这对于整天摸鱼的我来说无疑是一门巨大的考验。这不刚考完计算机组成原理，我就感觉快要寄了。

但是作为一名光荣的脚本小子，怎么能挂科呢，这不是给脚本小子们丢脸吗？于是我灵机一动，要不悄悄摸一下学校网站，看能不能搞下数据库给我改改成绩嘿嘿嘿。说干就干，立马掏出了我的渗透工具箱。

只是简单的用漏扫扫了一下，运气好，成功挖到一个永恒之蓝。永恒之蓝那可是赫赫有名啊，这不得先打一波？？

Kali自带msf，直接上命令msfconsole启动。

search ms17_010
use auxiliary/scanner/smb/smb_ms17_010
use exploit/windows/smb/ms17_010_eternalblue

一次攻击就结束了，可是文章并没有结束，前面只是开胃小菜。

扫了半天没找到我想要的，这个时候只好硬着头皮去请教学校有”前科“的大佬。大佬顺手就发过来一个ip，让我拿下它。拿下它就能得到想要的了。刚拿到手，就一个ip，也没有什么思路，还是直接上goby扫一下吧。哎哟，又有个永恒之蓝，心里想着这么容易吗？

掏出我的msf连它！5分钟过去了，没连上，果然没那么容易，又去问了学校大佬，回答是打了补丁，肯定连不上，于此同时，大佬给了一个提示说是和mssql有关。

哦候，和mssql有关，我转手就去搜了一下mssql历史漏洞，看了半天也没什么收获，此时大佬又给了提示：xp_cmdshell

哦豁，此时我突然想起，难道是传说中的mssql通过xp-cmdshell提权，再看看端口1433是开放的。

既然有了思路，那接下来就顺利成章。在这里也顺便学习一下mssql提权

1.MSSQL在Win server的操作系统上，默认具有system权限，System权限在Windows server2003中权限仅比管理员小；而在2003以上的版本，则为最高权限。

2.查看1433端口是否开放，并对1433端口进行爆破

3.Sa作为mssql的默认最高权限的账户，在正常情况下，可以通过xp_cmdshell等方式执行系统命令。

实验前提：所谓利用数据库进行提权，利用的其实是数据库的运行权限，所以只要我们满足以下条件即可进行提权

1.必须获得sa的账号密码或者与sa相同权限的账号密码，且mssql没有被降权。

2.必须可以以某种方式执行sql语句，例如：webshell或者是1433端口的连接。

PS：能够通过配置文件找到系统的登录账户密码

这个想法也是得到了大佬的验证，那接下来就是复现了。掏出fscan对着1433口爆破，fscan是大佬推荐的打内网神器，也是成功拿到了账号密码sa/sa，利用navicat-sql server进行连接，也是成功连上。

命令

use master;
exec sp_configure 'show advanced options',1;
reconfigure;
exec sp_configure 'xp_cmdshell',1;
reconfigure;

执行

use master;
exec master..xp_cmdshell "whoami";

接下来会发生什么，嘿嘿嘿就不用我多说了吧。

不过好景不长，就被学校网信办请去喝茶了呜呜呜

渗透测试需谨慎啊

欢 迎 加 入 星 球 ！

代码审计+免杀+渗透学习资源+各种资料文档+各种工具+付费会员

进成员内部群

星球的最近主题和星球内部工具一些展示

加入安全交流群

                               

关 注 有 礼

关注下方公众号回复“666”可以领取一套领取黑客成长秘籍

 还在等什么？赶紧点击下方名片关注学习吧！

推荐阅读

干货｜史上最全一句话木马

干货 | CS绕过vultr特征检测修改算法

实战 | 用中国人写的红队服务器搞一次内网穿透练习

实战 | 渗透某培训平台经历

实战 | 一次曲折的钓鱼溯源反制

免责声明

由于传播、利用本公众号渗透安全团队所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号渗透安全团队及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！