Windows提权攻略中篇详解

本文详细介绍了利用Windows下的数据库服务进行提权的多种方法，重点讨论了通过mysql和mssql实现提权的具体步骤。对于mysql提权，文章详细讲解了获取root权限的关键步骤，包括翻配置文件、破解密文和暴力破解等方法。此外，还介绍了利用udf和mof进行提权的具体操作。对于mssql提权，文章则详细说明了获取SA权限后使用“xp_cmdshell”执行命令的方法，并介绍了其他通过SQL Server执行系统命令的多种方式，如sp_oacreate、SQL Server CLR和Agent Job等。

本文主要介绍了如何利用数据库服务进行提权操作，重点讨论了利用mysql和mssql进行提权的具体方法。

在利用mysql进行提权之前，首先需要回顾mysql的常用命令。获取mysql数据库最高权限root的账号密码是关键步骤。获取root密码的方法包括：

1. 翻配置文件，关键字包括：config、conn、data、sql、inc、database等。
2. 下载数据文件并破解密文。root密码密文存放在mysql数据库存储目录/mysq/user.myd中，低权限下可以使用命令读取，或者直接使用暗月的“MYSQL低权限读取ROOT密码工具”，然后使用cmd5解密。
3. 暴力破解，使用类似于【凤凰扫描器】(https://github.com/0xwindows/fenghuangscanner_v3)的爆破工具。

利用udf提权需要知道root账户的密码，并且目标系统必须是Windows。可以使用现成的udf提权工具，也可以手工测试。手工测试步骤包括：

1. 查看mysql版本。
2. 上传DLL文件。dll文件可以通过webshell上传或mysql导出。64位和32位版本对应不同的dll文件，需注意版本匹配。
3. 创建函数。
4. 调用函数。
5. 删除函数。

利用mof提权是利用Windows管理规范（WMI）的问题，而不是mysql的漏洞。mof提权适用于操作系统版本低于Windows Server 2008且mysql版本低于5.7的情况。手工测试步骤包括：

1. 查看mysql版本。
2. 编写mof文件。
3. 导出mof文件。
4. 清理痕迹。

利用mysql向启动项和开关机组策略目录导出脚本，可以在用户登录、开机、关机时自动运行任意命令，但mysql5.7开始默认使用secure-file-priv选项，限制了导出路径。

利用mssql进行提权也是常见的方法。获取数据库密码的方法包括翻配置文件和暴力破解。获取SA权限后，可以使用“xp_cmdshell”扩展存储直接执行命令。其他通过SQL Server执行系统命令的方法包括：

1. sp_oacreate：在xp_cmdshell被删除或出错时使用。
2. SQL Server CLR：利用Microsoft SQL Server与Microsoft Windows .NET Framework的公共语言运行时（CLR）组件集成，编写存储过程、触发器等。
3. Agent Job：适用于服务器开启了MSSQL Agent Job服务且当前用户有足够权限的情况。
4. 其他方式：如通过差异备份写脚本到自启动目录下，或通过注册表实现开机运行命令。

PowerUpSQL是一个针对mssql的强大工具，提供了多种攻击和利用方式，包括SP_Addextendedproc创建DLL和恢复Windows自动登录凭据。

本文详细介绍了利用Windows下的常用数据库进行提权的各种方法，欢迎大家留言交流意见和建议。

今天关于《Windows提权攻略中篇详解》的内容介绍就到此结束，如果有什么疑问或者建议，可以在golang学习网公众号下多多回复交流；文中若有不正之处，也希望回复留言以告知！