mssql数据库提权其实没那么复杂，教你一句话快速搞定权限提升

“mssql数据库提权其实没那么复杂,教你一句话快速搞定权限提升”

在网上经常能看到一些关于MSSQL数据库安全性的讨论，很多文章会把数据库提权这件事说得特别复杂，用一大堆普通人看不懂的专业术语，比如什么“存储过程注入”、“CLR汇编”、“令牌模拟”等等，让人一看就头大，觉得这必须是超级黑客才能干的事情，但实际上，对于某些特定情况下的MSSQL数据库，提升权限的过程可能比你想象的要简单得多，有时候甚至真的只需要“一句话”就能尝试，我这里必须强调，所有技术都应该用在正当的地方，比如对自己拥有完全权限的测试环境进行学习研究,任何未经授权的攻击行为都是违法的。

为什么会有这种“一句话”提权的可能性存在呢？这通常不是因为MSSQL数据库本身有特别神奇的漏洞，而是因为管理数据库的人可能犯了一些常见的、低级的配置错误，这就好比你把家里的钥匙藏在门垫底下，虽然方便了自己，但也给了小偷可乘之机，数据库里的“钥匙”，就是那个最高权限的账户——sa（system administrator）账户的密码，如果管理员设置了一个非常弱、很容易被猜到的密码，123456”、“admin”或者干脆是空密码,那么攻击者要进去就很简单了。

除了弱密码，另一个常见的错误配置就是“权限过大”，什么意思呢？为了方便，有些开发人员或者初级管理员会直接用一个sa账户去连接应用程序和数据库，这意味着，一旦这个应用程序存在漏洞（比如一个简单的SQL注入漏洞），攻击者通过这个应用程序发起的数据库查询，就直接拥有了sa级别的至高无上的权限，他几乎可以为所欲为，想干嘛就干嘛，在这种情况下，提权根本就不需要了,因为他一开始就在权力的顶峰。

更常见的情况是，我们通过某些方式（比如利用网站漏洞）获得了一个数据库的连接权限，但这个连接的账户权限很低，只是一个普通的数据库用户（比如一个叫‘public’角色的用户），这个账户可能只能看看某些表的数据，不能修改，更不能执行一些危险操作，这时候，提权的需求就来了，所谓的“一句话提权”，往往就是利用MSSQL数据库提供的一些内置功能，这些功能本意是给管理员用的，但如果配置不当，低权限用户也能碰巧调用,从而把权限提升上去。

历史上最经典、最广为人知的“一句话”提权方法，就是利用MSSQL的“xp_cmdshell”这个存储过程，这个功能非常强大，它允许在数据库服务器上直接执行操作系统命令，想象一下，你本来只是在数据库里操作数据，突然获得了一个命令窗口，可以像操作自己电脑一样操作服务器，这权限提升得可就太大了，如果这个存储过程被启用，并且低权限用户有幸能够执行它，那么提权真的就是一句话的事情，攻击者可能会输入类似这样的命令：（来源：常见MSSQL渗透测试笔记）

EXEC master..xp_cmdshell 'net user hacker Password123! /add'

这句话的意思就是，让数据库服务器在它自己的操作系统上执行一条命令：创建一个名为“hacker”，密码为“Password123!”的新系统用户，紧接着,再执行一句话：

EXEC master..xp_cmdshell 'net localgroup administrators hacker /add'

这句话是把刚刚创建的“hacker”用户加入到系统的“administrators”管理员组里，这样一来，攻击者就拥有了一个系统级的管理员账户，可以远程登录服务器，想装什么软件就装什么，想删什么文件就删什么,完全控制了这台机器。

稍微有点安全意识的管理员都会默认禁用“xp_cmdshell”，攻击者可能会先尝试用一句话来开启它：（来源：MSSQL官方文档及安全社区分享）

EXEC sp_configure 'show advanced options', 1; RECONFIGURE; EXEC sp_configure 'xp_cmdshell', 1; RECONFIGURE;

这几句话的意思是：先允许显示高级配置选项，然后重新配置生效，接着将xp_cmdshell的值设为1（即启用），最后再次重新配置使其生效，如果执行成功了,那么就可以继续使用上面提到的命令来添加用户了。

除了xp_cmdshell，还有一些其他的技术也可以用来尝试提权，沙盒”模式提权，或者利用一些特殊的扩展存储过程，但原理都差不多，都是去寻找那些本该被限制访问、但却意外地对低权限用户开放的危险功能。

回过头来看，“MSSQL数据库提权”这件事，其核心并不在于攻击者的技术有多高超，而在于防御者是否做好了最基本的安全防护，防止这种“一句话”提权,管理员至少要做到以下几点：

第一，坚决不用弱密码：sa账户的密码必须是长且复杂的，绝对不能用生日、简单数字序列或者默认密码。

第二，遵循最小权限原则：给应用程序连接数据库用的账户，只授予它完成本职工作所必需的最小权限，绝对不能图省事直接给sa权限，应用程序只需要读数据，就只给读的权限；只需要修改某个表,就只给修改那个表的权限。

第三，禁用不必要的功能：像xp_cmdshell这种高风险的功能，如果业务上用不到，就应该彻底禁用，定期检查数据库的配置,关闭那些不必要的扩展存储过程和高级选项。

第四，及时打补丁：保持MSSQL数据库版本和补丁是最新的,修复已知的安全漏洞。

第五，网络层面隔离：数据库服务器不应该直接暴露在公网上，应该放在内网,通过前端的应用服务器来访问。

你看，所谓的“一句话提权”，其背后反映的往往是安全管理上的疏忽，对于攻击者来说，找到这些疏忽可能就像中彩票一样；但对于防御者来说，堵上这些漏洞却是实实在在、必须要做好的基本功，这篇文章与其说是教人“提权”，不如说是提醒所有管理数据库的人：安全无小事，细节决定成败，千万别因为自己的懒惰和疏忽,让一句简单的命令就毁掉整个系统。