MSSQL默認運行在system 權限上，可以通過xp_cmdshell 組件執行系統命令，執行權限繼承system權限

 條件:  數據庫賬號是 DBA權限

XP_cmdshell

 EXEC xp_cmdshell 'whoami';

不僅僅在拿到webshell之后 使用webshell連接數據庫 執行這個sql語句，還可以在SQL注入時候，在URL上直接使用xp_cmdshell,因為mmsql可以多語句執行注入。

 例如：index.aspx?id=1;EXEC xp_cmdshell 'net user administrator 132456'; --+

aspx馬 有Database 可以鏈接數據庫進行管理

Image.png

Image.png

Image.png

Image.png

添加xp_cmdshell 之后 我們使用xp_cmdshell 執行whoami命令可以看到權限是system

Image.png

接下來 可以

            修改管理員密碼
            創建一個新用戶 添加到管理員組
            提取當前登錄用戶密碼  （Getpass.exe）
            修改幫助賬號（SUPPOTR_338945a0）的密碼，并添加管理員組 (比較不容易被發現，推薦使用)
            提取用戶密碼哈希值（wce.exe）

演示：提取密碼hash值

Image.png

Image.png

hash解密網站

http://www.objectif-securite.ch/ophcrack.php

Image.png