相信大家都看过LCX大虾写的《MSSQL db_owner角色注入直接获得系统权限》吧，小弟不自量力也写写我利用MSSQL db_owner角色注入直接获得系统权限的方法。LCX大哥大致取得系统权限的思路是利用MSSQL中xp_regread的存储过程读出vnc在注册表中的密码，然后再破解，就可以拿到管理员权限。可是在网上毕竟装vnc的服务器是少数，要是一台你很想进入的服务器不装vnc，也就是说没有5900端口，尽管这个网站存在注射漏洞，你破出管理员密码，找到后台（假设这个网站没有数据库备份和文件上传及上传漏洞）但是你却没有办法取得一个shell，只有干瞪眼的份。还好sql在提供xp_regread的时候还给我们附带拉个xp_regwrite，我就利用xp_regwrite来拿系统权限，下面是我利用xp_regwrite取得系统权限的一次经历。

http://www.***.com是一个比较大的综合门户网站，ALEXA排名在前100名，好，今天的目标就是他拉，在搞之前首先要采好点，呵呵，也就是要找到注射点，这个是我们今天入侵的基础。在主页上看拉看，全部是静态网页，不存在注射的可能，可能你会说他可能是后台生成htm（开始偶也是这么认为，可是进去之后才知道原来根本不是），再源文件里找拉找也没有asp?的踪影，好看看其他的吧，恩，没费多少时间在他的动漫网中找到拉一个注射点，呵呵，开始抄家伙，恩，没费多大径就用NBSI2暴出拉管理员的密码，管理后台以及找到拉网站的绝对路径，本来以为接下来想要一个webshell应该很容易，谁知道要比我想的难得多，没有上传漏洞也就算拉，竟然连数据库备份的功能也没有，把asp木马改成后缀为jpg,gif上传竟然也没法上传成功，我倒，难道就这样放弃拉，我可不是那种轻言放弃的人，不过暂时我也没有什么好的办法，明天还要上课，只好暂时放弃。

第二天，我连上课心情都没有，满脑子里想的全是怎么拿到webshell或系统权限。好不容易等到下课，赶紧跑道计算机室里上网找找有没有关于这方面的资料，呵呵，黄天不负有心人终于让偶给找到拉一篇CZY大虾写的《How to execute system command in MSSQL》里面详述拉怎么获得管理员权限的方法，可是我的情况和czy文章里的情况略有不同，那个网站连接数据库的用户没有服务器sysadmin权限，只有数据库db_owner的权限，好多存储过程不好用，不过还好xp_regread和xp_regwrite好利用，这两个只要db_owner就好运行。好，说干就干，赶紧打开网站在注射点输入

xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\
currentversion\run','xwq1','REG_SZ','net user xwq xwq /add'

呵呵，返回一个正常页面，说明成功完成拉，再在注射点输入

xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\
currentversion\run','xwq2','REG_SZ','net localgroup administrators xwq /add'

好，只要让服务器重起，就会在系统中加上xwq这个管理员帐号，至于怎么让他重起，就要看各位的能耐拉，我可是迫不及待拉，赶紧ddos，过没多久，服务器就重起拉，马上用远程桌面连接连上去（呵呵，可能管理员觉得3389比较好把），输入xwq,xwq,yeah!!!进去拉，好拉接下来的事么就是留个后门rootkit+dll插入木马+asp，删除日志，克隆帐号，删除xwq这个帐号，闪人。

后记，其实直接加管理员帐号的作法，很冒险，要是管理员就在电脑旁边，他肯定回起疑心，反而暴露自己的行踪，呵呵，看你运气拉。你也可以在知道网站的绝对路径之后再利用xp_regwrite在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\currentversion\run里写上一句话木马，在用asp木马提权。