db_owner到sysadmin的测试
《sql injection终极利用方法》一文影响蛮大的,在叮当群上我们一帮人也讨论并测试了文章里的一点东西,这里把我们测试结果发一下:
在2个前提条件下,文章里的方法是可以实现的
① 连接的dbo用户必须对master有权限
② SQL必须设置为“允许对系统目录直接进行修改”(SQL Server属性--服务器设置)
这2个条件都是比较苛刻的,尤其是第2条,使的文章里提到的方法的成功率应该不是很高。
如果没有第1条,那么当我们执行drop procedure sp_addlogin操作时就会提示
服务器: 消息 3704,级别 16,状态 1,行 1
用户没有在 过程 'sp_addlogin' 上执行该操作的权限。
没有第2条,我们恢复sp_addlogin事 会提示错误
服务器: 消息 259,级别 16,状态 2,过程 sp_addlogin,行 115
未启用对系统目录的特殊更新。系统管理员必须重新配置 SQL Server 以允许这种操作。
顺便对文章里提到的xp_regwrite进行下测试,测试结果也是要求“连接的dbo用户必须对master有权限”
不过在使用 xp_regread时 并不要要求对master的权限
如果你感兴趣,也可以对其他的“扩展过程”进行这样的测试 :)
虽然文章里面的直接成功率小,但是可以做为 “后门”。