xp_cmdshell per aggiungere l'amministratore del dominio

4

L'altro giorno ho effettuato una valutazione su SQL injection e l'unica domanda che non ho fatto è stata quella di aggiungere un amministratore di dominio. Ho avuto accesso a xp_cmdshell. Provato net user username password /ADD /DOMAIN ma autorizzazione negata

SQL Server 2008 R2 e Windows Server 2008 R2

Qualche suggerimento? Ho il nome di dominio e l'elenco degli amministratori se questo aiuta?

    
posta pee2pee 21.01.2016 - 23:52
fonte

1 risposta

1

Questo è disabilitato di default su quelle particolari versioni. Affinché il tuo exploit funzioni, il tuo utente di database dovrebbe accedere al comando xp_configure per abilitare xp_cmdshell dopo il quale puoi effettivamente aggiungere il tuo utente.

    
risposta data 22.01.2016 - 06:25
fonte

Leggi altre domande sui tag