网络安全内网中级靶场03(mssql攻击，绕过defender保护提权，无限制约束委派攻击)

00:前言上一篇文章说到获得了srv01的控制权以后发现还开着MSSQL，通过mimikatz获得了svc_sql的hash并成功kali自带的mssqlclient.py成功登录。并发现SRV01还连着SRV02的数据库。本篇文章会讲讲如何获得SRV02和DC的控制权。01:利用模仿权限获得SA权限目前可以看见输入以下命令都发现并不是管理员权限。如果不是管理员权限很难去调试SRV02中的数据库并开启xp_cmdshell。命令:select is_srvrolemember(‘sysadmin’)虽然我们目前并不是管理员，但是可以模仿它, 具体理论可以看看这位大佬的文章 https://www.netspi.com/blog/technical/network-penetration-testing/hacking-sql-server-stored-procedures-part-2-user-impersonation/ 。简单的来讲就是开发人员使用IMPERSONATE来允许用户暂时变成其它用户(这里包括最高级别的管理员)。所以我们可以尝试直接用以下命令成功暂时变成了管理员。命令：EXECUTE AS LOGIN ………………………………