1433端口，是sql server 数据库默认的端
口，sql server服务使用两个端口：
tcp-1433 、udp-1434 。其中1433用于供
sql server对外提供服务 ，1434用于向请
求者返回sql server使用了哪个tcp/ip端
口。
1433有两种漏洞，一种是端口缓冲区溢出
的漏洞（针对sqlserver 2000/2005），一
种是数据库中sa用户弱口令的漏洞 ，这两
种漏洞都可以拿下服务器的cmd权限进行
提权，也有很多人通过这些漏洞进行自动化
的http和ftp的木马执行下载进行远程肉
鸡上线。
本文主要先介绍手动通过sa用户弱口令拿
下对方的cmd进行提权技术。
工具：
1.活跃ip段查询器
2.1433工具包（包含nc监听溢出以及端口
过滤软件）
3.sql tools
4.sql查询分析器（从sql server数据库提
取出的工具）

1. 首先还是利用活跃ip段查询软件 收集
1433活跃ip段 ，放在1433工具包下的
ip.txt的文档中，进行一段时间的扫描。

2. 扫描后将进行命令行模式下的xscan的弱
口令检测，需要比较长的时间，检测完毕后
将自动弹出一份html的漏洞报告。


3. 本课先讲解下弱口令的拿服务器方法，扫
描后有显示咱们的扫描的漏洞ip以及 sql的
用户sa 以及密码。此时我们打开我们的
sql tool，界面如下，我们填写自己的扫
除弱口令的ip、sa用户、密码（密码为空
则不填写）数据库默认为* ，填写好
进行连接。

4. 此时如果连接成功最下面会提示连接成
功，然后我们可以点击“ 利用目录“这时候我
们就有很多权限了包括cmd以及文件管理
的权限，我们先进行”执行dos“后可以执行
第一个默认命令查看是否能执行cmd。

5. 如果执行默认dir命令后提示： 未能找到
存储过程“*..*cmdshell.” （其实
还有很多问题参考本人原创的1433各种提
权技术）

6. 我们打开我们的sql查询分析器（从
sqlserver数据库中分离出的工具），输入
ip以及sql server数据库的用户名以及密
码。

7.进入查询分析器后我们需要执行sql
server查询语句，一般执行以下两条语句
可以恢复存储过程
第一条：
* procedure *addextendedproc
--- 1996/08/30 20:13
@functname nvarchar(517),/* (owner.)
name of function to call */
@dllname varchar(255)/* name of dll
containing function */
as
set implicit_transactions off
if @@trancount > 0
begin
raiserror(15002,-1,-1,‘*
addextendedproc‘)
return (1)
end
dbcc addextendedproc( @functname,
@dllname)
return (0) -- *addextendedproc
go
第二条：恢复存储过
程‘ *..xpcmdshell ‘：
* *addextendedproc *
cmdshell,@dllname
=‘xplog70.dll‘* @o int
首先执行第一条语句，查询是否正确再执
行，之后按照第一条执行的方法执行第二
条。

8. 最后再进入sql tool下面执行dos命令
此时我们将可以执行很多dos命令进行提权
了。

9. 此时可以参考3389提权进行提权你的服
务器了咯~还是靠经验，关于获取cmdshell
中可能遇到很多问题，需要有经验才可以解
决。1433弱口令拿服务器就说到这里了。
1433的基本是2003或者2000的服务器。
注：本文仅供技术参考，切勿用于非法用
途，否则后果自负。