SA权限下的思路变通

注：本文首发于“jxsaqjh网络工作室”，转载请注明出处。

去年的时候已经拿到了这个站的SHELL，可是后门很早就被K了，今天无意间又得到了注入，啊D检测很快就出来了令人欣喜的信息，SA权限，转到NB里面可以列目录但是不能执行，telnet对方1433不能连接，因为曾经入侵过一次知道WEB和SQL在同一台机器上，所以确定对方改了MSSQL端口。

尝试在NB里面恢复CMDSHELL、OACREAT都没有成功，所以开启SQLSERVERAGENT 回显成功之后执行系统命令 还是没有成功，无奈之中希望寄托于沙盒模式，执行如下语句开启沙盒模式 回显成功，进一步调用oledb执行系统命令 回显500，明显出错了，沙盒模式也暂且放下
既然可以写注册表，那一定可以读注册表，那先读读终端端口看看

是默认的3389但是我无法连接，或许是没开终端服务，或许是防火墙屏蔽，不得而知，一定想知道我为什么要连接终端吧，下面看这段语句。 大家一定记得最近很流行的SHIFT后吧，以上两段语句就是利用FSO组件的读写权限替换粘拈键为桌面的启动程序EXPLORER，如果替换成功那么执行5 次SHIFT后就可以直接执行EXPLORER.EXE开启桌面，但是连不上远程这个方法也就不能用了。当然以上的命令需要OACREAT的支持，我也就是抱着侥幸的心理试试看。假设OACREAT没有删，我们还可以利用以下语句执行系统命令 以上两个语句也是利用OACREAT调用wscript.shell和Shell.Application组件执行系统命令,但是在这里我们是用不了的，因为不仅OACREAT不在，就连那两个危险组件管理也写了个批处理卸了：

万般无奈下尝试lOG备分拿只SHELL，可是备分的页面却是404，很显然这个SA没有备分的权限，还能怎么做？看下面： 利用sp_makewebtask这个存储过程写个马进去，很幸运这个过程是能用的，成功得到SHELL，本来想传xplog70.dll上去恢复 xp_cmdshell存储过程，但是执行恢复的时候发现这个过程是在的，然后在海洋里执行CMDSHELL执行系统命令，但是出现了这一句

我晕啊，难道是CMD.EXE删了？在NB里面列目录查看SYSTEM32下的文件，果然没有cmd.exe，这下终于真象大白了，原来不能执行系统命令的原因是每个存储过程都是调用系统的cmd.exe，既然没有cmd.exe那还怎么执行系统命令？管理还是下了辛苦的哦。

[1] [2] 下一页