例子:

1.web,sql分離(sql上網),sa. 讀系統用戶密碼或加用戶反彈,種反彈型后門.

2.web,sql分離(sql不上網),sa. 把和防火墻和策略有關的服務或進程kill掉再測試是否上網 收集盡量多的密碼表.sqlsniffer findpass

gethashs ipc$猜web密碼 vbs讀系統日志查看管理員登陸IP 有可能的話導出注冊表的secpol查看策略規則.

3.web,sql分離(sql上網),dbo_owner. 猜密碼進web后臺. 備份hta到啟動項

4.web,sql分離(sql不上網),dbo_owner.猜密碼進web后臺.

(重點在4,在opendatasource的時候不要以為彈不到外面的1433就不上網了,可以嘗試其他的端口 比如20 21 25 443 445 80等防火墻經常開放的端口)

下面是其它網友的補充：

這里涉及的是這樣的一個情況:
.
web<==>firewall–>sql
.
其中sql和web是單向通訊
(ps:如果sql能出來.問題簡單很多)
…
現在的發現web上有注入..且是sa權限
那么等于拿到了sql主機的adm的權限
….怎么下一步進行
第一步,傳exe文件.
利用注入傳文件.原理上就是講exe換成16進制
插入一張表.然后在導出來.
第二步,執行exe文件
利用oa和xp_cmdshell都可以執行
,
方便的方法就是將執行的命令寫成一個bat然后自動執行
…
后續的動作就比較單調
dump密碼..分析–>,一般來說局域網有通用密碼和弱密碼的
概率很高.所以很容易找出.
利用scan軟件掃局域網機器.掛一個常用字典
.
在局域網里面用sniff.對于hub連接的機器來說.簡直就是惡夢了
.
還有很多技巧..就不敘述了
…
其中利用注入來傳文件應該是一個新東西.其他都是老套路了