觸發器權限和所有權

CREATE TRIGGER 權限默認授予定義觸發器的表所有者、sysadmin 固定服務器角色成員以及 db_owner 和 db_ddladmin 固定數據庫角色成員，并且不可轉讓。

需要的環境

本文需要的環境是已經獲取了sql服務器的以上其中一個權限，目的是為了留下隱蔽的后門，不被管理員發現。即使發現了也是加密的(可以破解，不過有些管理員不懂，也不會注意，相關信息google下)。

觸發器是在對表進行插入(insert)、更新(update)或刪除(delete)操作時，自動執行的存儲過程。最常見用于執行敏感數據操作時做歷史記錄。

本文以動網論壇dvbbs為例，我們已經拿到了db_owner權限(注意：并不是說dvbbs本身有漏洞)。因為只是db_owner權限，所以讀者想去執行“xp_cmdshell”，就不在本文范圍了，相信讀過本文后，只要有系統權限，做個系統的后門也是簡單的。先回想一下通常我們使用數據庫時要做什么和關心什么。

為什么要使用觸發器作后門?

管理員首先會把sql文件執行下，然后導入mdb的內容，平時使用頂多備份下，還原下。通常不會有人去看觸發器的內容，查看觸發器可以使用命令“exec sp_helptrigger 'dv_admin'”，或者在企業管理器中選擇“管理觸發器”。因為動網根本沒有用到觸發器，也沒有提到觸發器，所以動網的管理員不會去看的。于是我們在里面寫的內容就相對安全了。

思路

觸發器主要是用來做歷史記錄的，當然可以把管理員更改密碼和添加用戶的歷史記錄下。放進一個管理員通常不會注意的、普通用戶又可以看到的地方。

動網的密碼有md5加過密的，加密的操作是asp程序在服務器上來完成的，等數據庫拿到數據的時候已經是加過密的了。但是動網同時把密碼以明文方式放入dv_log表中，就給了我們方便。只要拿到dv_log表中l_content字段的內容，然后判斷是否管理員在執行敏感操作，后門思路就形成了。

使用過程