在MSSQL注入中学到的新姿势

最新推荐文章于 2024-11-12 09:50:01 发布
最新推荐文章于 2024-11-12 09:50:01 发布
阅读量39 收藏
点赞数
文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_27278819/article/details/133281885
版权

关注微信公众号获取更多资讯,第一时间学习最新前沿渗透技术!
在这里插入图片描述

0x01 前言

在一次MSSQL注入过程中,目标WEB应用过滤了substring()且不能使用AND、OR语句。通过查询SQL Server官方手册,然后自己利用其它函数的组合,实现了一个新的字符串截取方法。

0x02 注入

由于该注入点已经修复,所以无法复现,就简单复述一下前期的测试过程。

目标WEB程序过滤了一些常见的SQL注入关键字例如:SELECT、AND、CHAR()等,但是目标WEB应用程序为了防止XSS攻击将<>替换为空,所以利用SEL<ECT可以绕过关键字检测
image.png

绕过了第一点继续进行测试的时候,发现as<cii(x)不管x的值是什么,它的结果都是x本身,被这个坑了挺久的。后来发现WEB应用还进行了二次替换,将ascii、substr等字符替换为空
image.png

发现这点后心想,这个注入稳了,利用双写asasciicii(subasciistring(user,1,1))绕过WEB应用的检测,但是真正测试的时候并不是我想象得那么简单,WEB报错了,换了很多种组合还是报错。仔细想一想可能是WEB应用还做了别处理,应该换一种方法了

0x03 新方法

通过查阅SQL SERVER官方使用手册(https://docs.microsoft.com/zh-cn/sql/t-sql/functions/charindex-transact-sql?view=sql-server-ver15)发现了一个有用的函数CHARINDEX()
image.png

比如SELECT CHARINDEX('o', 'root');root开头查找,显而易见第一个o在第二个位置所以返回的结果是2
image.png

SELECT CHARINDEX('o', 'root', 3);root3个字符开始查找,那么第一次出现o的位置就是3,所以这次的返回值是3
image.png

SELECT CHARINDEX('o', 'root', 4);root4个字符开始查找,从第4个字符串后面已经没有o了所以返回结果为0
image.png

CHARINDEX的查找是从左至右的,通过start_location递进,同时利用LEFT()函数递进截取字符串,实现CHARINDEX每次只查找一个字符,案例如下:

SELECT CHARINDEX('a', LEFT('root', 2) ,2);
分析一下语句

  1. 通过LEFT('root',2)截取左边两个字符也就是ro
  2. start_location=2ro第二个字符开始查找也就是去查找o
  3. 最终分析下来就是a在与o就行对比

这里a!=o所以返回0
image.png

这里o=o所以返回o在字符串中的位置
image.png

在进行优化一下SELECT CHARINDEX('a', LEFT('root', 2) ,2) - 2;
如果字符不匹配那么返回结果必然小于0
image.png

如果字符匹配那么返回结果必然等于0,这就算利用CHARINDEX和LEFT函数实现了SUBSTRING的功能
image.png

Intruder跑数据

实现我上面所说的字符串截取的功能变量应该有4个,而且要保证CHARINDEX和LEFT以及减去的值一致

Intruder模块可以这样设置
image.png

第一个payload
image.png

第二个payload
image.png

第3-4个payload,意思就是复制2的payload
image.png
image.png

最终我的注入也可以出数据了
image.png

渗透的艺术
关注
mysql索引详解
学Java,找哪吒
07-07 10万+
MySQL的存储引擎架构将查询处理与数据的存储/提取相分离
〖Python 数据库开发实战 - Python与MySQL交互篇②〗- SQL 注入攻击案例
易编橙 · 终身成长社群,相遇已是上上签!
08-22 4万+
上一章节,我们只是简单的了解了 MySQL Connector 的语法,完成了一个简单的案例。Python 语言操作数据库不是到这里就结束了后续还有很多高级的内容等着我们去学习,该章节我们就来学习一下对所有数据库都有效的 "SQL 注入攻击" 。
SQL注入总结
qq_44657899的博客
07-25 3271
布尔盲注 布尔型数字盲注 fuzz1 1 结果1 2 结果2 2-1 结果1 fuzz2 1 结果1 1^1 结果2 1^0 结果1 常用语句^(ascii(substr((select(value)from(flag)),1,1))>1) 脚本一(简单,效率低): import requests s=requests.session() flag = '' for i in range(1,50): for j in '{qwertyuiopasdfghjklzxcvbnm_@#
【数据库】基础
屎蛋的铲屎官
06-11 1万+
一 什么是slot slot可以将html从父组件传入子组件。 二 单个插槽(默认插槽,匿名插槽) 单个插槽可以放置在组件的任意位置,但是就像它的名字一样,一个组件中只能有一个该类插槽。 假定 my-component 组件有如下模板: <div> <h2>我是子组件的标题</h2> <slot> 只有在没有要分发的内容时才会显示。 ...
MyBatis Plus基础理论以及实战
lose123_的博客
06-28 2460
MyBatis Plus 基础篇 项目地址:https://gitee.com/ldxdong/mybatis-plus 一、简介 MyBatis 是一个半自动的 ORM 框架。 MyBatis-Plus(简称 MP)是一个 MyBatis 的 增强工具,在 MyBatis 的基础上只做增强不做改变,为简化开发、提高效率而生。 【提示】当前最的版本 3.1.1。 拥有强大的特性 1)无侵入:只做增强不做改变,引入它不会对现有工程产生影响,如丝般顺滑 2)损耗小:启动即会自动注入基本 CURD,性能基本无
2024最最全:【计算机自学网站】大全,零基础入门到精通,看完这一篇就够了!
wholeliubei的博客
09-02 4462
它提供的英语语法学习内容非常丰富,并且进行了极其详细的分类,包括:语法闻、名词用法、代词用法、冠词用法、数词用法、介词用法、连词用法、形容词用法、副词用法、比较等级、动词用法、连系动词、情态动词、动词时态、被动语态、虚拟语气、 非谓语动词、疑问句、祈使句、 感叹句、否定句、 倒装句、 强调句 、ther be 存句、 省略。当然,网站也支持直接搜索。它对这些考试题库进行了详细并且精心的分类:学历类、职业资格类、外语类、计算机类、财会类、建筑类、医药类、外贸类、公务员类、考研类、企事业内部考试类。
学习MyBatis-Plus3这一篇就够了
热门推荐
轻松的小希
11-25 8万+
MyBatis-Plus(简称 MP)是一个 MyBatis 的增强工具,在 MyBatis 的基础上只做增强不做改变,为简化开发、提高效率而生。 我们的愿景是成为 MyBatis 最好的搭档,就像 魂斗罗 中的 1P、2P,基友搭配,效率翻倍。 文章于2020年10月10日前更出来,敬请期待! ...
PHP+Mysql 带SQL注入源码 下载
01-01
这个"PHP+Mysql 带SQL注入源码 下载"的主题涉及到一个常见的安全问题——SQL注入,以及如何处理和预防这种情况。下面将详细讨论SQL注入、PHP与MySQL的结合使用,以及如何防范SQL注入。 **SQL注入** SQL注入是一种...
mssql注入学习(一)
rane的博客
03-19 727
权限探测 select HOST_NAME(),@@SERVERNAME; 利用and逻辑语句判断是否站库分离 判断xp_cmdshell是否开启? 存储过程中的xp_cmdshell可执行系统命令,是后续提权操作的主要方式,从MSSQL2005版本之后,默认关闭,如果xp_cmdshell权限没开启的话,我们可以执行下面命令开启 首先判断xp_cmdshell是否开启,1为打开,0为关闭 se...
初探MSSQL注入
要不,单步调试走起?
12-27 5157
探索MSSQL下,有了SA注入点到底能走到哪一步!
mysql注入获取数据表_SQL注入之获取指定数据库数据Mysql(基础篇)
weixin_39750190的博客
01-25 3034
前言> 我们知道,在我们进行某网站sql注入的时候,我们有时候只可以进行简单的 union select user(),version(),@@basedir() #> 这类简单的查询,想要获得管理员用户密码或者敏感信息的时候就很难搞,因为我们不知道他的数据库表的名字以及字段名字,这篇文章就是介绍一下如果利用Mysql数据库自带的information_schema数据库获取其他数据库...
MSSQL注入学习笔记
eldn__的专栏
12-02 819
mssql权限:SA,DB_OWNER,PUBLIC 判断权限的语句: SA权限: and 1 = (select IS_SRVROLEMEMBER('sysadmin')) DB_OWNER权限: and 1 = (select IS_SRVROLEMEMBER('db_owner')) PUBLIC权限: and 1 =1 (select IS_SRVROLEMEMBER('publi
【网络安全 | 甲方建设】构建安全的密码重置功能
最新发布
等风来
11-12 154
任何需要登录的网站,都需为用户提供“找回密码”功能,以便在用户忘记密码时可以重获得访问权限。但要做到安全可靠、避免漏洞并非易事。本文从“默认安全”的角度出发,探讨如何设计安全的找回密码功能,但在实际业务中,需兼顾用户体验。
2024年网络安全(黑客技术)三个月自学手册
csbDD的博客
11-06 2223
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
【网络安全 | 漏洞挖掘】隐藏的 DOS 技术
等风来
11-11 286
我调查了这些参数的用途,发现它们被传递给了第三方服务,且该服务的文档说明这些参数是安全的。你可以试试这样做:前往https://ash-speed.hetzner.com/并找到一个测试文件(大小大约1到10 GB),如果服务器等待URL请求完成,你可以通过大量此类请求来淹没服务器,从而导致它最终崩溃。于是我发送了一个包含1000个UUID的列表,结果网站在60秒后超时,并出现了显著的延迟。在我的案例中,这导致了客户网站的DOS攻击,问题被发现并快速修复,甚至在我报告漏洞之前。
硬件设备网络安全问题与潜在漏洞分析及渗透测试应用
weixin_62512865的博客
11-08 1193
硬件加密绕过漏洞:研究发现,多款流行的SSD存在加密机制绕过漏洞,攻击者可以无需密码 即可绕过硬盘加密措施,获取硬盘中的数据内容。这包括Crucial和Samsung等品牌的SSD产 品,它们尝试实现TCG Opal加密标准,但存在缺陷,允许在不知道任何密钥的情况下完全恢 复数据。固件更机制漏洞:英睿达MX500系列SSD被曝出存在缓冲区溢出漏洞,攻击者可以精心构 造ATA数据包,通过主机直接发送给SSD控制器,从而触发缓冲区溢出,可能导致数据泄露。
数据安全、信息安全、网络安全区别与联系
2401_88326591的博客
11-07 953
信息安全是保护信息系统免受意外或故意的非授权泄漏、传递、修改或破坏。
shodan 【2】(泷羽sec)
m0_68984471的博客
11-08 980
shodan的使用方法
如何用3个月零基础入门网络安全?_网络安全零基础怎么学习
2401_84466224的博客
11-11 455
我们知道计算机最早是在西方发明出来的,很多名词或者代码都是英文的,甚至现有的一些教程最初也是英文原版翻译过来的,而且一个漏洞被发现到翻译成中文一般需要一个星期的时间,在这个时间差上漏洞可能都修补了。”答案是否定的,黑客用的电脑,不需要什么高的配置,只要稳定就行.因为黑客所使用的一些程序,低端CPU也可以很好的运行,而且不占什么内存.还有一个,黑客是在DOS命令下对进行的,所以电脑能使用到最佳状态!观看学习近十年所有0day挖掘的帖,然后搭建环境,去复现漏洞,去思考学习笔者的挖洞思维,培养自己的渗透思维。
网络安全之信息收集
qq_63034068的博客
11-09 566
网站漏洞扫描,各种扫描器了 如AWVS,Xray,Goby以及各种工具一起利用。Google 语法:intitle=公司名称;nslookup 如果返回域名解析对应多个 IP 地址多半是使用了 CDN。百度 语法:intitle=公司名称;目录扫描 御剑 dirsearch。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值