SQL注入漏洞-Mssql报错注入

Mssql即Sql Sever,SQL Server 是Microsoft 公司推出的关系型数据库管理系统,Sql Sever通常与IIS服务器搭配使用。

在mssql注入过程中,经常用到一些mssql中的系统函数,这些系统函数有助于帮助获取目标站点的信息:

User;user_name();system_user用户

db_name():当前数据库的名字

host_name():主机名字

@@version:数据库版本

@@servername:服务器名称

@@language:当前所使用语言的名称

@@spid:当前用户的进程ID

is_srvrolemember ('sysadmin') 判断用户是否属于管理员的组


判断页面是否可以注入,首先访问页面

在参数id=1后面添加单引号。

 出现报错情况。然后在id=1后面添加 and 1=1,页面响应正常。

在id=1后面添加 and 1=2,页面没有数据返回。

根据上面的情况可以判定id=1这里是可以注入的,并且可以确定参数id是整数类型(int)的。

造成注入的原因是未对参数进行任何处理。关键代码:

string where = string.Format("ID={0}", Request.Params["id"]);

拼接后的sql语句为:select * from articles where ID=1

把参数id后面的1替换为@@version,参数ID为整型数据,因为字符串型的数据无法转换成整数型的数据,所以出现了报错现象。

 注入后的sql语句变为:select * from articles where ID=@@version

@@version表示获取数据库的版本,因为不同版本的数据有略微的差别,所以获取数据的版本信息还是很重要的。


is_srvrolemember ('sysadmin')函数是用来判断当前的数据用户是否属于管理员组权限,即sql server中的最高权限。利用is_srvrolemember ('sysadmin')返回的值来产生能触发强制类型转换错误的字符串。88是字母X的十进制ASCII值,%2B是加号("+")的URL编码。如果当前用户不属于sysadmin组,那么is_srvrolemember ('sysadmin')将返回0,char(88+0)将返回字母X。而如果当前用户拥有管理员权限,那么is_srvrolemember ('sysadmin')将返回1,char(88+1) 将返回字母Y,再次触发强制类型转换错误。

注入后的sql语句变为:

select * from articles where id=char(88+is_srvrolemember ('sysadmin'))

这里需要注意url中不能写成+,要写成URL编码后的形式%2b,因为url中的+被认为是空格。报错信息为Y,说明is_srvrolemember ('sysadmin')的值为1,可以断定当前的数据库用户属于管理员组。


 用having 1=1爆出第一个字段的名字。

爆出其他字段内容,方法为在group by 后面跟上第一个字段,爆下一个字段的时候需要在group by后面跟上前面得到的所有字段。

接着爆下一个字段的名字,注入语句为group by id,title having 1=1。自己尝试爆出剩下的字段名。

爆字段内容。这里用到转换类型错误报错,形如1=0/columnname,因为0是整数型,而columnname为字符型。爆字段title的内容。

注入后的sql语句为:select * from articles where ID =1 and 1/title。因为title为字符串类型,转换出错。

如果登录界面存在这种错误,那么攻击者可以通过这种方法来获取用户的用户名和密码等信息。


 

了解group by having的用法。

详细参考:

Group by与having理解 - cnby - 博客园

sql中的group by 和 having 用法解析 - 夕诺 - 博客园

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值