SQLServer注入技巧

一、SA权限执行命令，如何更快捷的获取结果？

有显示位

显示位

其实这里的关键并不是有无显示位。exec master..xp_cmdshell ‘systeminfo’生成的数据写进一张表的时候，会产生很多行。而我们要做的就是如何很多行通过显示位、或者报错语句一次性爆出来，这里的关键就是多行合一。

方法①

图片

解析：

这里6-9句的意思是申明一个@result的临时变量；

设置初始值为’~’；将test_1中的数据数据依次取出来，迭代条件是output>’ ‘，并组合成新的字符串，字符串之间用空格隔开最后复制给@result；然后将@result设置一个别名，然后插入test_2中。

最后报错回显

PS:

mssql英文字母比较大小不区分大小写

mssql字符串比较大小和C语言中的str_cmp()一样的道理

方法②（注入点测试成功、测试平台SQL Server2008- 10.0.1600.22 (X64)

图片

二、如何快速寻找网站目录（SA用户）

SA用户被降权

SA用户未被降权

这里区分降权与非降权是有道理的，如果没有被降权。那么权限很高就可以读取某些保存在本机的配置了，如果权限低一点的话，可以使用dir命令查找。

方法①（被降权:–亲测成功）:

图片

方法②（未被降权–system–亲测成功）:

图片

方法③（sa+system权限+IIS7.0+IIS7.5）：

%systemroot%/system32/inetsrv/appcmd.exe list site ——列出网站列表

%systemroot%\system32\inetsrv\appcmd.exe list vdir ——列出网站物理路径

PS: %systemroot%代表c:\windows\

三、如何利用注入点getshell

方法①（差异备份）–客户端亲测成功–并未要求权限，可以在非sa权限的注入点测试

图片

方法②（减小体积）–客户端亲测成功–并未要求权限，可以在非sa权限的注入点测试

图片

PS:

如果不能备份，很有可能是访问权限的问题。可以切换目录尝试

如果表存在，也不能成功；所以先判断表是否存在，如果存在就删除。

方法③（echo 输出一句话木马）–sa权限+当前用户写权限–亲测成功

图片

PS:这里由于是注入点，因此需要注意编码的问题。一般来说，网页的编码和数据库的编码是一致的（如果不一致~算我输）。这里我用了一个中文路径做说明。

四、如何避免使用select之类的关键字

方法①：十六进制混淆

图片

五、登录点的注入如何最快获取后台密码

本作品采用《CC 协议》，转载必须注明作者和本文链接