在MSSQL注入中学到的新姿势

  • A+
所属分类:安全文章

0x01 前言

在一次MSSQL注入过程中,目标WEB应用过滤了substring()且不能使用AND、OR语句。通过查询SQL Server官方手册,然后自己利用其它函数的组合,实现了一个新的字符串截取方法。


0x02 注入


由于该注入点已经修复,所以无法复现,就简单复述一下前期的测试过程。


目标WEB程序过滤了一些常见的SQL注入关键字例如:SELECT、AND、CHAR()等,但是目标WEB应用程序为了防止XSS攻击将<>替换为空,所以利用SEL<ECT可以绕过关键字检测

在MSSQL注入中学到的新姿势


绕过了第一点继续进行测试的时候,发现as<cii(x)不管x的值是什么,它的结果都是x本身,被这个坑了挺久的。后来发现WEB应用还进行了二次替换,将ascii、substr等字符替换为空

在MSSQL注入中学到的新姿势


发现这点后心想,这个注入稳了,利用双写asasciicii(subasciistring(user,1,1))绕过WEB应用的检测,但是真正测试的时候并不是我想象得那么简单,WEB报错了,换了很多种组合还是报错。仔细想一想可能是WEB应用还做了别处理,应该换一种方法了



0x03 新方法

通过查阅SQL SERVER官方使用手册(https://docs.microsoft.com/zh-cn/sql/t-sql/functions/charindex-transact-sql?view=sql-server-ver15)发现了一个有用的函数CHARINDEX()

在MSSQL注入中学到的新姿势


比如SELECT CHARINDEX('o', 'root');root开头查找,显而易见第一个o在第二个位置所以返回的结果是2

在MSSQL注入中学到的新姿势


SELECT CHARINDEX('o', 'root', 3);`从`root`第`3`个字符开始查找,那么第一次出现`o`的位置就是`3`,所以这次的返回值是`3

在MSSQL注入中学到的新姿势


SELECT CHARINDEX('o', 'root', 4);`从`root`第`4`个字符开始查找,从第`4`个字符串后面已经没有`o`了所以返回结果为`0

在MSSQL注入中学到的新姿势


CHARINDEX的查找是从左至右的,通过start_location递进,同时利用LEFT()函数递进截取字符串,实现CHARINDEX每次只查找一个字符,案例如下:


SELECT CHARINDEX('a', LEFT('root', 2) ,2);

分析一下语句

  1. 通过LEFT('root',2)截取左边两个字符也就是ro

  2. start_location=2ro第二个字符开始查找也就是去查找o

  3. 最终分析下来就是a在与o就行对比


这里a!=o所以返回0

在MSSQL注入中学到的新姿势


这里o=o所以返回o在字符串中的位置

在MSSQL注入中学到的新姿势


在进行优化一下SELECT CHARINDEX('a', LEFT('root', 2) ,2) - 2;

如果字符不匹配那么返回结果必然小于0

在MSSQL注入中学到的新姿势


如果字符匹配那么返回结果必然等于0,这就算利用CHARINDEX和LEFT函数实现了SUBSTRING的功能

在MSSQL注入中学到的新姿势


Intruder跑数据

实现我上面所说的字符串截取的功能变量应该有4个,而且要保证CHARINDEX和LEFT以及减去的值一致


Intruder模块可以这样设置

在MSSQL注入中学到的新姿势


第一个payload

在MSSQL注入中学到的新姿势


第二个payload

在MSSQL注入中学到的新姿势


第3-4个payload,意思就是复制2的payload

在MSSQL注入中学到的新姿势

在MSSQL注入中学到的新姿势


最终我的注入也可以出数据了

在MSSQL注入中学到的新姿势



发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: