前几天参加了一个小hw，遇到了两个SQL注入，记录一下，也是对文章关于mssql注入的知识分享的实战运用。

在 id=38 后面添加 and 1=1 -- ，发现 W*S-WAF 拦截，版本号：Server: w*s/1.6 。

测试发现拦截了空格，空格可通过 + 或 %0a 绕过

确定列数与显示位

输入代码查询列数

可以看到显示位是2和6

查库名

输入代码查看库名

确定数据库是mssql，查询库名和当前用户名：dg2018db和dbo

查询dbo.sysobjects表中用户创建的表，获取其对应的id和name

查询下一个表名

查列名

这里有个坑，查询列名的时候因为已经知道了表名的id值，所以where只需要使用id即可，不再需要xtype了。

查询下一个列名

利用代码查询下一个列名

列名: Ad_Id,Ad_Name,Ad_Password

information_schema

值得一提的是，除了借助sysobjects表和syscolumns表获取表名、列名外，mssql数据库中也兼容information_schema，里面存放了数据表表名和字段名。

查到的表名有以下

'Admin','Anli','AnliType','Article','ArticleType','Banner','Banquan','Fuwu','GdImage','Intro','Kefu','KeyWords','Lx','Message','Product','Type1'

查询Amin表中的列名有：

'Ad_Id','Ad_Name','Ad_Password'

查数据

密码是明文存储：admin/khkj18

另一个payload,用%0a代替空格绕过w*s waf

这里使用"+"运算符将Ad_name和Ad_password查询的结果(两个字符串)给聚合连接起来，并返回一个名为"a"的列，其中包含所有管理员的用户名和密码，用"-"分隔。

登录后台

在 tid=EwMLN3nd') 后面添加 and '1'='1' -- ，发现也是W*S-WAF拦截，版本号：Server: w*s/1.6 。

跟上一个网站一样，空格可通过 + 或 %0a 绕过。

确认列数

利用代码确认列数

查看当前数据库名是tczr2018

查表名

查询dbo.sysobjects表中用户创建的表，获取其对应的id和name

查列名

这里有个坑，查询列名的时候因为已经知道了表名的id值，所以where只需要使用id即可，不再需要xtype了。

查询admin的表

查询下一个列名

字段如下：

'account','createtime','email','grade','Id','modifytime','name','order','password','phone','remark','state'

查数据

后台账密：admin/tc2019119zr

另一个payload,用%0a代替空格绕过w*s waf

这里使用"+"运算符将account,name和password查询的结果(三个字符串)给聚合连接起来，并返回一个名为"a"的列，其中包含所有管理员的账户用户名和密码，用"~"分隔。

登录后台

本文作者：she1by

本文编辑：Yusa

感谢 she1by 师傅 (๑•̀ㅂ•́)و✧

欢 迎 加 入 星 球 ！

代码审计+免杀+渗透学习资源+各种资料文档+各种工具+付费会员

进成员内部群

星球的最近主题和星球内部工具一些展示

加入安全交流群

                               

关 注 有 礼

关注下方公众号回复“666”可以领取一套领取黑客成长秘籍

 还在等什么？赶紧点击下方名片关注学习吧！

推荐阅读

干货｜史上最全一句话木马

干货 | CS绕过vultr特征检测修改算法

实战 | 用中国人写的红队服务器搞一次内网穿透练习

实战 | 渗透某培训平台经历

实战 | 一次曲折的钓鱼溯源反制

免责声明

由于传播、利用本公众号渗透安全团队所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号渗透安全团队及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！