0x00 前言
介于这段时间比较忙,所以博客的更新也比较慢。本来想前几天就发这个mssql数据库的,但是因为mssql的结构比较复杂,利用方式也比较多,所以又去深入研究了一下mssql的数据库结构和各类的利用方式,以前都是工具一顿唆没有深入去研究过一些手工注入。
美国Microsoft公司推出的一种关系型数据库系统。sql Server是一个可扩展的、高性能的、为分布式客户机/服务器计算所设计的数据库管理系统,实现了与WindowsNT的有机结合,提供了基于事务的企业级信息管理系统方案。 (1)高性能设计,可充分利用WindowsNT的优势。 (2)系统管理先进,支持Windows图形化管理工具,支持本地和远程的系统管理和配置。 (3)强壮的事务处理功能,采用各种方法保证数据的完整性。 (4)支持对称多处理器结构、存储过程、ODBC,并具有自主的sql语言。 sqlServer以其内置的数据复制功能、强大的管理工具、与Internet的紧密集成和开放的系统结构为广大的用户、开发人员和系统集成商提供了一个出众的数据库平台。
上面是百度百科的资料。
mssql和sqlserver有着很大的不同,sqlserver的结构比较复杂,注入语句也比较复杂。但是如果在注入当中数据库是采用sa用户来运行的,那么我们就可以很轻松的拿下webshell。mssql可以直接启用存储过程来执行命令。
master 数据库存放着一切对象的信息,sa或者其他用户的密码 以密文存储
model: 存在创建用户数据库的模板
msdb:用户数据库,存放所有的任务调度
tmpdb:临时数据库,在注入时候如果受限制显示位,存在在某表里面,然后再爆数据。重启会清空tempdb的数据
如果msql 执行命令是使用nt serivice\mssqlserver 这个 服务来执行命令 。
select * from master.dbo.sysobjects where xtype = 'u';
matster是指定数据库名点号后面跟上的是他的架构 再加上表名。
那么我们发现其实这个数据库里面根本没有这张表是怎么回事?
其实这个只是我们的视图,而不是我们真正的表。
sysobjects 是系统的视图,用于存放改数据库内创建的所有对象、如约束、默认值、日志、规则、存储过程,
from master..sysdatabases;
这个查询的也是我们的视图 在mssql里面information这个数据库也都是以视图的形式存在的
查看是否站库分离
and (select host_name()) = (select @@servername))
查询数据库的名字,这个函数可以遍历 在括号里面输入数字可以查询对应的数据库名字
SELECT DB_NAME();
这里再来说到mssql的权限划分,
0x02 存储过程
存储过程(Stored Procedure)是在大型数据库系统中,
一组为了完成特定功能的sql 语句集,它存储在数据库中,一次编译后永久有效
,用户通过指定存储过程的名字并给出参数(如果该存储过程带有参数)来执行它。
存储过程是数据库中的一个重要对象。
在数据量特别庞大的情况下利用存储过程能达到倍速的效率提升
那么我们在实战当中就可以利用到存储过程来直接执行cmd命令
常用的存储过程有xp_cmdshell,sp_oacreate sp_oacreate这个存储过程执行命令无回显,需要输出到txt文件然后进行查看。
在00版本是默认开启xp_cmdshell的 05版本后需要手工开启。
0x03 结尾
本次文章耗时3小时,记录一下时间点。下篇文章写mssql各类注入语法与bypass手法