标题:
[讨论]MsSql注入获取数据信息。
[打印本页]
作者:
虚竹
时间:
2008-7-21 00:15
标题:
[讨论]MsSql注入获取数据信息。
[讨论]MsSql注入获取数据信息。
议题作者:寂寞宝贝
信息来源:邪恶八进制信息安全团队(
www.eviloctal.com
)
今得到一个注入点,MSSQL的数据库,DB_OWNER权限,支持多语句,数值型注入点,能列远程服务器文件和其他。
Web和数据库分离,Web那台服务器没办法搞下!我只是想要他数据库里面的部分数据,因为他的数据量超大,大概表里有超过20万条记录,所以用工具一条一条爆是不现实的,并且我需要的只是部分数据,数据库服务器是单独的,就装了个6.4的SU和MSSQL,其他啥都没有,也没有开WEB,所以备份数据成文件下载也是不可能了,个人SQL注入很菜,想问下各位大大。。。怎么在这个注入点得到我所需要的那些信息,因为我需要的信息大概有1万多条。。所以我想能不能像SQL查询分析器一样。。。一下查出来!谢谢各位大大了!成功的男人白天瞎JB忙,晚上JB瞎忙;失败的男人白天没啥鸟事,晚上鸟没啥事。
帖子428 精华
12
积分4620 阅读权限100 性别男 来自云南 在线时间172 小时 注册时间2006-2-7 最后登录2008-7-16
查看个人网站
查看详细资料
引用
报告
回复
TOP
少女暴富的隐秘(图)
寂寞宝贝
荣誉会员
作者:
咖啡豆
时间:
2008-7-21 00:15
对了。。网段没有其他机器,所以ARP也别想了,怎么从这个注入点得到我要的东西呢 ?成功的男人白天瞎JB忙,晚上JB瞎忙;失败的男人白天没啥鸟事,晚上鸟没啥事。
帖子428 精华
12
积分4620 阅读权限100 性别男 来自云南 在线时间172 小时 注册时间2006-2-7 最后登录2008-7-16
查看个人网站
查看详细资料
引用
报告
回复
TOP
让女孩一夜变的更有女人味
単′練′
晶莹剔透§烈日灼然
作者:
betty
时间:
2008-7-21 00:15
备份启动项等待重起机子!
就这样撒!
帖子4 精华
0
积分-12 阅读权限1 在线时间14 小时 注册时间2007-12-3 最后登录2008-4-16
查看详细资料
引用
报告
回复
TOP
让女孩一夜变的更有女人味
寂寞宝贝
荣誉会员
作者:
原始宝宝
时间:
2008-7-21 00:15
。。。。。楼上的,用DB权限备份启动项我也干过,可从来没成功过。。。。不是缺少字符就是语句不正确。。。成功的男人白天瞎JB忙,晚上JB瞎忙;失败的男人白天没啥鸟事,晚上鸟没啥事。
帖子428 精华
12
积分4620 阅读权限100 性别男 来自云南 在线时间172 小时 注册时间2006-2-7 最后登录2008-7-16
查看个人网站
查看详细资料
引用
报告
回复
TOP
brull
晶莹剔透§烈日灼然
作者:
haha0518
时间:
2008-7-21 00:15
引用:
原帖由 寂寞宝贝 于 2008-2-16 11:06 发表
。。。。。楼上的,用DB权限备份启动项我也干过,可从来没成功过。。。。不是缺少字符就是语句不正确。。。
偶也是,老早就看过 那种DB权限备分的文章~~自己楞是没成功过
帖子1 精华
0
积分1 阅读权限40 在线时间10 小时 注册时间2008-2-13 最后登录2008-7-18
查看详细资料
引用
报告
回复
TOP
让女孩一夜变的更有女人味
dee
晶莹剔透§烈日灼然
作者:
实话实说
时间:
2008-7-21 00:15
:D
单练GG说的这个备份启动嘛.
只要把mssql的事务日志压缩删除
再备份到启动,只要mssql是system权运行,成功率还是蛮高的,起码我到现在还没有失败过
:)
帖子1 精华
0
积分3 阅读权限40 性别男 在线时间1 小时 注册时间2007-9-13 最后登录2008-3-10
查看个人网站
查看详细资料
引用
报告
回复
TOP
让女孩一夜变的更有女人味
hack520
运维管理组
作者:
3414428
时间:
2008-7-21 00:15
openrowsetWww.China-Mu.Co.Kr 猪毛奇迹 1.02Q 将带给你无比的震撼。
帖子1082 精华
6
积分5597 阅读权限150 性别男 在线时间576 小时 注册时间2005-3-18 最后登录2008-7-2
查看个人网站
查看详细资料
引用
报告
回复
TOP
让女孩一夜变的更有女人味
mika
技术核心组
作者:
sundyandy
时间:
2008-7-21 00:15
数据库服务器是在内网吗?如果可以直接访问的话,连1433然后导就是了。如果是在内网的话,可以试试openrowset和opendatasource。
楼主没把情况说明白嘛,比如有没有后台登陆啊,如果有的话从数据库里找到后台登陆密码想办法弄个webshell也性的嘛。有了webshell,找到数据库连接文件然后就知道了数据库的连接帐户和密码了吧,然后你写个asp文件自动将数据库导到web服务器上,然后http下载回来啊。
分好多情况呢,嘿嘿,俺暂时就想到这些。我的部落格:http://www.mikwawa.cn/
帖子171 精华
16
积分4223 阅读权限200 性别女 在线时间344 小时 注册时间2006-7-7 最后登录2008-7-4
查看详细资料
引用
报告
回复
TOP
柳柳
晶莹剔透§烈日灼然
作者:
漠人
时间:
2008-7-21 00:15
楼上说的后台 webshell 估计你应该没得后台这些不然下载个数据不是很easy的事情啊。。。 赞同试试openrowset
帖子7 精华
0
积分22 阅读权限40 性别男 在线时间19 小时 注册时间2007-12-6 最后登录2008-7-17
查看详细资料
引用
报告
回复
TOP
nonceky
晶莹剔透§烈日灼然
作者:
牛屎仔
时间:
2008-7-21 00:15
这样的网站有mssql注入的,台湾超多,我试了,很累人的。 多点耐心
帖子8 精华
0
积分25 阅读权限40 在线时间3 小时 注册时间2008-1-31 最后登录2008-7-9
查看详细资料
引用
报告
回复
TOP
remax
晶莹剔透§烈日灼然
作者:
sxp
时间:
2008-7-21 00:15
想办法搞下web//
同步数据库//20字节够写什么?
帖子325 精华
2
积分911 阅读权限50 在线时间79 小时 注册时间2005-10-25 最后登录2008-7-13
查看个人网站
查看详细资料
引用
报告
回复
TOP
28度的冰
荣誉会员
作者:
山冈分
时间:
2008-7-21 00:15
请看
http://www.google.cn/search?aq=f ... %E7%B4%A2&meta=
I love amethyst!
帖子177 精华
0
积分3591 阅读权限100 性别男 来自浙江 在线时间215 小时 注册时间2007-1-18 最后登录2008-7-18
查看个人网站
查看详细资料
引用
报告
回复
TOP
逗号
晶莹剔透§烈日灼然
欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com./)
Powered by Discuz! 7.2