Chinaunix首页 | 论坛 | 博客
  • 博客访问: 38953
  • 博文数量: 24
  • 博客积分: 942
  • 博客等级: 准尉
  • 技术积分: 265
  • 用 户 组: 普通用户
  • 注册时间: 2010-05-11 16:21
文章分类
文章存档

2011年(9)

2010年(15)

我的朋友
最近访客

分类: IT职场

2010-08-07 13:10:38

       最近在做一个网络安全相关项目的渗透测试,在拿到了服务器的webshell之后,需要进一步渗透,服务器上有较高权限的软件只剩SQL Server 2005了,而且在webshell中通过SQL Server 2005提权拿到系统权限,由于拿到webshell的服务器在内网,通过防火墙做了端口映射,无法直接使用SQL Server管理工具进行管理,就需要通过webshell执行SQL 语句来操作SQL Server数据库,其中用到了一些非常规的SQL语句,列举一些sql语句来介绍数据库,数据表,视图等等。当我们在使用查询查询操作时这些sql语句都是非常有用的。虽然在sql server对象浏览器中我们也可以获得这些语句,但是如果我们写这些语句时我们可以将它自定义。这就意味着我们可以给予自己的需求来过滤结果。

sql语句列表
(当拿到webshell之后只能看到服务器上有SQL Server数据库但是不知道数据库里有哪些库,这将会是我们无法操作数据库)
如何列举sql server当前连接的可用数据库
Method 1 : SP_DATABASES 
Method 2 : SELECT name FROM SYS.DATABASES 
Method 3 : SELECT name FROM SYS.MASTER_FILES 
Method 4 : SELECT * FROM SYS.MASTER_FILES -- Type=0 for .mdf and type=1 for .ldf
SP_DATABASES是一个可以列举数据库及其大小的存储过程
sys.databases语句中可以列举数据库名称,创建日期,修改日期,已经数据库id和其他一些信息。
SYS.MASTER_FILES语句可以查询数据的详细情况,比如数据库id,大小,物理存储路径以及列举数据库mdf和ldf.
 

如何列举数据库中的数据表
(知道了数据库还需要指导数据库里有那些表,这样才能知道各个库里有什么数据,哪些数据能够帮助我们拿到更高的业务平台权限)
以下的sql语句都可以列表sql server数据库中的用户表.

Method 1 : SELECT name FROM SYS.OBJECTS WHERE type='U' 
Method 2 : SELECT NAME FROM SYSOBJECTS WHERE xtype='U' 
Method 3 : SELECT name FROM SYS.TABLES 
Method 4 : SELECT name FROM SYS.ALL_OBJECTS WHERE type='U' 
Method 5 : SELECT table_name FROM INFORMATION_SCHEMA.TABLES WHERE TABLE_TYPE='BASE TABLE' 
Method 6 : SP_TABLES

如何列举数据库中的存储过程
Method 1 : SELECT name FROM SYS.OBJECTS WHERE type='P' 
Method 2 : SELECT name FROM SYS.PROCEDURES 
Method 3 : SELECT name FROM SYS.ALL_OBJECTS WHERE type='P' 
Method 4 : SELECT NAME FROM SYSOBJECTS WHERE xtype='P' 
Method 5 : SELECT Routine_name FROM INFORMATION_SCHEMA.ROUTINES WHERE ROUTINE_TYPE='PROCEDURE'
SYS.OBJECTS数据表包含了全部的存储过程,数据表,触发器,视图等的信息,这里使用type=’p'来查询存储过程.
Information_schema.routines在sql server 7.0是一个数据视图,在其后的版本中已经变成存储过程专有的表.

如何列举数据库中的视图
Method 1 : SELECT name FROM SYS.OBJECTS WHERE type='V' 
Method 2 : SELECT name FROM SYS.ALL_OBJECTS WHERE type='V' 
Method 3 : SELECT TABLE_NAME FROM INFORMATION_SCHEMA.VIEWS 
Method 4 : SELECT name FROM SYS.VIEWS

如何列举数据库中的函数
Method 1 : SELECT name FROM SYS.OBJECTS WHERE type='IF' -- inline function
Method 2 : SELECT name FROM SYS.OBJECTS WHERE type='TF' -- table valued function
Method 3 : SELECT name FROM SYS.OBJECTS WHERE type='FN' -- scalar function
Method 4 : SELECT name FROM SYS.ALL_OBJECTS WHERE type='IF' -- inline function
Method 5 : SELECT name FROM SYS.ALL_OBJECTS WHERE type='TF' -- table valued function
Method 6 : SELECT name FROM SYS.ALL_OBJECTS WHERE type='FN' -- scalar function
Method 7 : SELECT Routine_name FROM INFORMATION_SCHEMA.ROUTINES WHERE ROUTINE_TYPE='FUNCTION'

如何列举数据库中的触发器
Method 1 : SP_HELPTRIGGER Products 
Method 2 : SELECT * FROM SYS.TRIGGERS WHERE parent_id = object_id('products')
下面我以一个products表为例列举一些对表的操作.

如何获取数据表中的列
Method 1 : SP_HELP Products 
Method 2 : SP_COLUMNS Products 
Method 3 : SELECT * FROM SYS.COLUMNS WHERE object_id = object_id('Products') 
Method 4 : SELECT COLUMN_NAME,Ordinal_position,Data_Type,character_maximum_length FROM                      INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME='Products'

如何根据数据表的列查找数据表的名称
Method 1 : SELECT O.name FROM SYS.OBJECTS O INNER JOIN SYS.COLUMNS C ON C.Object_ID = O.Object_ID  WHERE C.name LIKE '%ShipName%' 
Method 2 : SELECT OBJECT_NAME(object_id) AS [Table Name] FROM SYS.COLUMNS WHERE name LIKE '%ShipName%' 
Method 3 : SELECT TABLE_NAME FROM INFORMATION_SCHEMA.COLUMNS WHERE COLUMN_NAME LIKE '%ShipName%'

如何获得数据表的总列数
Method 1 : SELECT COUNT(@@ROWCOUNT) FROM Products 
Method 2 : SELECT COUNT (ProductID) FROM Products
Method 3 : SELECT OBJECT_NAME(id) AS [Table Name],rowcnt FROM SYSINDEXES WHERE OBJECTPROPERTY(id,'isUserTable')=1 AND indid < 2 ORDER BY rowcnt DESC 
Method 4 : SELECT  rowcnt FROM sysindexes WHERE id = OBJECT_ID('Products') AND  indid < 2 
Method 5 : SELECT OBJECT_NAME(OBJECT_ID) TableName,row_count FROM sys.dm_db_partition_stats WHERE object_id = object_id('Products') AND  index_id < 2

如何获得数据表的约束
Method 1 : SELECT * FROM SYS.OBJECTS WHERE type='C' 
Method 2 : SELECT * FROM sys.check_constraints

如何获得数据表的索引
Method 1 : sp_helpindex Products 
Method 2 : SELECT * FROM sys.indexes WHERE  object_id = object_id('products')

如何获得数据视图的模式定义
Method 1 :  SELECT OBJECT_NAME(id) AS [View Name],text FROM SYSCOMMENTS WHERE id IN (SELECT object_id FROM SYS.VIEWS) 
Method 2 : SELECT * FROM sys.all_sql_modules WHERE object_id IN (SELECT object_id FROM SYS.VIEWS) 
Method 3 : SP_HELPTEXT ViewName

如何获得存储过程中的数据表
Method 1 : SELECT OBJECT_NAME(id) FROM SYSCOMMENTS S 
                     INNER JOIN SYS.OBJECTS O ON O.Object_Id = S.id 
                    WHERE S.text LIKE '%Products%' 
                    AND O.type='P'
总结
为了避免涉及到渗透测试相关的保密数据,这里的相关操作已经经过了处理,以上列举了一下sql server用实用的一些sql语句,希望对你在使用查询窗口操作时有用,这些SQL语句能在无法使用客户端的情况下,通过webshell执行SQL语句的形式对数据库进行管理,由于通过webshell连接的数据库用户权限受限,需要通过现有较低的权限获取系统的结构信息,进一步借助系统现有的较高权限的软件进行提权。

阅读(442) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~