cookies中的盲MSSQL注入堆叠查询

Question

我目前正在处理一个bug赏金程序，在目标的一个子域中，cookie中存在一个盲SQL漏洞。但是后端是MSSQL/ASP.net，因为cookie是用分号分隔的；“我找不到一种方法来尝试堆叠查询。

我知道数据库实例正在以"sysadmin“用户的身份运行，所以堆叠的查询将允许我实现RCE。在这种情况下可以堆栈查询吗？如果没有，是否仍然可以实现RCE (不显示错误消息)？

Answer 1

我可能有点晚了，但在我的例子中，URL-编码整个有效载荷通常工作正常。

例如，当注入像TrackingCookie=ASDFAJKLMNOP这样的on cookie值时：

**ORIGINAL PAYLOAD** => '; SELECT CASE WHEN (1=1) THEN pg_sleep(10) ELSE pg_sleep(0) END -- c
**BECOMES** => %27%3B%20SELECT%20CASE%20WHEN%20%281%3D1%29%20THEN%20pg_sleep%2810%29%20ELSE%20pg_sleep%280%29%20END%20--%20c

如果可能的话，可能需要检查目标服务器是否事先了解URL编码的有效负载。它没有发生在我身上，但它可以避免您在使用此方法进行测试时尝试的任何尝试和错误过程中浪费时间。

有效载荷直接从PortSwigger的SQL注入备忘表获取，用于PostgreSQL数据库。

希望这对你或任何试图(盲目)堆叠SQLi的人都有帮助。

保持警惕，保持道德！