1. 识别数据库
要想成功发动SQL注入攻击,最重要的是知道应用正在使用的DBMS。
线索:
ASP或者.NET应用通常使用Microsoft SQL Server
PHP应用很可能使用Mysql
JAVA则可能是Oracle或者Mysql
安装IIS(Internet信息服务器)作为服务器平台标志着应用基于Windows,后台数据库很可能是SQL Server
运行Apache和PHP的Linux服务器则很可能使用Mysql等开源数据库
识别数据库的最好方法很大程度上取决于是否处于盲态。
非盲跟踪
- 通过报错信息
- 通过特定查询返回DBMS版本信息
盲跟踪
基于不同DBMS所使用的SQL“方言”上的细微差异
从字符串推断DBMS版本
从数字函数推断DBMS版本
有一个有趣的技巧 可以确定MySQL的准确版本
对于MySQL,有三种不同方法来包含注释:
1.“#”字符
- "-- "(不要忘记两个减号后的空格)
- "/* /"包含注释
对于第三种方法,如果在注释开头部分添加一个感叹号并在后面跟上数据库版本编号,那么剩余注释将会被解释为代码,只要安装的数据库版本大于或者等于注释中的版本*,代码就会被执行。
SELECT 1 /*!40119 + 1*/
上述语句将返回两种可能结果:
- 2(MySQL版本大于40019)
- 1 (其他情况)
2.使用UNION查询语句提取数据
可以使用 UNION 语句连接两条或多条SELECT语句的查询结果
SELECT column_1,column_2,column_3... FROM table_1
UNION
SELECT column_1,column_2,column_3... FROM table_2
(上述语句自动去重,可以使用 UNION ALL 语句获取重复的值)
使用 UNION 语句的规则:
- 两个查询结果的列必须相同
- 两个查询结果对应的列必须类型相同或兼容
如果应用只返回几行,需要通过永假式使得原始查询结果为空,让应用返回UNION查询的结果,为了高效,总是还需要通过各种字符串连接函数连接多个结果
匹配列数
- 通过
UNION null,null...null,逐个确定列数(null值可以转换成任何数据类型) - 通过
order by语句二分查找到正确的列数(简单高效)
注意:Oracle无法使用null
匹配数据类型
逐个替换,没什么好说的
