SQL注入经验—利用笛卡尔算积进行大负荷注入
注:本文出自Gcow安全团队绝影小组成员瞳话
转载自绝影小组 Gcow安全团队
在常见的渗透测试中,我们都知道SQL注入攻击中有联合查询,报错注入,盲注还有DNS注入等等,那么如果一个网站存在基于时间的盲注,而恰好sleep这类核心函数被过滤的话,我们如何绕过进行注入呢,这里就分享一个经验——大负荷注入。
一. 笛卡尔算积 作为一个数学7分的我来说,看到这个数学名词瞬间就不想接着往下研究了,不过还好这个并不是很难,我就简单的讲解一下
看图:
也就是说数字1先去乘以ABC,然后数字2再去乘以ABC,然后数字3再去乘以ABC,是不是感觉很熟悉,其实就是Burp suite里面的Intruder模块的Attack type里面的Clutser bomb攻击方式
二. 大负荷查询 Mysql支持这种运算方式,我们的思路是让Mysql进行笛卡尔算积使其造成大负荷查询达到延时的效果。 既然要用笛卡尔算积就要需要大额的数值来计算,在mysql数据库中都有information_schema这个表,这个表里面的数据还是蛮多的,查询一下数量
然后我们进行笛卡尔积运算,不难发现数值的大小影响了计算的速度,通过采用1个表2个列,或者2个列一个表,等等各种组合找出合适的延时的时间。
这里给出payload - select * from admin where id = 1 and 1 and (SELECT count(*) FROM information_schema.columns A, information_schema.columns B, information_schema.tables C);
你完全可以按照这个规律,从C后面加个逗号,写D,E等等等,想写多少就写多少,但是写的越多查询的速度就会越慢,如果在表或者列数量很少的情况下,可以写的多一点。
到浏览器实践一下,发现确实延迟了
利用这个方法,开始注入就可以
先查询一下当前数据库,这里是为了节约时间和验证
可见是数据库名是test,字母t的Ascii码是116,这里构造payload
发现延迟了5秒,其实这5秒只是数据库进行大负荷的笛卡尔算积
如果Ascii码不对,则会不会产生延迟从而不会回显数据
放在浏览器运行一下
尝试错误的Ascii数值
这里就不多演示爆表名,列名还有数据了,会手工布尔盲注的人应该都懂。
最后附上靶场的源码:
- <?php
- header("Content-type: text/html; charset=utf-8");
- $conn=mysql_connect('localhost', 你的数据库用户名, 你的数据库密码);
- mysql_select_db("test",$conn);
- $uid=($_GET['id']);
- $sql="SELECT * FROM admin where id=$uid";
- $result=mysql_query($sql, $conn);
- print_r('当前SQL语句: '.$sql.'<br /><hr />结果: ');
- print_r(mysql_fetch_row($result));
- mysql_close();
- ?>
| 
发表于 2020-3-14 10:31:24