0x00、常用数据库
常见的数据库Oracle、MySQL、SQL Server、Access、MSsql、mongodb等。
关系型数据库通过外键关联来建立表与表之间的关系,非关系型数据库通常指数据以对象的形式存储在数据库中,而对象之间的关系通过每个对象自身的属性来决定。
关系型数据库:由二维表及其之间的联系组成的一个数据组织。如:Oracle、DB2、MySql。
非关系型数据库:非关系型数据库产品是传统关系型数据库的功能阉割版本,通过减少用不到或很少用的功能,来大幅度提高产品性能。如:NoSql、Cloudant。
0x01、判断sql注入数据库类型方法
- 1.是否可以使用该数据库特有的特定的函数来判断。
- 2.是否可以使用辅助的符号来判断,如注释符号、多语句查询符等。
- 3.是否可以编码查询。
- 4.是否可以利用报错信息。
- 5.是否存在数据库某些特性辅助判断。
- 6.是否存在数据库独有的表名,库名。
- 7.通过一些建站和实战的经验。
0x02、基于特定函数的判断
len和length
在mssql和mysql以及db2内,返回长度值是调用len()函数;在oracle和INFORMIX则是通过length()来返回长度值。
当你使用and len('a')=1的时候,返回正常页面时,可以推断当前的数据库类型可能是mssql,或mysql,或是db2。反之则可能会是oracle和informix。
@@version和version()
在mysql内,可以用@@version或是version()来返回当前的版本信息。但无法判断是mysql还是mssql时,可以用version()函数来构造判断。
version()>1 返回与@@version>1 相同页面时,则可能是mysql。如果出现提示version()错误时,则可能是mssql。
substring和substr
在mssql中可以调用substring。oracle则只可调用substr。
0x03、基于辅助的符号判断
“/*”是MySQL中的注释符,返回错误说明该注入点不是MySQL,继续提交如下查询字符:
“--”是Oracle和MSSQL支持的注释符,如果返回正常,则说明为这两种数据库类型之一。继续提交如下查询字符:
“;”是子句查询标识符,Oracle不支持多行查询,因此如果返回错误,则说明很可能是Oracle数据库。
有时利用--和# 这两个注释符号也可以大致的确认数据库类型,因为MSSQL是--,而MYSQL是#,ACCESS不支持注释。
HTTP://xxx.xxx.xxx/abc.asp?p=YY-- 异常
HTTP://xxx.xxx.xxx/abc.asp?p=YY# 正常
那么数据库有可能就是MYSQL或者ACCESS。
在注入点后加(必须为注入点);--(一个分号,两个横线),例如:
http://xxxx/article/as.asp?id=1;--。如果返回正常的话,说明数据库是MSSQL。在MSSQL数据库中;和--都是存在的,;用来分离两个语句,而--就是注释符,它后面语句都不执行。如果返回错误,基本可以肯定是ACCESS数据库了。
0x04、利用数据库服务器的系统变量进行区分
SQL-SERVER有user,db_name()等系统变量,利用这些系统值不仅可以判断SQL-SERVER,而且还可以得到大量有用信息。如:
HTTP://xxx.xxx.xxx/abc.asp?p=YY and user>0 出错时报的错可能就包含了MSSQL的信息
如:Microsoft OLE DB Provider for SQL Server error '80040e07'
不仅可以判断是否是SQL-SERVER,而还可以得到当前连接到数据库的用户名
0x05、基于显示错误信息判断
在注入点后直接加上单引号,根据服务器的报错信息来判断数据库。错误提示Microsoft JET Database Engine 错误 '80040e14',说明是通过JET引擎连接数据库,则表明数据库为ACCESS数据库,如果是ODBC的话则说明是MSSQL数据库。
0x06、利用系统表
ACCESS的系统表是msysobjects,且在WEB环境下没有访问权限,而SQL-SERVER的系统表是sysobjects,在WEB环境下有访问权限。对于以下两条语句:
①HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select count(*) from sysobjects)>0
②HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select count(*) from msysobjects)>0
若数据库是SQL-SERVER,则第一条,abc.asp一定运行正常,第二条则异常;
若是ACCESS则两条都会异常。
and exists (select count(*) from sysobjects)
and exists (select count(*) from msysobjects)
如果第一条返回正常,就是MSSQL数据库,如果两条都不正常,那就是ACCESS数据库了。
第一句意思是查询sysobjects表里记录数大于,返回正常的,说明大于0且存在sysobjects这个表,因为这个表只有MSSQL数据库才有,所以可以判断为MSSQL数据库。返回错误则表示不是。
第二句提交是不会返回正常页面的,就算是ACCESS数据库也不会返回正常。因为默认情况下我们没有权限查询这个表里的数据。WEB会提示我们“记录无法读取;'msysobjects'没有读取权限”,如果返回的是这个错误信息的话,那就证明是ACCESS数据库了
以上参数都是int的时候,如果是字符型的话首先在参数后面加上单引号,然后再在查询语句后加上;--
以下列举了一些数据库的特征,欢迎补充
SQLSERVER:
ID=1 and (select count (*) from sysobjects)>0 返回正常 ID=1 and (select count (*) from msysobjects)>0返回异常 ID=1 and left(version(),1)= 5%23 ID=1 and exists(select id from sysobjects) ID=1 and length(user)>0 ID=1 CHAR(97) + CHAR(110) + CHAR(100) + CHAR(32) + CHAR(49) + CHAR(61) + CHAR(49)
ACCESS:
ID=1 and (select count (*) from sysobjects)>0 返回异常 ID=1 and (select count (*) from msysobjects)>0返回异常
MYSQL:
id=2 and version()>0 返回正常 id=2 and length(user())>0 id=2 CHAR(97, 110, 100, 32, 49, 61, 49)
ORACLE:
ID=1 and '1'||'1'='11 ID=1 and 0<>(select count(*) from dual) ID=1 CHR(97) || CHR(110) || CHR(100) || CHR(32) || CHR(49) || CHR(61) || CHR(49)
0x07、根据经验来判断
asp中小型网站一般是Access做数据库,大型网站可能会用SQL Server;
ASP.NET的网站一般以SQL Server居多;
PHP的网站会用MySql;
JSP的网站会用SQL Server或Oracle!
0x08、参考链接
https://www.jianshu.com/p/e308d96e2ecd