2. 程式人生 > >SQL注入——聯合查詢和報錯注入

SQL注入——聯合查詢和報錯注入

阿新 發佈:2019-01-30
1.別人可能用一個括號將要查詢的內容闊在一起了  可以使用)將其閉合2.還有人可能過濾掉了關鍵字可以使用如下方法anandd   selecselectt如果URL中把=號過濾掉了可以使用like進行模糊查詢報錯注入中sql裡 0x3a表示一個冒號具體用法and (select 1 from (select count(*),concat((select count(schema_name) from information_schema.schemata),0x3a,concat(floor(rand(0)*2),user()))x from information_schema.tables group by x)a)一、聯合查詢首先放一張聯合查詢的思維導圖在使用聯合查詢之前,我們應該先搞明白在什麼情況下,我們選擇使用聯合查詢注入前提條件:頁面上有顯示位顯示位的解釋:在一個網站的正常頁面,服務端執行SQL語句查詢資料庫中的資料,客戶端將數 據展示在頁面中,這個展示資料的位置就叫顯示位。舉個例子:紅線標出的就是從資料庫中輸出的資料知道了在什麼情況下能夠使用聯合注入之後我們來看一看聯合查詢注入是如何實現的1.判斷有無注入點我們可以在url後面加入  and 1=1 --+ 執行然後再寫上 and 1=2 --+ 執行,檢視頁面是否回顯不同(回顯不同說明這是一個整型注入),如果回顯相同則可能存在字元注入(執行步驟2)2. 在引數後面加上一個 ' 看頁面回顯是否相同單引號判斷‘ 顯示資料庫錯誤資訊或者頁面回顯不同(整形,字串型別判斷)3.\為轉義符4.-1/+1回顯上一個或下一個頁面(用於整型判斷)判斷是整形注入還是字元型注入數字型注入與字元型注入的最大去區別在於數字型不需要閉合,而字元型需要引號閉合select * from table where id = 1   數字型select * from table where username = ‘admin’   字元型+知道了是整型還是字元型注入之後我們使用under by 函式來判斷該表裡有幾列具體用法:  under by 1under by 2under by n如果頁面顯示正常,說明列數大於等於n如果頁面顯示不正常,說明列數小於nunion的作用是將兩個或多個select語句查詢語句結果合併起來1.UNION必須由兩條或兩條以上的SELECT語句組成,語句之間用關鍵字UNION分隔2. UNION中的每個查詢的列數必須相同3. UNION會從查詢結果集中自動去除了重複行聯合查詢的利用前提頁面有顯示位在一個網站的正常頁面,服務端執行SQL語句查詢資料庫中的資料,客戶端將數 據展示在頁面中,這個展示資料的位置就叫顯示位聯合注入的手注流程
使用group_concat()  函式可以讓查詢獲得的資料組成一行顯示例子:select group_concat(SCHEMA_NAME) from information_schema.SCHEMATAcount()函式用於統計個數(類似於表的個數,資料庫的個數等等)例子:select count(SCHEMA_NAME) from information_schema.SCHEMATAconcat()函式可以將多個字串拼接在一起concat('^_^','chao',^_^')輸出結果: ^_^chao^_^獲取資料庫中的所有資料庫名,表名,列名,欄位名常用指令select schema_name from information_schema.schemata   (獲取資料庫名)select table_name from information_schema.tables             (獲取表名)select column_name from information_schemata.columns  (獲取所有列名)select 列名 from 資料庫名.表名報錯注入
報錯注入應用的前提條件頁面上沒有顯示位,但是有SQL語句執行錯誤資訊輸出報錯注入思維導圖:SQL報錯例項一般情況下SQL的報錯資訊是不會顯示在頁面中的只有在php.ini 進行如下配置display_errors=On               (開啟PHP錯誤回顯)SQL報錯資訊才會被顯示在頁面上常用的報錯語句模板:1. 通過floor報錯and (select 1 from (select count(*),concat((payload),floor (rand(0)*2))x from information_schema.tables group by x)a)其中payload為你要插入的SQL語句需要注意的是該語句將 輸出字元長度限制為64個字元
2. 通過updatexml報錯and updatexml(1,payload,1)同樣該語句對輸出的字元長度也做了限制,其最長輸出32位並且該語句對payload的反悔型別也做了限制,只有在payload返回的不是xml格式才會生效3. 通過ExtractValue報錯and extractvalue(1, payload)輸出字元有長度限制,最長32位。報錯注入思維導圖

相關推薦

SQL注入——聯合查詢注入

1.別人可能用一個括號將要查詢的內容闊在一起了  可以使用)將其閉合2.還有人可能過濾掉了關鍵字可以使用如下方法anandd   selecselectt如果URL中把=號過濾掉了可以使用like進行模糊查詢報錯注入中sql裡 0x3a表示一個冒號具體用法and (selec

SQL注入注入函式彙總

1.floor() id = 1 and (select 1 from (select count(*),concat(version(),floor(rand(0)*2))x from information_schema.tables group by x)a) 原理:https://b

sql注入注入原理解析

sql注入報錯注入原理詳解 前言 我相信很多小夥伴在玩sql注入報錯注入時都會有一個疑問,為什麼這麼寫就會報錯?曾經我去查詢的時候,也沒有找到滿意的答案,時隔幾個月終於找到搞清楚原理,特此記錄,也希望後來的小夥伴能夠少走彎路 0x01

sql注入中常見的資訊

sql注入是我們常見的ctf的web型別題目,因此我們在做這類題時經常會在頁面上返回錯誤資訊,因此熟悉一些常見的sql注入資訊是很重要的,下面我介紹一些自己常遇到的mysql報錯資訊。 我們在頁面上返回的錯誤資訊不僅僅只有mysql返回的,可能還有伺服器返回的,因此我僅

sql注入例項

題目地址 bugku 多次 http://123.206.87.240:9004/ 本地有兩個部分,第一關的介面如下, 加上單引號出現報錯,再加上23%可以顯示正常的介面,發現過濾了很多的字元,在這裡用異或(^)的方式檢查過濾了哪些字元, 異或:當同時為真或者假的時候為假 然後就可以構造

SQL注入注入

第一類 group by 與 floor rand 函式的報錯 payload (select count(*) from (select 1 union select 2 union selec

sql注入總結【積累中】

==========================第一次總結嘗試============================== 首先放一下測試的表 第一條報錯注入語句: select passwo

bugku中的多次(異或注入,updatexml注入,union過濾locate繞過,布林盲注)writeup

首先我們判斷一下是什麼注入型別 注意輸入的是英文字元',中文不會轉變為%27,報錯,說明是字元注入 這時候我們就要判斷一下SQL網站過濾了什麼內容,我們可以使用異或注入來判斷哪些字串被過濾掉了 http://120.24.86.145:9004/1ndex.ph

實驗吧 加了料的注入

解題連結: http://ctf5.shiyanbar.com/web/baocuo/index.php SQL查詢原始碼: <!-- $sql="select * from users where username='$username' and password='$pass

Mysql注入簡單測試模型

測試Mysql環境:Mysql 5.7.12-log Mysql Community Server(GPL) 1、收集內建函式 http://dev.mysql.com/doc/refman/5.7/en/dynindex-function.html 2、整理列表 select A

注入各種語句

報錯注入 1、通過floor報錯,注入語句如下:   and select 1 from (select count(*),concat(version(),floor(rand(0)*2))x from inf

注入邂逅load_file&into outfile搭訕LINES

https://xz.aliyun.com/t/2460 0x00 前言 近期分析mysql利用報錯注入讀取檔案內容,利用LINES TERMINATED BY在查詢只返回一個欄位時寫webshell檔案,以及如何利用load_file掃描判斷檔案是否存在。 0x01 into outf

經典的MySQL Duplicate entry注入

SQL注射取資料的方式有多種: 利用union select查詢直接在頁面上返回資料,這種最為常見,一個前提是攻擊者能夠構造閉合的查詢。  Oracle中利用監聽UTL_HTTP.request發起的HTTP請求,把QuerySet反彈回攻擊者的主機。當然,HTTP伺

Mysql 注入的原理探索

我們一般使用的報錯語句: 1 select count(*),concat((select version()),floor(rand()*2))a from information_schema.tables group by a; concat:為聚合函式,連線字串功能

mybatis 批量插入 語句資訊 Translating SQLException with SQL state '42000', error code '1064',

@Service int updateAllUserProject(List<PubUserProject> mapInfo){ } @Controller List<PubUserProject> pubUserProjects = userProjectService.

加了料的注入-實驗吧

去fuzz一下waf可以看到username不能用括號,然鵝password不能用floor,updatexml,polygon,multipoint,extractvalue,geometrycollection,multinestring,mulpolygon,lin

SQL聯合查詢使用UNION UNION ALL 的用法

        UNION操作符用於合併兩個或多個SELECT語句的結果集,這裡需要注意的是:UNION內部的SELECT語句必須擁有相同數量的列,列也必須擁有相似的資料型別,同時,每條SELECT語句中列的順序必須相同。 UNION 語法: select id from

MySQL注入方法整理

mysql暴錯注入方法整理,通過floor,UpdateXml,ExtractValue,NAME_CONST,Error based Double Query Injection等方法。 報錯注入:(and後不能直接跟select,可以加()) 1.報錯注入floor-

實驗吧WP(web部分)【簡單的登入題,後臺登入,加了料的注入,認真一點,你真的會PHP嗎?】

一. 簡單的登入題這道題一點也不簡單,用到cbc位元組翻轉攻擊等技術,先跳過這題,想了解可看這裡。二. 後臺登入http://ctf5.shiyanbar.com/web/houtai/ffifdyop.php這道題給了一個登入框,第一反應是sql注入,提交了一個1上去後發現

Mysql注入原理分析(count()、rand()、group by)

可以看到floor(rand(0)*2)是有規律的,而且是固定的,這個就是上面提到的由於是確定性才導致的報錯,那為何會報錯呢,我們接著往下看。 0x05 count與group by的虛擬表 使用select count(*) from `T-Safe` group by x;這種語句的時候我們經