张小白的渗透之路(六)——SQL注入的思路、流程及SQL的CONCAT系列函数、Information_schema数据库讲解

最新推荐文章于 2024-04-24 17:11:51 发布
置顶 最新推荐文章于 2024-04-24 17:11:51 发布
阅读量2k 收藏 8
点赞数 3
分类专栏: 渗透之路 渗透测试 文章标签: concat information_schema group_concat SQL注入 渗透
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Litbai_zhang/article/details/83587371
版权

前言

关于SQL注入理论的内容,小白之前的博客有写,有兴趣的可以去看一看哦~SQL注入原理详解

实践

1

在SQL注入测试界面的url输入

?id=1

结果页面无变化,说明有可能存在注入点
2

下面让我们继续以这个例子来更深入的理解一下SQL注入的思路。
比方说我现在想获取的是数据库当中某一个用户的密码,那么我们该怎么做呢?
1.查看网页源代码分析
这个原理篇有讲就不废话了,分析的目的就是为了查看是否存在注入漏洞。
2.通过测试性的方式我们注入代码,(这里注意,?不要打成中文的)

?id=1' and 1=1--+

3

?id=1' and 1=2--+

4

看上面两个图:首先我们在输入的开头添加一个 ’ 起到闭合代码的作用。然后我们添加判断语句and 1=1或者1=2,如果前者能够正常访问,后者访问不正常(因为and 1=2恒假,所以访问不到正确的网页),那么我们就可以确定,存在注入漏洞。

3.在验证了漏洞确实存在之后,因为现在发现的数字型的注入(id=x),所以我们通过order by子句(将数据通过某一列从小到大排列,如果是字母就是abcd……)来测试有多少行数据。
4.我们假设猜有4行数据(这个猜测完全是随机的)
5
发现报错:在从句中没有发现字段4
5.那么我们再往下尝试
6
发现访问正常,那么我们就可以确定,现在ID这一项是有3个值。

6.既然发现了有3个值,那么我们尝试通过联合查询来获取一些敏感信息。

?id=1 'and 1=2 union select 1,user(),database()--+

使用这条命令我们可以爆出服务端MYSQL当前的用户名,当前的数据库名,可以利用数据库名进一步获取表名。(因为UNION 结果集中的列名总是等于 UNION 中第一个 SELECT 语句中的列名。所以Union前面的查询我们用1=2给取消掉)
7
7.下面我们知道了数据库名,那么下一步肯定就是要获取数据库的表名。
我们尝试输入代码

?id=1 'and 1=2 union select 1,2,group_concat(tables_name) from information_schema.tables where table_schema=database()--+

8
发现爆出了两个表名
8.接下来我们再利用information_schema数据库查询列名。
注入代码

?id=1 'and 1=2 union select 1,group_concat(name),group_concat(pass) from users --+

最终我们获取到了我们需要的数据,下面的一行代码就是我们要的密码啦,是MD5加密之后的
在这里插入图片描述

值得一提的函数用法:
CONCAT()函数
concat()函数用于将多个字符串连接成一个字符串。
如下是一个表名为info的表

idname
1litbai

a.语法及使用特点
concat(str1,str2,……)
返回结果为连接参数产生的字符串。如果有任何一个参数为NULL,则返回值为NULL,可以有一个或者多个参数。

b.使用示例

select concat('id',',','name') as zhang from info limit 1;

返回结果为(注意返回结果中的,也是拼接的字符串哦)

zhang
1 ,litbai

select concat(‘id’,‘zhang’,name);返回结果为

concat(‘id’,‘zhang’,‘name’)
null

CONCAT_WS()函数
当我们想指定参数之间的分隔符时,我们可以使用concat_ws()参数
a.语法及使用特点
concat_ws(separator,str1,str2,……)
concat_ws即 concat with separator,即带有分隔符的concat
分隔符可以是一个字符串也可以是其他参数,如果分隔符为null,那结果肯定也为null。函数会忽略任何分隔符参数后面的null值,但是concat_ws()不会忽略任何空字符串。(然而会忽略所有的null)

b.使用示例

select concat_ws('~',id,name) as zhang from info limit 1;

返回结果

zhang
1~litbai

select concat_ws(’~’,‘id’,‘null’,‘name’);
返回结果

concat_ws(’~’,‘job’,‘null’,‘age’)
job~age

GROUP_CONCAT()函数
group_concat函数返回一个字符串结果,该结果由分组中的值连接组合而成。
例如一个info表的数据如下:

select name,id,job from info where name in ('lit','bai');
nameidjob
lit1teacher
lit2worker
bai34code monkey
bai46cleaner

a.语法及其特点

group_concat([distinct]expr[,expr…]
[order by {unsigned_integer | col_name | formula}[asc | desc] [,col…]]
[spearator str_val])

在mysql中,你可以得到表达式结合体的连结值。
通过使用distinct可以排除重复值。如果希望对结果中的值进行排序,可以使用oder by子句。
separator是一个字符串的值,他被用于插入到结果值,默认为一个逗号,可以通过使用separator“”完全的移除这个值

b.使用示例

select name ,group_concat(id) from info where name in('lit','bai') group by name
namegroup_concat(id)
bai34,46
lit1,2
select name,group_concat(distinct id oder by id desc separator'~') from info where name in ('lit','bai') group by name
namegroup_concat(distinct id oder by id desc separator’~’)
bai46~34
lit2~1
select name,group_concat(concat_ws(',','id','job') order by id desc separator'.')from info where name in ('lit','bai') group by name;
namegroup_concat(concat_ws(’,’,‘id’,‘job’) order by id desc separator ‘.’)
bai46,cleaner.34,code monkey
lit2,worker.1,teacher

group by()函数与order by()函数
group by 从大到小排序
order by() 从小到大排序
order by() desc 从大到校排序

值得一提的数据库用法
information_schema可以理解为师所有数据库的汇总,
比如我要
查询所有数据库
select * from information_schema;
查询litbai库当中的所有表名
select groupconcat(table_name) from information_schema.tables where table_schema=‘litbai’;

Litbai_zhang
关注
  • 3
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
sql concat()函数
m0_67400972的博客
08-02 343
先自我介绍一下,小编13年上师交大毕业,曾经在小公司待过,去过华为OPPO等大厂,18年进入阿里,直到现在。深知大多数初中级java工程师,想要升技能,往往是需要自己摸索成长或是报班学习,但对于培训机构动则近万元的学费,着实压力不小。因此我收集了一份《java开发全套学习资料》送给大家,初衷也很简单,就是希望帮助到想自学又不知道该从何学起的朋友,同时减轻大家的负担。分割符可以是一个字符串,也可以是其他参数。注意如果分隔符为NULL,那么结果也为NULL,函数会忽略任何分隔符参数后的NULL值。...
sql注入利用group_concat函数
最新发布
m0_70638961的博客
05-28 380
这里我使用的是sqllab-less1,通过对数据库的查询,我们发现数据库表名,列名,等数据在information_schema数据库中。但是这样只能回显某一个表,这时就可以使用group_concat函数把security的每一个表回显出来。首先根据group by指定的列进行分组,将同一组的列显示出来,并且用分隔符分隔。这里我们选择users表回显出用户名username和密码password。当库名、表名、列名都查到了之后,选择最有用的回显出来就成功的注入了。当然这是最简单的注入
SQL注入group_concat的学习笔记(转载)
weixin_45897324的博客
10-07 2053
SQL注入group_concat的学习笔记 mysql中的information_schema 结构用来存储数据库系统信息 information_schema 结构中这几个表存储的信息,在注入中可以用到的几个表。 SCHEMATA :存储数据库名的, ——>关键字段:SCHEMA_NAME,表示数据库名称 TABLES :存储表名的 ——>关键字段:TABLE_SCHEMA表示表所属的数据库名称; ——>关键字段:TABLE_NAME表示所属的表的名称 COLUMNS :存储字
python登录系统的实现方法_python实现登录验证系统(搭建MVC框架)
weixin_39623671的博客
11-24 205
小型登录注册验证系统关注公众号“轻松学编程”了解更多。一、概述​ 使用Redis+MySQL数据库实现一个小型的登录注册验证系统。在这个系统中初步了解认识MVC框架。​ 具备功能:登录、注册、改密、注销。​ 数据库:Redis,MySQL。使用Redis把用户信息存储在内存中,查询数据快。MySQL存储空间更大,对表之间的关系管理更好。两者结合使用发挥各自的优势已是当下流行的数据库使用方式。​ 开...
sql concat函数_带你了解SQL注入基础
weixin_39628342的博客
12-01 598
sql信息安全方面一个非常重要的领域,为了学好它,还是先来简单了解下浏览器工作原理和sql注入原理吧01web浏览器相关工作原理(图片比文字能更好的帮助理解,下图)02sql注入原理将恶意的SQL代码插入到用户的输入参数的攻击攻击者发现开发者编程过程中的漏洞,构造SQL语句,用户直接对数据库系统的内容进行直接检索或修改看完原理是不是感觉看不懂呢?学完这篇推文,相信你一定能对sql注入...
SQL注入group_concat()函数是否需要使用?
Firebasky的博客
07-28 1865
我们在SQL注入的过程中,到底需不需要使用group_concat()函数? 今天在做buuctf里面的一道SQL注入的题是发现了这个问题,于是自己来记录一下。 也为了分享知识!!! 进入正题: 要弄清楚这个问题我们就需要了解group_concat()函数的作用 参考链接group_concat()函数讲解 上面说的非常清楚 总结来说就是将数据放在一起。 下面放一自己的实验照片。方便理解。 好了现在我们知道了这个函数的作用。我们就来看看SQL注入的语句。 假如有下面的注入语句。查询password数据
实验11:information_schema注入
qq_44720671的博客
03-31 264
information_schema注入 本章是将之前所学的知识融合到一起,进行综合注入 以Pikachu为例,打开字符型注入 步骤如下: 1、测试是否为注入点 有很多种方法,可以使用工具,或者手工测试,例如输入一个”单引号“ 报错显示到前端,可以进行下一项 2、看有几个字段 使用order by句式来试探 例:hello‘ order by 2# 表明有两行字段 3、联合查询 ①查询表名:...
MySQLconcat()函数的用法
wu_aceo的博客
03-14 4844
一、concat()函数 1、功能:将多个字符串连接成一个字符串。 2、语法:concat(str1, str2,…) 返回结果为连接参数产生的字符串,如果有任何一个参数为null,则返回值为null。 二、concat_ws()函数 1、功能:和concat()一样,将多个字符串连接成一个字符串,但是可以一次性指定分隔符~(concat_ws就是concat with separator) 2、...
SQL注入group_concat的学习笔记
kofi的博客,已停更
04-07 1387
<link rel="stylesheet" href="https://csdnimg.cn/release/blogv2/dist/mdeditor/css/editerView/ck_htmledit_views-b5506197d8.css"> <div id="content_views" class="markdown_views prism-atom-one-dark"> <svg xmlns="ht...
Mysql中contact、group_concatconcat_ws、repeat
aijian3049的博客
08-02 5014
一、CONCAT(str1,str2,…) 返回结果为连接参数产生的字符串。如有任何一个参数为NULL,则返回值为NULL。 mysql> select concat('11','22','33'); +------------------------+ | concat('11','22','33') | +-----------------------...
渗透测试-地基篇-数据库-IFORMATION_SCHEMA 详解(五)
qq_34801745的博客
11-17 804
** 渗透测试-地基篇-数据库-IFORMATION_SCHEMA 详解(五) ** 作者:大余 时间:2020-11-17 简介: 渗透测试-地基篇: 该篇章目的是重新牢固地基,加强每日训练操作的笔记,在记录地基笔记中会有很多跳跃性思维的操作和方式方法,望大家能共同加油学到东西。 请注意: 对于所有笔记中复现的这些终端或者服务器,都是自行搭建的环境进行渗透的。我将使用Kali Linux作为此次学习的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。 名言: 你对这
information_schema过滤与无列名注入
snowlyzz的博客
09-06 1285
information_schema过滤与无列名注入
SQL】MySQL中的字符串处理函数concat 函数拼接字符串,COALESCE函数处理NULL字符串
代码的魅力,根本走不出来
04-24 4295
如果contentKeyword参数为NULL,那么就返回空字符串,然后检查bp.title或bp.content是否包含该关键词的子串。可以有多个参数,如果第一个参数不为空,则返回第一个参数的值;如果第一个参数为空,则继续检查第二个参数,以此类推。这一点在构建包含潜在NULL值的数据库查询时特别重要,因为它可能影响到你的查询结果。函数是一个非常实用的字符串函数,用于将两个或多个字符串参数连接成一个单一的字符串。函数总是返回第一个非空参数的值。,也不会影响其他条件的判断,从而实现了动态条件的查询。
WEB—无列名注入与过滤information_schema
sGanYu
11-09 2728
一开始由于注册admin的时候,告知用户已被注册,以为需要爆破admin密码,失败后尝试万能密码,发现也不行。。。注册新用户后又对广告的xss研究半天,虽然怀疑过SQL,后来没想到真的是SQL注入 知识点 无列名注入 过滤information_schema 随便注册一个账户登录,进去后可以发布广告【千万不要写入一个xss,弹来弹去,盲猜你们会尝试】 发布一个广告名为:1',内容随意 点击广告详情,弹出关键报错信息,数据库为MariaDB 继续注入,发布一个广告名为:.
mysql使用concat注入_Mysql必读Mysql数据库使用concat函数执行SQL注入查询
weixin_39968640的博客
02-10 470
MysqL必读MysqL数据库使用concat函数执行sql注入查询,希望对您有用。如果有疑问,可以联系我们。sql注入语句有时候会使用替换查询技术,就是让原有的查询语句查不到结果出错,而让自己构造的查询语句执行,并把执行结果代替原有查询语句查询结果显示出来.代码如下:select username,email,content from test_table where user_id=uid;其...
mysql 暴库 group_concat(),mysql 5注入group_concat的使用
weixin_32645721的博客
03-17 161
Beats By Dr Dre Studio Pittsburgh Steelers HighDefinition UK:Beats By Dr.Dre Studio Colorful Champagne Limited Edition UK,Beats By Dr.Dre Studio Colorware Chrome Limited Edition UK,Beats By Dr.Dre Stu...
SQL注入——联合查询注入
dust_hk的博客
01-16 2304
0x01 SQL注入的原理 针对SQL注入攻击行为可描述为通过用户可控参数中注入SQL语法,破坏原 有SQL结构,达到编写程序时意料之外结果的攻击行为。其成因可以归结外一下 两个原因叠加造成的: 1、程序编写者在处理程序和数据库交互时,使用字符串拼接的方式构造SQL语句 2、未对用户可控参数进行足够的过滤便将参数内容拼接进入到SQL语句中。 0x02 SQL注入的分类 一、根据注入点数据类型 1...
分析一下如下语句select 1 , group_concat(table_name),3 from information_schema.tables where table_schema=database()
06-10
这是一条 SQL 查询语句,使用了 information_schema 数据库中的 tables 表,查询当前数据库中所有的表名,并将它们连接成一个逗号分隔的字符串,同时返回固定的 1 和 3 两个值。其中,group_concat 函数可以将多个值...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值