手工操作几种常见SQL注入

已于 2024-06-26 09:06:41 修改
阅读量841 收藏 24
点赞数 27
分类专栏: 网络安全 文章标签: 网络安全 数据库
于 2024-06-20 17:07:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/X1DD1Asad343/article/details/139837862
版权

手工SQL注入示例

文章目录

一、联合查询注入(回显注入)

是一种结合数据库原始报错信息和union查询的注入方式

使用场景:数据库中查询的结果能够直接在前端页面中展示出来

UNION 操作符用于将两个或多个 SELECT 语句执行的结果合并为一个结果集输出,以下是演示示例:

image-20240614141950605

了解MySQL数据库中几个特殊的数据库

sys

mysql

performanc_schema

information_schema (是MySQL的元数据信息数据库,存储了关于数据库、表及其字段、用户等的元数据,MySQL5.0及以后的版本才有这个库,也是进行SQL注入时重点关注的一个库)

查询时使用的关键字段信息(这个不重要)

image-20240614143004688

操作步骤

(一)判断注入点
判断注入点的数据类型

(1)一般情况下,看默认的输入的值与输入点的功能即可看出输入点的数据类型(默认输入时数字,则可能是数字型;默认输入是字符,则一定是字符型)。

(2)判断数字型,使用四则运算判断(如果id=n和id=(n+1)-1产生的结果一致,则可能是数字型,再尝试添加闭合符号,时sql执行出错,就能证明注入点的数据类型为数字型)

(3)判断字符型(先是报错再闭合),如果有原始数据库报错信息,就一一枚举可能得闭合符号。

(4)判断注入点是否存在,在疑似注入点后加上 and 1=1 和and 1=2,如果两次执行的页面发生了改变(也就是拼接的sql语句在数据库中执行的时候出了问题,页面就会有所改变),说明漏洞存在

(二)判断表中的列数

利用order by 结合折半查找的方式确定表中的列数。

(三)判断数据回显的位置

利用union并将原始查询置空(置空的目的,是让union前面的select查询语句查不到结果,union前面的select语句就不会输出内容,使整个sql语句只输出union后面select语句的查询内容(也就是我们想要看到的内容))来判断数据回显的位置。

(四)将待查询的内容替换到数据回显的位置

示例(以sqlli_labs第3关为例)

(一)判断注入点

(1)判断注入点的数据类型

image-20240619164432384

image-20240619164502843

可以看到输入参数id=1和id=2时返回的结果不一致,表明注入点的数据类型为字符型

(2)判断注入点使用的闭合符号

一般情况下,输入点的闭合符号大概为英文状态下的单引号、双引号和小括号。在判断闭合符号时,遵循“先报错,再闭合”原则,“报错”是指让界面显示数据库原始报错信息。然后再使用闭合符号使sql语句形成闭合状态。

image-20240620163513956

此时出现了数据库原始报错信息,接着我们按照“先报错,再闭合”的思路进去进行下一步“闭合操作”

image-20240620163609154

可以看出,当我在末尾加上 --+ 用来注释掉sql语句后面多余的部分,还是出现了数据库原始报错信息。(这里为什么使用 --+ 我会在后面进行解释)。出现这种情况,说明此处数据的闭合符号不单单是一个单引号,必定还有其他符号和这个单引号一起组成了闭合符号。

借来继续尝试 ’ 号与其他符号组合,让前端界面出现数据原始报错信息。

image-20240619175554502

可以看到,在加上 ') 闭合符号后,页面也出现了数据库原始报错信息。

其实当我在注入点数据后加上 ')  后,在后端文件中,sql语句已经被拼接成了以下语句
SELECT * FROM `users` where id=('1')') LIMIT 0,1;

可以看出,拼接后的sql语句多了一组闭合符号,也就是 ') 这两个符号,此时sql语句已经不再是一条正确的sql查询语句,所以当后端文件在拼接完成sql语句并带入到数据库中执行时,必然会出错。并且报错信息在前端界面中展示了出来。

为了更直观的展示拼接后的sql语句在数据中执行的效果,我直接在数据库中进行演示。

image-20240620140830141

image-20240620141019249

从以上两张图是不是很直观的看出问题出在了哪?首先,sql语句中的1,就是我在前端中输入的参数,参数1后面的 ') 这组闭合符号,也是我在前端中通过不断尝试凑出的闭合符号。而后面青蓝色框框住的这一组 ') 闭合符号,其实是在后端文件中预设好的。以下是第3关的原代码

image-20240620142026738

从上图可以看出,在源代码中,确实已经有了一组 ') 闭合符号,而我在前端中又凑了一组闭合符号,而多出来的这一组闭合符号,就是让sql语句报错的根本原因。

至于为什么要在末尾加上 --+ 这几个符号,这就涉及到MySQL中的注释了。在MySQL的查询语句中,除了使用 # 号来做注释意外,是不是还可以使用 – 来做注释(注意:–符号后面有一个空格)。在末尾加上 --+ 符号,就是为了将sql语句中后面多余的内容给注释掉。下面我将在数据库中做演示。

image-20240620143546756

为什么在URL中空格要换成 + 号,大致解释可以参考该文章https://blog.csdn.net/dongheng123/article/details/130416855

(二)判断表中的列数

一般情况下,数据库中表的字段数(列数)不会很大,一般不会超过20 ,但也存在特殊情况。通常情况下从10或者20开始,一半一半往下降,很快就能确定表中的列数。

order by 10

image-20240620144810426

order by 5

image-20240620144830165

order by 3

image-20240620144851716

order by 4

image-20240620144910301

从上面四张图可以看出,我使用order by 进行排序,当我尝试到order by 3时,前端界面展示出了数据,而尝试到order by 4时,数据有没了,这就说明表中的字段只有三个。image-20240620145305050

看一下数据库,表中确实只有三个字段id,username,password

(四)判断数据回显位置

表中有既然有3个字段信息,就使用union select 1,2,3 来观察,哪些数据会在前端界面中展示出来。(注意:在判断回显位置时,要将原始查询置空。)

image-20240620150002344

从上图可以看出,2和3出现的位置就是数据回显的位置,此时我们只需要把我们要查询的内容给替换到这两个位置的任一位置就行。比如获取当前数据库和数据库角色。

image-20240620150518658

可以看出当前用户为本地root用户,当前数据库为security。

(五)爆数据

爆数据是在知道库、表、列的情况下,才能获得最终数据。也就是你得知道数据库服务器中有哪些数据库,数据库中有哪些表,表中有哪些字段(列),你才能获得明确的数据。这里就设计到MySQL数据库中有一个特殊的数据库——information_schema数据库image-20240620153024277

这个数据库中,有三个特殊的表:schemata、tables、columns,这三个表的有哪些特殊的点呢?

schemata表

该表中schema_name字段,记录了该数据库服务器中所有数据库的信息。

image-20240620153702474

tables表

该表中的table_name字段,记录了数据库中所有表的信息。

image-20240620154255224

columns表

该表中的column_name字段,记录了数据库中所有字段(列)的信息。

image-20240620154529681

(1)爆库

就是我们首先得知道这个数据库服务器中有哪些数据库,只有获取到数据库的信息,才能继续往下操作。

之前说过,information_schema数据库的schemata表的schema_name字段,记录了数据库中所有数据库的信息,所以此时我们要获取所有数据库的信息,就得在information_schema库的schemata表中来操作。

image-20240620152154748

从上图可以看出,sql语句执行后它只列出了一个数据库名 information_schema,很显然列出的数据库不全。如何让它显示全部的数据库信息,这里就要用到MySQL中的聚合函数group_concat(),该聚合函数的作用,就是把查询出的多行数据,合并成一个字符串进行输出。image-20240620155150063

以下是数据库管理软件中的截图

image-20240620155246967

结合两张图,确实只有六个数据库,且完全对应得上。

(2)爆表

在知道有哪些数据库以后,我们得根据需求,去获取指定数据库中有哪些表。之前说过,information_schema数据库的table表的table_name字段,记录了数据库中所有表的信息,所以要获取表的信息,就得在information_schema数据库的table表中进行操作。另外,还得根据上一步确定的数据库的信息,指定获取哪个数据库中的表

image-20240620160158458

(3)爆字段(列)
http://127.0.0.1/sqli-labs-master/Less-3/?id=-1%27)%20union%20select%201,2,group_concat(column_name)%20from%20information_schema.columns%20where%20table_schema%20=%20%27security%27%20and%20table_name%20=%20%27users%27--+

image-20240620160925463

从上图可以看出,表中的字段有id,username,password

(4)爆数据
http://127.0.0.1/sqli-labs-master/Less-3/?id=-1%27)%20union%20select%201,2,group_concat(id,username,password)%20from%20users--+

image-20240620161445162

只查询用户名和密码

image-20240620161623085

以上,就是手工进行联合查询注入的步骤及操作。

二、报错注入

报错注入,是在数据库原始报错信息会在前端界面展示出来的情况下使用。这可能是在系统开发的过程中,开发工程师为了调试方面,会把数据库报错信息在前端界面中打印出来。但开发工程师在开发结束后,未将这样功能给去掉,依然保留了这一方法。

示例(以sql_labs第5关为例)

(一)判断注入点

报错注入,在判断注入点,依然遵循“先报错,再闭合”的原则

image-20240625140710881

image-20240625140735284

可以看到,但执行id=1和id=2-1时,界面并没有,什么变化,既然这样,我们直接尝试让它出现报错

image-20240625141912283

使用 ’ 号进行闭合时,出现了报错,接下来尝试将后的内容注释掉,看页面是否报错

image-20240625142051245

当注释掉后面的内容后,界面恢复了正常,说明拼接的sql语句在数据库中执行了,且没有出错,证明这里的闭合符号就是 ’ 号。解下来就是使用and 1=1 和and 1=2 来判断是否存在注入点。

image-20240625142326340

image-20240625142354262

可以看到,当使用and 1=2时,界面发生了明显的变化(此时sql语句被拼接再到数据库中执行时,由于条件 and 1=2 不成立,sql没有出错,但语句查询不出结果,也就无法再界面中显示什么内容。到这里我们大概知道,当我们输入的内容经过后端文件拼接,带到数据库中执行后,如果sql语句语法正确且查询有结果,那前端界面中就会显示 “You are in…………”,如果sql语句出现了语法错误,前端界面中就会将错误信息打印出来,如果,sql语句语法没问题,但给出的条件不成立,sql语句查询不到任何内容,界面就会“空空如也”。页面发生了改变,说明存在注入点。

(二)使用报错函数爆数据

image-20240625143814442

extravtvalue为MySQL数据库中的报错函数

concat()函数的作用,是连接两个或多个字符串,生成一个新的字符串,在这里,表示吧查询到的内容生成一个新的字符创进行输出(展示)

(1)爆库
http://127.0.0.1/sqli-labs-master/Less-5/?id=1' and (extractvalue(1,concat(0x7e,(select group_concat(schema_name) from information_schema.schemata))))--+

image-20240625144403152

group_concat()函数之前讲过

可以看到,确实爆出了数据库的信息,但显示的信息部完整。如果是这样,由于无法获取后面没有显示的数据库的信息,我们不知道数据库服务器中有哪些数据库,那我们岂不是无法获得我们想要的数据库的数据了?这里,我们要使用到MySQL数据库中的阶段函数。mysql 中可进行数据截断的函数有好几个,我比较喜欢使用mid()函数

mid()函数使用方法 :mid(string, start, length)

http://127.0.0.1/sqli-labs-master/Less-5/?id=1' and (extractvalue(1,concat(0x7e,(select mid(group_concat(schema_name),1,30) from information_schema.schemata))))--+

mid(group_concat(schema_name),1,30)解释

group_concat(schema_name),是将查询到的所有数据库的名称合成一个字符串进行输出

mid(group_concat(schema_name),1,30) 这一整句,就是说把查询到的这写数据合成一个字符创,在把这个字符创从第一个字符开始,往后取30个字符,进行输出。示例如下图

image-20240625150310064

如果要获取到后面为显示的内容,修改mid()函数中的第二个参数即可

http://127.0.0.1/sqli-labs-master/Less-5/?id=1' and (extractvalue(1,concat(0x7e,(select mid(group_concat(schema_name),30,30) from information_schema.schemata))))--+

image-20240625150601630

mid(group_concat(schema_name),30,30) 这一整句,就是说把查询到的这写数据合成一个字符创,在把这个字符创从第30个字符开始,往后取30个字符,进行输出。

image-20240625150745673

经过多次截取数据,是不是就可以确定数据库服务器中有哪些数据库(information_schema、challengs、dvwa、mysql、performance_schema、security)

接下来爆表,爆字段、报数据和联合查询的方法类似,只需简单修改部分参数即可

(2)爆表

tip:这里有个小点要注意,访问URL后,界面却没有任何结果,怎么查都不知道哪里有问题,如下图

http://127.0.0.1/sqli-labs-master/Less-5/?id=1' and (extractvalue(1,concat(0x7e,(select mid(group_concat(table_name),60,30) from information_schema.tables where table_schema='security'))))--+

image-20240625151828193

很多人在爆出数据库后想要继续爆表时,怎么都爆不出数据,此时要注意mid()函数的第二个参数是否在正常范围内,如果第二个参数超出了字符创长度范围,肯定爆不出数据。下图才是正解。

http://127.0.0.1/sqli-labs-master/Less-5/?id=1' and (extractvalue(1,concat(0x7e,(select mid(group_concat(table_name),1,30) from information_schema.tables where table_schema='security'))))--+

image-20240625152138993
image-20240625152259654
从第30个字符开始截取30个字符串没有数据,说明,所有数据都在1到30个字符串之间了,也就是往上第二张图中的数据。

(3)爆字段
http://127.0.0.1/sqli-labs-master/Less-5/?id=1' and (extractvalue(1,concat(0x7e,(select mid(group_concat(column_name),1,30) from information_schema.columns where table_schema='security' and table_name='users'))))--+

image-20240625152902693

(4)爆数据
http://127.0.0.1/sqli-labs-master/Less-5/?id=1' and (extractvalue(1,concat(0x7e,(select mid(group_concat(id,'*',username,'*',password),1,30) from users))))--+
里面的 '*'  号,只是为了看上去美观,把id,username,password之间用*号隔开了而已

image-20240625153547990

后续还有布尔盲注,时间盲注,堆叠注入、宽字节注入等常见注入方式讲解,后面会继续完善。

你在瞅啥呢hhh1
关注
  • 27
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
sql注入详解
good good study
05-05 20万+
SQL注入(SQL Injection)是一种常见的Web安全漏洞,主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没有做严格的判断,导致其传入的“数据”拼接到SQL语句中后,被当作SQL语句的一部分执行。 从而导致数据库受损(被脱库、被删除、甚至整个服务器权限陷)。 即:注入产生的原因是后台服务器接收相关参数未经过滤直接带入数据库查询...
手工SQL注入流程与常用语句_sql注入 手工(3),2024年最新看这篇文章准没错
2401_83974199的博客
04-16 514
如下代码和截图所示,展示了获取数据库中表的信息,information_schema是MySql自带的信息数据库,用于存储数据库元数据(关于数据的数据),例如数据库名、表名、列的数据类型、访问权限等,其中的表实际上都是视图。进一步获取其中的字段名,假设要获取的表为users,如下面的代码和截图所示。information_schema的columns表存储了表中列的信息,也就是表中字段信息,指定table_name表名,即可获取到对应表的字段信息。是要截取的字符串,b是截取的位置,c是截取的长度。
sql手工注入
admin的博客
10-27 802
按照数据提交的方式来分类 友情链接:https://www.cnblogs.com/-chenxs/p/11614129.html、https://www.cnblogs.com/p0pl4r/p/10320631.html (1)GET 注入 提交数据的方式是 GET , 注入点的位置在 GET 参数部分。比如有这样的一个链接http://xxx.com/news.php?id=1 , id 是注入点。 (2)POST 注入 使用 POST 方式提交数据,注入点位置在 POST 数据部分,常发生在表单中。
SQL 手工注入
热门推荐
枫梓林のBlog
04-25 1万+
SQL 手工注入 文章目录SQL 手工注入0x01 SQL注入概述0x02 SQL 注入原理1.基本概述2.单引号的作用3.SQL 注入流程4.SQL 注入的基本分类3.常见注入方式分类0x03 部署 sqli-labs 学习环境1.sqli-labs 简介2.部署sqli-labs 实验环境2.1 搭建LAMP 环境2.2 检查安装的状态和启动服务2.3 配置 mysq 数据库 root 用户密码2.4 安装 sqli-labs 教学环境2.5 创建快照0x04 安装 hackbar 插件0x05 SQL
Sql注入(手工注入思路、绕过、防御)
Naive的博客
09-26 2430
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。
SQL手工注入教程最新版
09-18
SQL注入是一种常见网络安全漏洞,它发生在Web应用程序中,当用户输入的数据未经充分验证或过滤就被直接用于构造数据库查询时。这种攻击方式允许攻击者通过在输入字段中插入恶意的SQL语句片段,来操纵数据库查询,...
SQL注入法攻击--手工注入
05-23
SQL注入是一种常见网络安全威胁,主要针对使用SQL(结构化查询语言)的数据库系统。这种攻击方式利用了应用程序处理用户输入数据时的不安全性,使得攻击者能够构造恶意的SQL语句,进而执行非授权的操作,获取、...
PHP手工注入
01-09
1. **识别入口点**:首先要确定哪个页面或者哪个输入字段可能受到SQL注入的影响。这通常需要对目标应用的逻辑和代码结构有深入的理解。 2. **探测SQL结构**:通过尝试不同的输入,比如使用单引号(')、双引号(")、...
手工注入教程
09-06
本教程将深入探讨MySQL和Microsoft SQL Server(MSSQL)的几种关键注入技术,包括常规注入、报错注入和盲注。 首先,MySQL常规注入是指攻击者通过在应用程序的输入字段中插入恶意SQL代码,使服务器执行非预期的查询...
批量SQL.zip
08-25
SQL注入是一种常见网络安全漏洞,黑客通过构造恶意的SQL语句,利用应用程序的不安全设计,获取、修改、删除数据库中的敏感信息,甚至完全控制数据库服务器。本工具旨在帮助开发者和安全专家有效地检测出系统中潜在...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8331
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
初始C++
2302_81016149的博客
07-08 790
在C语言我们学习函数的时候,我们学习过生命周期这个概念。那么,什么是生命周期呢?生命周期通常指的是一个对象或变量从创建到销毁所经历的时间段。那么,命名空间是什么?咱们可以这样理解:在这个空间的生命周期内,对这个空间内的全部标识符起一个名字,可对其进行引用,可类似与C语言中的结构体。#include<stdlib.h>//此处不包此头文件代码可正常运行,那该如何解决此处情况呢?int main()//此处编译不通过原因为:在不包头文件前为变量,包含后为函数。return 0;
解决分布式环境下session共享问题
shenxiaomo1688的博客
07-06 2368
在分布式环境下,session会存在两个问题第一个问题:不同域名下,浏览器存储的jsessionid是没有存储的。比如登录时认证服务auth.gulimall.com存储了session,但是搜索服务search.gulimall.com是没有这个session的;
JDBC (基础)
weixin_51644244的博客
07-07 390
思考: java和sql是两种不同的编程语言。翻译程序---每个数据库厂商都提高了翻译软件-- -打包jar。---我们的java代码引入jar就可完成与数据库的沟通。Java :OOP 面向对象的编程对象。SQL: 结构化查询语言。
系统架构设计师教程 第二章 计算机系统基础知识-2.3计算机软件
Remon的专栏
07-09 712
《系统架构设计师教程》清华第二版 2.3计算机软件 章节的详细解读
Java:使用synchronized和Redis实现并发控制的区别
好幸运
07-08 447
而Redis则适用于分布式环境下的同步需求,虽然操作相对复杂,但它能够解决跨JVM的资源竞争问题。: 是Java语言内置的关键字,用于实现线程间的同步。这种同步是** JVM层面**的,对本地内存中的对象进行操作。Redis: 由于是基于网络通信的分布式存储,它的性能受到网络延迟和带宽的影响。然而,在分布式环境下,Redis提供的分布式锁机制能够有效解决跨JVM的同步问题,尽管相比。Redis: 使用Redis实现同步(如通过SETNX命令设置锁),需要手动编写代码来获取和释放锁。
CH-benCHmark:一个HTAP数据库测试基准
算力测评
07-09 250
这一基准测试,旨在弥合TPC-C(专注于联机事务处理,即OLTP)与TPC-H(侧重于联机分析处理,即OLAP)这两项业界权威但单一的工作负载测试之间的鸿沟。它巧妙地结合了TPC-C的订单录入流程产生的交易负载,以及与之对应的、等同于TPC-H级别的OLAP查询套件,并在单一数据库系统内的同一数据集上并行执行。正因为继承自两个最广泛应用的TPC标准,CH-benCHmark的测试结果不仅对混合负载系统具有重大参考价值,同时也适用于传统的单一工作负载场景。
在项目中,如何使用springboot+vue+springsecurity+redis缓存+Axios+MySQL数据库+mybatis
最新发布
huanghm88的专栏
07-11 637
在Spring Boot中,可以使用Spring Data JPA和MyBatis来配置MySQL数据库。在Vue项目中,可以创建一个config.js文件来配置后端的API地址,然后在需要发送请求的地方使用Axios发送请求。根据业务需求,在Spring Boot中编写相应的接口和服务层代码,包括数据访问、业务逻辑等。在Vue中,可以使用Axios发送HTTP请求,并将响应的数据展示在前端页面上。分别启动后端的Spring Boot应用和前端的Vue应用,访问前端页面,就可以看到与后端进行通信的效果。
手工sql注入常用sql语句
05-10
以下是一些常用的手工SQL注入语句: 1. 获取当前数据库的名称: ``` SELECT database(); ``` 2. 获取当前用户: ``` SELECT user(); ``` 3. 获取当前版本号: ``` SELECT version(); ``` 4. 获取所有数据库的名称: ``` SELECT schema_name FROM information_schema.schemata; ``` 5. 获取当前数据库中所有表的名称: ``` SELECT table_name FROM information_schema.tables WHERE table_schema = database(); ``` 6. 获取当前表的列信息: ``` SELECT column_name, data_type FROM information_schema.columns WHERE table_name = '表名'; ``` 7. 获取当前表的数据: ``` SELECT * FROM 表名; ``` 8. 获取当前表中第一行数据: ``` SELECT * FROM 表名 LIMIT 1; ``` 9. 获取当前表中前n行数据: ``` SELECT * FROM 表名 LIMIT n; ``` 10. 插入一条数据: ``` INSERT INTO 表名 (列1, 列2, 列3) VALUES ('值1', '值2', '值3'); ``` 以上仅为一些常用的手工SQL注入语句,具体使用时需要根据实际情况进行调整。同时,需要注意的是,手工SQL注入可能会对数据库造成损害,使用时需要谨慎。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值