SQL注入【进阶】

已于 2023-06-11 15:19:40 修改
阅读量224 收藏 2
点赞数 2
分类专栏: 网络安全渗透 文章标签: mysql 数据库 sql
于 2023-06-11 15:17:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_49420271/article/details/131153450
版权

文章目录

前言

承接上一篇SQL初级篇,进行SQL注入的进阶学习。欢迎伙伴们多多交流,多多补充哈~

一、时间注入

时间注入又名延时注入,属于盲注入的一种,通常是某个注入点无法通过布尔型注入获取数据而采用一种突破注入的技巧。在 mysql 里 函数 sleep() 是延时的意思,sleep(10)就是 数据库延时 10 秒返回内容。判断注入可以使用’and sleep(10) 数据库延时 10 秒返回值 网页响应时间至少要 10 秒 根据这个原理来判断存在 SQL 时间注入。

常用到的函数sleep(),if(),substring()

select if(2>1,sleep(10),0) 2>1 这个部分就是你注入要构造的 SQL 语句。
select if(length(database())>1,sleep(5),0) 这个就是查询当前库大于 1 就会延时 5 秒执行。
-1’ or if(length(database())>1,sleep(5),0)–+ 可以看到网页是大于五秒返回。根据这个原理 n>1 n 不延时就能确定当前数据库的长度了。

在黑盒模式下可以使用 sqlmap 对注入检测。sqlmap 支持多种数据库注入,而且支持多种注入方式。
采用时间注入:

python sqlmap.py -u "http://192.168.2.213/06/vul/sqli/sqli_blind_t.php?name=1&submit=%E6%9F%A5%E8%AF%A2"   --technique=T  -v 1 --dbms=mysql   --batch

在这里插入图片描述

-u 表示检测的 url
-v 显示调试模式
–technique=T 检测方法为时间注入
–current-user 获取用户
–current-db 当前库
–batch 使用默认模式 自动 y

获取表
-D 指定数据库 --tables 获取表

python sqlmap.py -u "http://192.168.2.213/06/vul/sqli/sqli_blind_t.php?name=1&submit=%E6%9F%A5%E8%AF%A2" -p name -v 1 --technique=T --tables -D pikachu --batch

在这里插入图片描述

获取字段
在 sqlmap --columns 获取字典 -T 某个表

python sqlmap.py -u "http://192.168.2.213/06/vul/sqli/sqli_blind_t.php?name=1&submit=%E6%9F%A5%E8%AF%A2" -p name -v 1 --technique=T --columns -T users -D pikachu --batch

在这里插入图片描述

查询账号和密码

`python sqlmap.py -u "http://192.168.2.213/06/vul/sqli/sqli_blind_t.php?name=1&submit=%E6%9F%A5%E8%AF%A2" -p name -v 1 --technique=T --dump -C "id,username,password" -T users -D` pikachu --batch

–dump 导出数据
-C 指定查询的字段
-p 指定的检测参数
在这里插入图片描述

示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。

二、堆叠注入

堆叠查询:堆叠查询可以执行多条 SQL 语句,语句之间以分号(;)隔开,而堆叠查询注入攻击就是利用此特点,在第二条语句中构造要执行攻击的语句。在 mysql 里 mysqli_multi_query 和 mysql_multi_query这两个函数执行一个或多个针对数据库的查询。多个查询用分号进行分隔。但是堆叠查询只能返回第一条查询信息,不返回后面的信息。
下面采用sqli-labs-master靶场进行演示【less-38】

2.1.获取表信息:

-999' union select 1,2,(select group_concat(TABLE_NAME) from information_schema.TABLES where TABLE_SCHEMA=database() limit 1)--+

在这里插入图片描述

2.2.获取字段信息:

-999' union select 1,2,(select group_concat(column_name) from information_schema.columns where TABLE_NAME='users' limit 1)--+

在这里插入图片描述

2.3.准备插入新的字段:

知道表的列的情况下使用 insert into 插入语句进行增加账号。如果是管理表直接添加管理员账号即可登录后台。
payload:
?id=-999';insert into users values(666,'kakayyds','123456')--+
payload:
?id=-999';insert into users(id,username,password)values(1000,'moonsec','123456')--+
访问 666/1000 即可访问到刚刚添加的账号
在这里插入图片描述

payload:
?id=-999’;insert into users values(222,(select @@version_compile_os),‘123456’)–+
通过该方式也可以对信息进行读取

在这里插入图片描述

三、二次注入

在这里插入图片描述先确定测试的网站是否进行过滤,一般情况下网站都会对输入的参数进行过滤,然后寻找可能会带入恶意数据二次使用的地方。例如用户注册->修改密码邮箱注册->修改密码 文章添加->文章编辑。找一切存在二次使用的功能点。二次注入测试 SQL 注入,二次注入多数是字符型注入,所以要注意闭合问题。现在注册用户 a’ 再分别注册用户 a’ and 1=1# a’ and 1=2# 再来可能触发的地方
Less-24练习
在这里插入图片描述
在这里插入图片描述创建俩用户,然后登录a’#这个用户,对其密码进行修改操作,更改为456789,之后点击更新密码。

在这里插入图片描述再次回到数据库对数据进行查询,发现a’#的密码没有变化,反而a的密码发生了变化。【这就是二次注入】

在这里插入图片描述
从代码层面分析:
在这里插入图片描述这个update函数执行的时候,没有任何防护,转义措施,导致了a’#造成注释,如下:
正常情况:UPDATE users SET PASSWORD=‘456789’ where username=‘a’ and password=‘123456’
二次注入:UPDATE users SET PASSWORD=‘456789’ where username=‘a’#’ and password=‘123456’
二次注入最后标记处直接被#过滤导致用户a’#变成了a用户。同理可对admin用户进行二次注入的密码修改操作。

四、宽字节注入

宽字节注入,在 SQL 进行防注入的时候,一般会开启 gpc,过滤特殊字符。一般情况下开启 gpc 是可以防御很多字符串型的注入,但是如果数据库编码不对,也可以导致 SQL 防注入绕过,达到注入的目的。如果数据库设置宽字节字符集 gbk 会导致宽字节注入,从而逃逸 gpc转义
前提条件:
简单理解:数据库编码与 PHP 编码设置为不同的两个编码那么就有可能产生宽字节注入
Big5 和 GBK 字符集都是有的, UTF-8 和 GB2312 没有这种字符(也就不存在宽字节注入)

4.1.宽字节注入代码分析

gpc 绕过过程:
%df%27=经过(addslashes)添加【\】进行转义=>%df%5c%27(%5c是URL编码后的\)=(数据库 GBK)=>運’(%df%5c合在一起生成了"運")
sqli-labs-master中less-32案例:
1.开启gpc或者addslashes
2.数据库编码为gbk
即可能存在宽字节注入
在这里插入图片描述

4.2.黑盒环境下的宽字节注入

宽字节检测较为简单 输入%df%27 检测即可或者使用配合 union 检测即可
PoC:%df' union select 1,2,3--+
在这里插入图片描述后面读取数据库数据的方式就和之前一样了。

五、Cookie注入

COOKIE 注入与 GET、POST 注入区别不大,只是传递的方式不一样。GET 再url 传递参数、POST 在 POST 正文传递参数和值,COOKIE 在 cookie 头传值。在 burpsuite 显示 传递的方式。
PoC:Cookie: uname=admin' and 1=1#

在这里插入图片描述在这里插入图片描述
Payload:Cookie: uname=admisdfn' union select 1,user(),3#

在这里插入图片描述后续思路跟之前一致。

六、base64编码注入

在 php 中 base64_encode()函数对字符串进行 base64 编码,既然可以编码也可以进行解码,base64_decode()这个函数对 base64 进行解码。
编码解码流程:
1–>base64 编码–>“MQ==”–>base64 解密–>1
观察网站是否存在 base64 编码的数据,例如传递的 id 的值,搜索模块。如果存在类似==等,可以用 base64 解码进行测试。

在这里插入图片描述存在 mysqli_error 函数所以可以里利用报错注入再进一步获取敏感信息。admin’)and (updatexml(1,concat(0x7e,(select user()),0x7e),1))– (前面有个空格!)进行 base64 编码是YWRtaW4nKWFuZCAodXBkYXRleG1sKDEsY29uY2F0KDB4N2UsKHNlbGVjdCB1c2VyKCkpLDB4N2UpLDEpKS0tICA=提交获取敏感信息。

在这里插入图片描述

七、xff注入攻击

X-Forwarded-For 简称 XFF 头,它代表了客户端的真实 IP,通过修改他的值就可以伪造客户端 IP。XFF 并不受 gpc 影响,而且开发人员很容易忽略这个 XFF 头,不会对 XFF 头进行过滤。

总结

进阶篇主要聊了聊七种类型的注入方式,多练习练习,加深印象。还是那句话,大家有其他的也可以补充哈~

KAKAyyds
关注
专栏目录
web渗透笔记之sql注入进阶篇)
yida223的博客
04-03 1370
sql注入笔记
flask mysql sql注入_SQL注入进阶-Flask中转SQLMAP案例
weixin_33195162的博客
02-04 646
前言在渗透工作中我们经常能碰到一些逻辑复杂的SQL注入漏洞,并不能直接通过sqlmap工具注入拿到结果。今年网鼎杯的一道SQL注入题“张三的网站”让我久久不能忘怀,我不断思考遇到这类型的SQL注入除了手工注入然后编写脚本一点一点脱数据以外,有没有一个比较优雅的解决方案呢?一道CTF题的思考先来说说“张三的网站”这道题目,因为我手上没有题目源码,所以就根据记忆中的各个功能自己写了一个(很少写php,...
sql注入进阶
qq_40909772的博客
07-17 431
一、时间注入。 1.测试过程。 测试地址:http://192.168.57.128:1237/time/time.php?id=1   当访问该地址时,页面返回yes,在网址的后面加上单引号,再次访问,页面返回no。这与Boolean注入非常相似,但是我们将采用另外一种注入方法解决——时间盲注。 时间盲注是利用sleep()或benchmark()等函数让Mysql的执行时间边长,它多与IF(expr1,expr2,expr3)结合使用,此if语句含义是:如果expr1是TRUE,则if()的返回值为ex
出浅入深玩转SQL注入(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
leah126的博客
08-01 1042
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。最好使where或者if的判断条件的结果为0。
[转贴]ASP漏洞全接触-进阶
longge165的专栏
09-28 941
文章来源:军团论坛     发布时间:2005-05-15 08:29:27         在入门篇,我们学会了SQL注入的判断方法,但真正要拿到网站的保密内容,是远远不够的。接下来,我们就继续学习如何从数据库中获取想要获得的内容,首先,我们先看看SQL注入的一般步骤:  第一节、SQL注入的一般步骤   首先,判断环境,寻找注入点,判断数据库类型,这在入门篇已经讲过了。   其次,根据注入参数
sql注入进阶
qq_37051023的博客
08-28 423
1、order by ---获取字段数原理 order by--在数据库中是排序的意思 例如:在数据中正常执行select * from app,则得到如下信息 执行排序,则得到如下信息: 对比上述信息,得知对第一列字段进行了排序,那么如果执行order by 5,则会产生错误,因为当前数据库app,不存在第五列数据,则无法进行排序。 那么当进行sql注入时,通过http://x.x.x.x/1.jsp?id=1 order by x的方式可以推测出当前数据库存在几列。 2、u...
SQL注入进阶
菜鸟的学习笔记
02-02 304
4.2 SQL注入进阶 4.2.1时间注入 与布尔盲注不同的是,时间注入是利用sleep()或benchmark()等函数让MySQL的执行时间边长。时间盲注多与IF(expr1,expr2,expr3)结合使用,这条IF语句的含义是:“如果expr1是TRUE,那么IF()的返回值为expr2;否则返回值为expr3.” 所以判断数据库库名长度的语句为: if(length(database())>1,sleep(10),1) /*含义是:如果数据库库名长度大于1执行sleep(10)睡眠10秒,否
SXU-网络攻防第六次作业-sql注入进阶
12-27
SQL注入是一种常见的网络安全漏洞,它允许攻击者通过构造恶意的SQL语句来操纵数据库,获取敏感信息或控制数据库系统。本篇将详细讲解在“SXU-网络攻防第六次作业”中涉及的四种SQL注入类型:报错注入、时间注入、堆...
CTF之web学习记录 -- SQL注入进阶
lifanxin的博客
05-19 615
SQL注入进阶概述时间注入攻击堆叠查询注入攻击二次注入攻击宽字节注入攻击cookie注入攻击base64注入攻击XFF注入攻击总结 概述   这一部分的内容是sql注入知识的进阶部分,引入了更多的注入技巧。 时间注入攻击   时间注入攻击的场景同样也是服务器并不返回查询语句的信息,这和boolean注入攻击类似,boolean注入通过true或false来进行数据库信息猜测。时间注入攻击通过利用sleep()或benchmark()等函数让数据库操作时间变长,以此来判断语句是否成功执行。 # 判断数据库名长
web安全性测试之sql注入进阶
03-30
SQL注入进阶】深入理解Web安全性测试 SQL注入是一种常见的网络安全漏洞,它允许攻击者通过构造恶意的SQL语句来获取、修改、删除数据库中的数据,甚至控制系统权限。本篇将聚焦SQL注入进阶技巧,包括如何识别...
SQL注入高级进阶
06-04
SQL注入高级进阶
SQl注入-进阶
BoomJane的专栏
08-23 1371
【一、SQL注入的基本步骤】 首先,判断环境,寻找注入点,判断数据库类型。 其次,根据注入参数类型,在脑海中重构SQL语句的原貌,按参数类型主要分为下面三种: (1)数字型 比如,ID=49 这类注入的参数,SQL语句原貌大致如下: Select * from 表名 where 字段=49 注入的参数为ID=49 And [查询条件],即是生成语句: Select *
SQL注入进阶
JBlock的博客
10-07 506
5.1、大小写变种 这种技巧适用于关键字阻塞过滤器不聪明的时候,我们可以变换关键字字符串中字符的大小写来避开过滤,因为使用不区分大小写的方式处理SQL关键字。 例如:(下面的代码就是一个简单的关键字阻塞过滤器)     function waf($id1){     if(strstr($id1,'union')){         echo 'error:lllegal inp
SQL注入进阶篇(一)
qq_46217803的博客
08-04 1564
信息搜集阶段:利用内置函数搜集信息数据获取阶段:通过语句查询找到关键的内容,或通过暴力破解(比如遍历ASCII码来猜测)提权阶段:利用本身数据库的权限,或读写文件提权在我们不知道任何信息的前提下,可以整理以下思路步骤,通过information_schema中内置的函数来引出有用的信息SELECT schema_name from information_schema.SCHEMATA #查库。...
渗透之路进阶 -- SQL注入进阶(盲注和报错注入)
r0cky的博客
09-18 594
SQL注入之盲注 实战过程中,大多情况下很少会有回显,这个时候就要去使用盲注技术 盲注,Blind SQL Injection,听这名字就感觉整个过程就是一个盲目的过程 当注入时,没有任何提示的时候,就改用上盲注 常见函数 ascii(str) str是一个字符串参数,返回值为其最左侧字符的ascii码。通过它,我们才能确定特定的字符。 substr(str,start,len) 这个函数是...
SQL注入漏洞全接触--进阶
Evan的专栏
06-22 929
首先,我们先看看SQL注入的一般步骤:第一节、SQL注入的一般步骤首先,判断环境,寻找注入点,判断数据库类型,这在入门篇已经讲过了。其次,根据注入参数类型,在脑海中重构SQL语句的原貌,按参数类型主要分为下面三种:(A)  ID=49 这类注入的参数是数字型,SQL语句原貌大致如下:Select * from 表名 where 字段=49注入的参数为ID=49 And [查询条件],即是生成语句:
SQL注入进阶篇-sql-labs合集
安全知识学习-该平台为唯一原作者平台,其他平台属冒名顶替,请勿相信上当受骗
07-24 2838
工具 HackBar BurpSuite v2.1 基础挑战 Less-1 下面我将以第一关为例,使用四种注入手法 联合查询 http://114.55.107.51/sqli-labs/Less-1/?id=-1' union select 1,2,3--+ 查表 …select table_name from information_schema.tables where table_schema=database() limit 3,1… 查表中字段 …sel..
蓝盾实训营day3——文件上传、SQL注入进阶
mingC0758的博客
07-11 1068
cookie欺骗 原理:把登陆后的cookie保存下来,在其他地方访问页面时携带这个cookie.. https可能做不了这个实验 HTTP Cookie 设置了secure , 该cookie只能在HTTPS通道下被写入浏览器。 HTTPS Cookie 设置了secure , 该cookie只能在HTTPS通道下被写入浏览器。 HTTP Cookie ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值