渗透入门三:SQL注入

已于 2022-05-12 21:23:10 修改
阅读量678 收藏 2
点赞数
分类专栏: 拿捏渗透 文章标签: sql 数据库 database 安全
于 2022-05-12 21:06:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_60200366/article/details/124693441
版权

一 、注入 

1.union注入

1、判断注入点

2、判断是闭合形式

3、判断查询列数

4、判断显示位

5、获取所有数据库名

6、获取数据库所有表名

7、获取字段名 

8、获取字段中的数据

先判断闭合方式

尝试

?id=1’
?id=1”

如果都报错,则为整形闭合。

如果单引号报错,双引号不报错。


尝试

?id=1’–+

无报错则单引号闭合。
报错则单引号加括号。

如果单引号不报错,双引号报错。
尝试

?id=1"–+

无报错则双引号闭合。
报错则双引号加括号。

多层括号同理

判断查询列数

order by 1 用第一列排序 order by 2...直到n报错,所以表里一共n - 1列

判断显示位

让原sql查询结果为空, 拼接union select 1,2,3.....看看是回显那一列,然后就可以在回显列的位置进行操作了

database()显示当前数据库名

后面很简单了,用information_schema即可

2.boolean 注入

Boolean注入是在没有显示位的情况下(就是不会返回Sql语句的查询结果)

但它也会代入数据库查询,只会返回True,False.这时我们就可以用逻辑操作符进行注入

所以可以通过遍历(套一下),先套库名长度,再套库名

可以使用burpsuit进行爆破

使用 substr(database(),1,1)='t'--+ ,截取database的每一个字符去请求,最终得到正确的库名,表明,字段名,就可以拿到基本数据了。

3.报错注入攻击

主要是使用updatexml()函数,获取数据库的各种信息

updatexml(xml_doument,XPath_string,new_value)
第一个参数:XML的内容
第二个参数:是需要update的位置XPATH路径
第三个参数:是更新后的内容
所以第一和第三个参数可以随便写,只需要利用第二个参数,他会校验你输入的内容是否符合XPATH格式
当第二个参数不符合XPath语法时,会直接把执行结果给出来,所以可以在入参前面添加一些字符构造成不符合的字符串比如 # ~ 0x7e 等等

然后就是基本的流程,拿数据库名,然后利用information_schema查询即可。

需要注意的一点是updatexml函数最多输出32个字节。这个时候md5解密是解不出来的,因为~的存在占据一位,密文只有31位,所以substring函数作用就出来了,截取一下,然后把目标数据拼接出来。

4.时间注入

利用sleep()或者benchmark()函数让sql执行时间变长,主要是通过if(expr1,expr2,expr3)函数

expr1值为True时,返回expe2,否则返回expr3,所以就可以通过下列方式来进入注入攻击

if(length(database()) > 1, sleep(5), 1),套出库名 表名 等等。。

5.堆叠查询注入

通过在注入点拼接第二条sql,注入内容和时间注入类似,例如

';select if(substr(user(), 1, 1) = 'r', sleep(3), 1)

6.二次注入攻击

在向数据库存数据时没有做校验,当输入恶意入参时,也是将恶意数据存到了数据库,然后通过查询数据关联到恶意数据实现注入攻击

例如 创建用户 username = test' 返回值为用户id

查询时传入用户id,内部实际是通过id找到username,如果username是直接拼接的话,可以实现注入攻击

7.宽字节注入

如果后台是通过转义' / " 来防止sql注入,如果数据库编码是GBK的话,可以通过拼接其他字符,让转义符转成其他字符来实现注入,比如转义 ’ 为%5c ,可以通过在前面加 %df,即入参为 1%df' 实际变成 1 %df%5c,而%df%5c其实会转义成别的合规字符,这样就可以进行注入攻击了,后面的步骤和union注入基本一致,只是要用嵌套查询来避免再使用 ' 

8.cookie注入

挺离谱的,真的会有人cookie里面传查询参数嘛,传了就能通过Burpsuite抓包修改cookie来实现注入

9.base64注入

入参是经过base64编码之后,所以把一些恶意的入参base64编码之后进行请求实现注入

10.XFF注入

请求头中有头部参数X-Forwarded-for,简称XFF头,代表客户端真实IP,PHP中是通过getenv()来实现的,即把对应的变量替换成 $IP,先判断client_ip ,然后x_forwarded_for,然后是remote_addr,都可以伪造。。。分别传入一些恶意的头比如 目标ip ' and 1 = 1   ip' and 1 = 2来判断是否存在注入点

二、绕过

即绕过一些过滤规则

1.大小写绕过

and =》 And  aNd ....

2.双写绕过

and =》 anandd 

3.编码绕过

把关键字做URL全编码 and  or  ,因为服务器会自动对URL进行一次编码,所以要对关键字进行两次URL全编码

4.内联注释绕过

and  =>  /*!and*/ 

三、修复建议

1.过滤危险字符,针对sql注入经常使用到的关键字/函数,一出现就直接退出程序

2.使用预编译,POD预编译语句,不要将变量直接拼接到PDO语句,而是使用占位符来进行操作

热心市民蟹不肉
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
用友U8 Cloud base64 SQL注入漏洞复现
0xSec
03-13 726
用友U8 Cloudbase64接口处存在SQL注入漏洞,未授权的攻击者可通过此漏洞获取数据库权限,从而盗取用户数据,造成用户信息泄露。
渗透学习入门SQL注入
07-31
渗透学习入门SQL注入
渗透测试-SQL注入之核心语法获取数据库信息
lza20001103的博客
04-18 5627
渗透测试-SQL注入之核心语法获取数据库信息
常见SQL注入手法总结与技巧(一)
sechelper的博客
02-11 1215
SQL注入产生本质,盲注基本原理的详解与技巧,union联合注入演示
漏洞篇(SQL注入三)
m0_58001548的博客
03-29 319
代码中过滤了 or 和 AND,大小写同样都被过滤了。
sql注入
qq_47177909的博客
09-29 1732
简介 SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息 常识 ## 常用的注入闭合 语句 单引号 1' -- 数字 1 -- 双引号 1" -- 单引号+括号 1') -- 双引号加括号 1") -- 单引号+双括号+双引号 1'
Sql注入总结
weixin_40709439的博客
05-12 1960
Sql注入总结 联合查询: 1、利用闭合变量报错测试注入点, ?id=1’ .这样说明存在单引号闭合注入 2、是否存在注入点,用and语句测试 ?id=1’ and 1=2# ?id=1’ and 1=1# 3、猜测字段 ,?id=1’ order by 3%23 4、找到页面中数据输入点, ?id=-1’ union select 1,2,3%23 5、查数据库,?id=1’ union ...
SQL注入学习
qq_41007744的博客
05-01 687
字符串连接函数1. concat(str1,str2,...)连接参数产生的字符串。select concat(id,',',name) as con from info limit 1;2. group_concat(str1,str2,...)连接一个组所有的字符串,以逗号分割。3. concat_ws(separator,str1,str2,...)<br>含有分割符的连接字符串...
SQL注入--类型
sjsjshhs134654的博客
03-03 56
页面有回显,但是不会显示具体的内容 只会根据传参信息返回true和false传参任何东西返回结果都一样 页面返回值只有一种,true,无论输入任何值,返回情况都会按照正常的进行处理 加入特定的时间函数,通过查看web页面返回的时间差来判断注入语句是否正确函数 返回字符串的长度截取字符串m 从第m个字符开始截取 n 截取后字符串长度为n字符串拼接函数返回字符的ascii码 [将字符变为数字]将程序挂起一段时间n为n秒判断语句 如果第一个语句正确就执行第二个语句,如果错误执行第三个语句。
SQL注入-布尔盲注】
acepanhuan的博客
02-10 1598
学习SQL注入方法之盲注
sql中的substr()函数用法
热门推荐
TORTOISR的博客
04-30 2万+
前言: 五一闲来无事多更新几篇关于sql语句的文章吧,sql中要是想截取某个字段值作为匹配条件怎么办呢,这里可以使用substr()函数了。下面请看例子吧。 substr()函数 substr()函数用于截取对应字段指定长度。 SUBSTR(string ,pos,len) string:指定字符串 pos:规定字符串从何处开始,(这里的第一个位置是1而不是0)为正数时则从字段开始出开始,为负数则从结尾出开始。 len:要截取字符串的长度。(是从1开始计数而不是0) 示例: 现在我们举个例子,现在想通过时
web渗透测试详细入门实践课程-kali/sql注入
06-20
本课程主要从渗透测试流程、情报收集流程、渗透测试metaspolit终端介绍、nmap扫描、文件包含漏洞、文件上传漏洞、sql注入等方面理论加实操web渗透测试详细专业技术知识。 购买课程的同学可以获取价值200的教学资源...
SQL注入全面讲解技术文档
03-31
全文分为十三章全面的分析sql注入,使您学习的好助手。 目录 1.SQL注入漏洞全接触--入门篇 1 2.SQL注入法攻击一日通 8 3.SQL Server应用程序中的 高级SQL注入 19 4.编写通用的ASP防SQL注入攻击程序 22 5.利用instr...
WEB渗透入门资料,对新手比较有用。
04-16
sql注入 漏洞扫描 提权和日志清除 比较全,可以帮助新手入门
WEB安全渗透测试1-Msql基础
07-01
本课程主要为后续学习WEB安全提供铺垫,了解MYSQL技术的基本操作与查询方法,便于后续学习WEB安全的SQL注入的课程。本课主要讲解MYSQL数据库的建表,对数据表的增删改查以及where,group by ,order by,limit等查询...
常见的漏洞以及渗透工具使用
莫黎小天
09-14 1146
一、渗透工具 一、sqlmap 1.判断是否存在注入 假设目标注入点是http://192.168.1.104/sql1/Less-1/?id=11 判断命令 sqlmap.py-u http://192.168.1.104/sql1/Less-1/?id=1 还有一种情况,当注入点后面的参数大于等于两个时,需要加双引号,如下所示。 sqlmap.py-u"http://192.168.1.104/sql1/Less-1/?id=1&uid=2" 2.判断文本中的请求是否存在注入 从文件中加载HTT
SQL注入语句(详细)
m0_64118193的博客
06-02 2万+
目录一、联合查询1.判断注入点 2.查询字段 3.确定回显点 4.基础查询信息二、报错注入1.substr()函数 2.查询语句三、布尔盲注1.length( )函数 2.substr( )函数 3.ord( )函数 4.查询语句四、时间盲注1.sleep( )延迟函数 2.查询语句五、堆叠注入1.查询语句***爆库语句SQLMAP工具的使用参数用户可控:前端传递给后端的参数内容是用户可以控制的参数带入数据库查询:传入的参数拼接到SQL语句,且带入数据库查询当传入的id参数为
SQL注入截取字符串常用函数
weixin_30699955的博客
10-22 256
这里主要列举3个函数:mid(),substr(),left() mid()函数 MID(column_name,start[,length]) column_name 必需。要提取字符的字段 start 必须。规定开始位置(起始值为1) length 可选。要返回的字符数。如果省略,则 MID() 函数返回剩余文本。 ...
web安全之SQL注入绕过技术(二)
Longwaer
02-24 1403
学习掌握SQL注入绕过技术,更好的用于日常渗透测试中发现风险点。
web渗透sql注入
最新发布
03-24
Web渗透中的SQL注入是一种常见的攻击,它利用了Web应用程序对用户输入的不充分验证和过滤,导致恶意用户可以通过构造特定的SQL语句来执行非法的数据库操作。下面是对Web渗透SQL注入的介绍: 1. SQL注入的原理:...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值