sql注入进阶

最新推荐文章于 2023-06-11 15:17:36 发布
最新推荐文章于 2023-06-11 15:17:36 发布
阅读量389 收藏 4
点赞数 1
分类专栏: 渗透测试 文章标签: 数据库 mysql sql 注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40909772/article/details/118788597
版权

一、时间注入。

测试地址:自建靶场 http://192.168.57.128:1237/time/time.php?id=1

1.测试过程。

  当访问该地址时,页面返回yes,在网址的后面加上单引号,再次访问,页面返回no。这与Boolean注入非常相似,但是我们将采用另外一种注入方法解决——时间盲注。
  时间盲注是利用sleep()或benchmark()等函数让Mysql的执行时间边长,它多与IF(expr1,expr2,expr3)结合使用,此if语句含义是:如果expr1是TRUE,则if()的返回值为expr2;否则返回值则为expr3。所以判断数据库库名长度的语句则为:

if (length(database())>1,sleep(5),1)

  上面这行语句的意思是,如果数据库库名的长度大于1,则MySQL查询休眠5秒,否则查询1。查询1的结果,大约只有几十毫秒,根据burp中页面的响应时间,可以判断条件是否正确,我们构造如下SQL语句,查询结果如下图所示:

'and if (length(database())>1,sleep(5),1)--+

在这里插入图片描述  由以上的返回结果可知,页面的响应时间超过了5s,表明页面成功执行了sleep(5),所以长度是大于1的,接下来将长度改为10,结果如下所示:
在这里插入图片描述
  可以看出,执行的时间是0.404秒,表明页面没有执行sleep(5),而是执行了select 1,所以数据库库名长度大于10是错误的。通过多次测试,就可以得到数据库库名的长度。得出数据库库名长度后,我们开始查询数据库库名的第一位字母。,使用substr函数,这时的语句修改为:

if (substr (database(),1,1)='s',sleep(5),1)

在这里插入图片描述  页面5秒之后才返回了,说明数据库库名第一位字母是s,以此方式可以推断出数据库的库名、表名、字段名和具体数据。

2.代码分析。
<?php
$con=mysqli_connect("192.168.57.128","root","123","security");
if (mysqli_connect_errno())
{
	echo "连接失败: " . mysqli_connect_error();
}

$id = $_GET['id'];
if (preg_match("/union/i", $id)) {
	exit("<htm><body>no</body></html>");
}
$result = mysqli_query($con,"select * from users where `id`='".$id."'");
$row = mysqli_fetch_array($result);
if ($row) {
	exit("<htm><body>yes</body></html>");
}else{
	exit("<htm><body>no</body></html>");
}
?>

  在时间注意注入页面中,程序获取GET参数ID,通过preg_match判断参数ID中是否存在Union危险字符,然后将参数ID拼接到SQL语句中。从数据库中查询SQL语句,如果有结果,则返回yes,否则返回no。当访问该页面时,代码根据数据库查询结果返回yes或no,而不返回数据库中的任何数据,所以页面上只会显示yes或no,和Boolean注入不同的是,此处没有过滤sleep等字符。

二、堆叠查询注入。

测试地址:自建靶场 http://192.168.57.128:1237/sql/dd.php?id=1

1.测试过程。

  堆叠查询可以执行多条语句,多语句之间以分号隔开。堆叠查询就是注入就是利用这个特点,在第二个SQL语句中构造自己要执行的语句。
  首先访问id = 1’,页面返回Mysql错误,如下图所示。
在这里插入图片描述
  再访问id = 1’%23,页面返回正常结果。
在这里插入图片描述  在此我们尝试堆叠注入的方式来验证数据库名。我们构造如下的SQL语句,其实这里使用依然是时间盲注的语法结构,如下所示:

';select if(substr(database(),1,1)='s',sleep(5),1)%23

  因为该数据库名的第一个字母是s,所以页面返回的时间等于5s,如下图所示:
在这里插入图片描述  后面获取数据的操作与时间注入的一样,通过构造不同的时间注入语句,可以得到完整的数据库的库名、表名、字段名和具体数据。执行以下语句,就可以获取数据库的表名。

';select if(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1)='e',sleep(5),1)%23
2.代码分析。
<?php
try {
    $conn = new PDO("mysql:host=192.168.57.128;dbname=security", "root", "123");
    $conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
    $stmt = $conn->query("SELECT * FROM users where `id` = '" . $_GET['id'] . "'");

    $result = $stmt->setFetchMode(PDO::FETCH_ASSOC);
    foreach($stmt->fetchAll() as $k=>$v) {
        foreach ($v as $key => $value) {
            echo $value;
        }
    }
    $dsn = null;
}
catch(PDOException $e)
{
    echo "error";
}
$conn = null;
?>

  在堆叠注入页面中,程序获取GET参数ID,使用PDO的方式进行数据查询,但仍然将参数ID拼接到查询语句,导致PDO没起到预编译的效果,程序仍然存在SQL注入漏洞。使用PDO执行SQL语句时,可以执行多语句,不过这样通常不能直接得到注入结果,因为PDO只会返回第一条SQL语句执行的结果,所以在第二条语句中可以用update更新数据或者使用时间盲注获取数据。访问dd.php?id=1";select if (ord(substring (user () , 1,1) ) =114, sleep (3), 1) ;%23时,执行的SQL语句为:

select * from users where 'id' = '1';select if(ord(substring(user(),1,1))=114,sleep(5),1);#

  此时SQL语句分为了两条,第一条Select * from users where ‘id’ = '1’是代码自己的select查询,而select if(ord(substring(user(),1,1))=114,sleep(3),1);#则是我们构造的时间盲注的语句。

晶晶娃在战斗
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
SXU-网络攻防第六次作业-sql注入进阶
12-27
山西大学网络攻防第六次作业——sql注入进阶 把test靶场中的报错注入,时间注入,堆叠注入,宽子节注入进行练习.这四个注入在127.0.0.1/test/sql/路径下﹒按破解步骤进行,至少做到爆表名这一步﹒每个步骤都要按考试要求去做:保留每次攻击的输入和执行结果截图
【网络安全】sql注入语法汇总
m0_72061943的博客
07-08 1362
目录一、原理二、SQL注入判断方法1.字符型检测2.数字型检测3.搜索型检测和xx型检测三、union注入1.order by判断列数2.union 联合查询四、盲注1.布尔盲注(1)查询数据库长度(2)查询当前数据库名称(3)查询数据库下有多少表(4)查询数据库下表名第一位(5)查询数据库下表中有多少个字段(6)判断数据库下表中的第一个字段的长度(7)查询数据库下表里面的第一个字段的第一位是多少(8)得到字段探测第一条数据2.时间盲注(1)判断是否存在延迟函数(2)查询当前数据库长度,如果正确那么就延迟
SQL注入代码实践(盲注-获取数据库长度【数字型】)
DMHY123的博客
08-20 423
【代码】SQL注入代码实践(盲注-获取数据库长度【数字型】)
SQL注入:布尔盲注和时间盲注——CTFHUB 使用Burpsuite进行半自动注入
PigletTT的博客
07-10 2253
SQL注入:布尔盲注和时间盲注——CTFHUB为例 一、原理 1.布尔盲注 ​ 布尔盲注一般在页面只会显示正确和错误两种显示,因此在这种情况下我们不知道如何去获取数据库的详细内容,包括当前所在的数据库数据库里面的表以及每个表的字段和内容了。在这种情况下需要借助一些特别的函数来判断注入的语句是否正确,从而获取数据库的信息。以下函数是进行盲注时常用的函数 length(str) //返回str字符串的长度。 1 and length(database())=4 //判断数据库名字的长度是否为4
SQL注入详解(第四章查询方式及报错)
m0_52051132的博客
09-17 1192
当进行SQL注入时,有很多注入会出现无回显的情况,其中不回显得原因可能时SQL语句查询方式问题导致,这个时候我们需要用到报错或者盲注进行后续操作,同时在注入的过程中,提前了解其中SQL语句可以更好的选择对应的注入语句。select 查询数据例如:在网站应用中进行数据显示查询操作。
SQL注入进阶
m0_49420271的博客
06-11 190
SQL注入进阶篇内容,7种注入方式。
SQL注入进阶-order by注入
AkangBoy的博客
11-06 8356
本文从order by原理简介开始,详细描述了order by注入原理以及多种注入姿势,包含order by union select注入、order by if()注入、order by sleep()注入、order by报错注入
渗透测试——sql注入进阶/基于时间的盲注/一看就会/
ChenD的学习笔记
10-06 1714
基于时间的盲注
sql注入进阶/user-agent/基于报错的注入/保姆级教程/一看就会/
ChenD的学习笔记
10-08 973
基于user-agent 和报错的盲注
SQL注入进阶-测试及利用方法总结
u013797594的博客
08-05 5100
SQL注入进阶-测试及利用方法总结 文章目录SQL注入进阶-测试及利用方法总结SQL注入漏洞简介SQL注入漏洞分类SQL注入漏洞检测及利用基于输入类型字符型注入整数型注入基于从服务器接收到的响应错误回显注入测姿势错误回显利用方法1.不同类型的数据加减乘除2.group by floor(rand(0)*2)产生错误利用姿势及注意事项3.extractvalue()产生错误利用姿势及注意事项4.updatexml( )利用姿势及注意事项5.exp double型数据溢出利用姿势及注意事项6.bigint溢出利
SQL注入高级进阶
06-04
SQL注入高级进阶
E062-web安全应用-SQL注入进阶.pdf
12-02
E062-web安全应用-SQL注入进阶
web安全性测试之sql注入进阶
03-30
web安全性测试之sql注入进阶篇web安全性测试之sql注入进阶
sql注入学习进阶
12-16
sql注入学习进阶
SQL注入进阶篇(一)
qq_46217803的博客
08-04 1085
信息搜集阶段:利用内置函数搜集信息数据获取阶段:通过语句查询找到关键的内容,或通过暴力破解(比如遍历ASCII码来猜测)提权阶段:利用本身数据库的权限,或读写文件提权在我们不知道任何信息的前提下,可以整理以下思路步骤,通过information_schema中内置的函数来引出有用的信息SELECT schema_name from information_schema.SCHEMATA #查库。...
web渗透笔记之sql注入进阶篇)
yida223的博客
04-03 1330
sql注入笔记
sql注入进阶与相关知识
qq_39993791的博客
01-07 516
SQL注入进阶 SQL注入分类: 根据请求方式不同可以分为 GET方式请求注入 POST方式请求注入 根据sql注入点的参数类型可以分为 整数型注入 字符型注入 搜索型 根据sql注入点的反馈类型可以分为以下常见几类 union类型的sql注入 联合查询注入 基于错误显示的sql注入...
sql注入进阶学习资料汇总
think_ycx的专栏
07-28 439
sql注入资源汇总
SQl注入-进阶
BoomJane的专栏
08-23 1350
【一、SQL注入的基本步骤】 首先,判断环境,寻找注入点,判断数据库类型。 其次,根据注入参数类型,在脑海中重构SQL语句的原貌,按参数类型主要分为下面三种: (1)数字型 比如,ID=49 这类注入的参数,SQL语句原貌大致如下: Select * from 表名 where 字段=49 注入的参数为ID=49 And [查询条件],即是生成语句: Select *
sql server进阶
最新发布
09-05
SQL Server的进阶包括以下几个方面: 1. 更新数据:使用UPDATE语句可以更新数据库中的数据。语法为"UPDATE [view_name] SET column_name = new_number WHERE 条件"。 2. 使用通配符进行模糊查询:在SQL Server中,可以使用通配符进行模糊查询。例如,使用"LIKE"关键字和通配符"%"可以匹配任意字符。例如,"SELECT * FROM Table WHERE field LIKE '%!_%' ESCAPE '!'"可以找到包含下划线的值。 3. 对查询结果进行排序:可以使用"ORDER BY"子句对查询结果进行排序。可以按照一个或多个列进行排序,可以指定升序(ASC)或降序(DESC)。例如,"SELECT * FROM Table ORDER BY column_name ASC"将按照指定列升序排列查询结果。 4. 子查询:子查询是一个查询中嵌套在主查询中的查询。可以使用子查询来获取更复杂的查询结果。例如,"SELECT Sno, Sname, Ssex FROM Student WHERE Sdept IN(SELECT Sdept FROM Student WHERE Sname='钟文辉')"可以查询出和名字为'钟文辉'的学生同一系别的学生的学号、姓名和性别。 请注意,以上是SQL Server进阶的一些常见概念和技巧,还有更多的进阶内容可以进一步学习和应用。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [SQL Server 入门学习总结---进阶篇](https://blog.csdn.net/My_heart_/article/details/64125218)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* *3* [速学Sql Server从基础到进阶](https://blog.csdn.net/weixin_45364220/article/details/123472526)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

晶晶娃在战斗

你的鼓励将是我创作的最大动力!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值